Der IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg

Transkript

1 Der IT-Security Dschungel im Krankenhaus Ein möglicher Ausweg

2 Der IT-Security Dschungel im Krankenhaus Gliederung Einleitung, Motivation und Fragestellung Material, Methoden und Werkzeuge Beschreibung der Lösung (Anwendungssoftware/Applikation oder Umsetzungskonzept) Ergebnisse, Erfahrungen und lessons learned Diskussion und Ausblick 2

3 Einleitung, Motivation und Fragestellung In den letzten Jahren häufen sich Pressemeldungen zu IT- Sicherheitsvorfällen im klinischen Bereich. Die Schäden reichen von Datenschutzverletzungen durch das Ausspähen von Patientendaten bis hin zu Personenschäden. Hierzu kann es beispielsweise kommen, wenn medizinische Prozesse ausfallen, nicht mehr vollständig oder gar falsch funktionieren. Die jüngsten Angriffe mit Ransomware auch auf Krankenhäuser bestätigen die Notwendigkeit. 3

4 Einleitung, Motivation und Fragestellung Um die Chancen der Vernetzung (ehealth, Telemedizin etc.) nutzen zu können, ist jedoch ein funktionierendes IT-Sicherheitsmanagement essentiell. Leider sind die gängigen Standards hierfür zu allgemein oder umfangreich, als dass sie ohne weiteres im Krankenhausumfeld umgesetzt werden könnten. Folglich stellt sich die Frage wie man einen praktischen Ausweg aus diesem Dilemma finden kann. Anwendung des BSI Grundschutzsystems schien uns im ersten Schritt nicht umsetzbar. Eine Umsetzung nach ISO braucht sehr viel Zeit und Ressourcen. 4

5 Material, Methoden und Werkzeuge Was müssen wir in welchem Content schützen? Drei Schutzklassen definiert, öffentlich, intern, vertraulich Welche Prioritäten werden für die Umsetzung getroffen? Wo sind die größten Risiken? Aussen vor Innen, im Krankenhaus kann man die handelnden Personen erkennen, was aussen ist kennen wir nicht Was macht die IT-Abteilung Nach einem Vorfall muss der Betrieb des Krankenhauses weiter gewährleistet sein. 5

6 Material, Methoden und Werkzeuge 6

7 Beschreibung der Lösung Noch vor der ersten technischen oder organisatorischen Maßnahme wurde eine IT-Sicherheitspolitik erarbeitet. Basis dafür war eine Analyse der IT-Nutzung mit dem Focus Sicherheiten(GF-Berichte zum Start) Dies geschah unter Einbindung aller Stakeholder, insbesondere von Ärzten, Pflegepersonal, Datenschutzbeauftragten und kaufmännischen Direktoren Hier wurden Schutzziele, Verantwortlichkeiten und verbindliche Regeln für die Mitarbeiter festgelegt. Details der Policy darstellen 7

8 Beschreibung der Lösung Inhalte einer Sicherheitsrichtlinie Schutzziele Grundprinzipien / rechtliche Grundlagen Organisation und Verantwortlichkeiten Mitwirkungen der Mitarbeiter Umgang mit vertraulichen Daten Klassifizierung von Daten Konformität zu Standards Überprüfungsregeln der Richtlinie 8

9 Beschreibung der Lösung Nach Verabschiedung der IT-Sicherheitspolitik durch die Geschäftsleitung wurden die größten IT-Risiken identifiziert und nach Bedrohungen, Schwachstellen und Schadenspotential priorisiert. Dabei ist man der Logik von Außen nach Innen gefolgt und hat mit den Geräten begonnen, die außerhalb des Klinikbereichs im Einsatz sind. 9

10 Beschreibung der Lösung Schritt 1 Informationswege aus und in das Krankenhaus schützen Mobile Geräte MDM System aufsetzten Durch Festlegung auf wenige Gerätetypen/Betriebssysteme Komplexität reduzieren Datenaustausch mit Dritten Remotezugänge von Mitarbeitern 10

11 Beschreibung der Lösung Schritt 1 Informationswege aus und in das Krankenhaus schützen Netzzugänge Logfileanalyse Ziele (Firewall, Proxy, Server, Medizingeräte)» Erkennung, Alarmierung, möglichst Früherkennung» schneller reagieren Lieferanten/Wartungsunternehmen Medizin-IT Welt Technik-IT Welt 11

12 Beschreibung der Lösung Schritt 2 Informationswege im Krankenhaus untersuchen und schützen Inventarisieren (Zugänge, Geräte, Nutzer) Disaster Recovery Handbuch erstellen und leben Überprüfung der Benutzerverwaltungssysteme Welche Datensammlungen werden vom wem genutzt (Dataware House Systeme) Medizingeräte und deren Schnittstellen 12

13 Beschreibung der Lösung Bauplan IT-Sicherheit Laptop Verschlüsselung Kontrolle Zugänge Mobile Endgeräte Dienstanweisung PIM Container Außenschnittstellen Architektur Netz Inventar Zugänge Interne IT Datensammlungen Medizingeräte MDM Log Analyse Kommunikation Schulung MA-Portal Face-to-face Organisation IT-Sicherheitsbeauftragte Awareness Informationssicherheitsrichtlinie Fertig In Arbeit To Do Stand:

14 Ergebnisse, Erfahrungen und lessons learned Das gemeinsame Erarbeiten, Abstimmen und Verabschieden der IT-Sicherheitspolitik war die notwendige Voraussetzung für alle anderen Aktivitäten. Sie setzte ein angemessenes Sicherheitsniveau fest und erhöhte die Awareness einrichtungsweit. Ebenso hat sich das Lösen der Probleme in der Priorisierung von Außen nach Innen, sprich von den mobilen Endgeräten über die Schnittstellen zu den internen Systemen in der Praxis bewährt. Die frühzeitige Zusammenarbeit mit den Budgetverantwortlichen ist sehr wichtig um die notwendigen Sachmittel aber auch Personalressourcen zu bekommen. 14

15 Diskussion und Ausblick Die Herausforderungen im Bereich IT-Sicherheit bleiben gewaltig. So groß die Chancen der vernetzten Gesundheit auch sind, die Unversehrtheit von Menschen wird zunehmend davon abhängen, wie sicher wir die betroffenen IT-Systeme managen. 15