Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Like dokumenter
Risikovurdering for folk og ledere Normkonferansen 2018

Overordnet IT beredskapsplan

Referansearkitektur sikkerhet

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Mørketallsundersøkelsen 2006

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Risikoanalysemetodikk

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

3.1 Prosedyremal. Omfang

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

MØRKETALLSUNDERSØKELSEN 2010

Informasjonssikkerhet i Norge digitalt Teknologiforum

Egenevalueringsskjema

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Retningslinje for risikostyring for informasjonssikkerhet

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Har du kontroll på verdiene dine

EGENVURDERINGSSKJEMA FOR BEDRIFTSDEL SIKKERHETSFAGET.

Følger sikkerhet med i digitaliseringen?

Beskrivelse av informasjonssystemet

SIKRING i et helhetsperspektiv

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Avito Bridging the gap

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

IKT-reglement for Norges musikkhøgskole

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Slik kan du styrke sikkerhetskulturen med kommunikasjon

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

SIKRING i et helhetsperspektiv

Sikkerhetsklareringskonferanse NTL. Direktør Gudmund Gjølstad. 3.april 2019

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

IKT-revisjon som del av internrevisjonen

Sikkerhetsmål og -strategi

Foretakets navn : Dato: Underskrift :

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

3.4 RISIKOSTYRING. Hva er risiko? Risikostyring Metoder for risikoanalyse

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Politikk for informasjonssikkerhet

Avvikshåndtering og egenkontroll

Individuell lærekandidatplan

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Internkontroll i praksis (styringssystem/isms)

Nasjonal sikkerhetsmyndighet

Ny sikkerhetslov og forskrifter

Tiltaksplan digitalisering 2019

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Ofte stilte spørsmål.

Vedlegg 3 Teknisk støtte Vedlegg 3 Teknisk støtte

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Sikkert nok - Informasjonssikkerhet som strategi

Mørketallsundersøkelsen 2008

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Informasjonssikkerhet

netsense...making sense of IT

Aggregering av risiko - behov og utfordringer i risikostyringen

Raskere digitalisering med god sikkerhet. Evry

Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

«State of the union»

Digitaliseringsstrategi

)R8XWIRUGULQJHULQQHQ,7VLNNHUKHW. Ketil Stølen SINTEF 6. mars 2003

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

NASJONAL SIKKERHETSMYNDIGHET

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

PACS IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

Internkontroll og informasjonssikkerhet lover og standarder

Ordfører- og rådmannskonferansen i Agder

Dokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: mars 2018

Notat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring???

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Læreplan i sikkerhetsfaget Vg3 / opplæring i bedrift

Mål- og resultatstyring og risikostyring i staten (det offentlige)

Personvernerklæring for Clemco Norge AS

VI BYGGER NORGE MED IT.

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Transkript:

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres Arne Tjemsland Chefkonsulent Secode Norge arne.tjemsland@secode.com +47 99282916 1

Bakgrunn Mørketallsundersøkelsen (Norge), noen relaterte eksempler:» 50% av virksomhetene innen helse- og sosial vet ikke om de har vært utsatt for datainnbrudd eller datatyveri» Sektoren bruker sikringsmekanismer som kryptering i langt mindre grad (bare 13%) enn andre sektorer (40%) Secode Norge har i en årrekke arbeidet med helseforetak og rådgivning knyttet til den Norske Personopplysningsloven.» Et foregangssykehus (Ullevål Universitetssykehus): Kunde i mange år, eksempler siste år: Status på sikkerhet - Risikoanalyse: IT-drift, hendelseshåndtering Tiltak rådgiver for definering og gjennomføring Måling - Monitorerings- og overvåkingstjeneste for trafikk (IDS) Måling - Analyse og implementering av løsning for å oppdage misbruk av EPJ 2

Sikkerhetstrusler i Sundhedsvesenet Risikobildet er meget sammensatt 24 timer i døgnet»organisering Ansvar, arbeidsoppgaver, vaktordninger, hendelseshåndtering»menneskers moral og handlinger Interne handlinger: Nysgjerrighet, feil, likegyldighet osv. Aktivitet (ondsinnet?) fra driftsleverandører og samarbeidspartnere Ekstern ondsinnet aktivitet: innbrudd, kartlegging, virus,»it Tekniske svakheter, eksempler Sårbarheter i Programvare Konfigurering av programvare Kompleksitet Lite velegnede løsninger Single point of failure (nettverk, systemer)»kompetanse»fysisk adgangsforhold osv Disse faktorene krever en helhetsbetraktet tilnærming (top-down) 3

Utfordringer EPJs omgivelser må håndteres integrert med IT-sikkerhet og på en slik måte at den operative drift understøttes» EPJs operative drift: Tilgjengelighet 24 t i døgnet, skiftordninger, dårlig tid, krav til effektivitet, liv og helse» Lover og regler (Lov om behandling av personoplysninger) Oppfylle lovens intensjon og relaterte regler Rettigheter til registrerte personer, sikker forvaltning» Organisasjonens kultur» Tekniske omgivelser» Behov for dokumentasjon vs operativ reduksjon av risiko Dokumenter løser ikke behov for sikkerhet Mennesker er ikke prosessorientert i sin tekning, men oppgaveorientert 4

Hvordan møter vi dette? Trusler og utfordringer kan kun møtes ut fra en helhetsbetraktning / balansert tilnærming» Lav operasjonell risiko nås gjennom en kombinasjon av tiltak der tekniske tiltak bare er en del av virkemidlene» Erfaring viser at det er avgjørende å identifisere de Digitale Verdier For systemene som EPJ kommuniserer med / er avhengig av Hvilket beskyttelsesbehov har EPJ og relevante tekniske delsystemer Høy, Middels, Lav knyttet til Konfidensialitet, Tilgjengelighet, Integritet Har man satt et mål (Loven) på det og valgt sikkerhetstiltak? Eks: Erfaring fra Ullevål Universitetssykehus: EPJ har høyt beskyttelsesbehov (Høy) og krav til tilgjengelighet hele døgnet. Økonomimoduler har lavere krav til beskyttelse mot innsyn og tilgjengelighet Tiltak iverksettes i henhold til beskyttelsesbehov gjennom balanserte tiltak 5

Omgivelser Til ettertanke:»er EPJ avhengig av services produsert utenfor EPJs sikkerhetsmessige kontroll? Outsourcing Utviklere Konsulenter Systemer»Leverer EPJ informasjon/services til enheter/brukere utenfor EPJs kontrolldomene? Man bør definere sikkerhetsmessig kontroll domene 6

Hvordan møter vi dette?»organisering og ansvar er helt avgjørende Ansvar fordelt på roller (IT, ledere, brukere, sikkerhet ) Enklest mulig hverdag for brukere, men med tydelige ansvar Oppfølging av IT-sikkerhet, logger osv Rapportering og synliggjøring for virksomhetens ledelse Integrert med budsjettprosesser»tekniske sikkerhetstiltak er en del av helheten Systematisk understøtte brukernes og EPJs behov Sikre tilgjengelighet Ansvar for vedlikehold definert Dagens sitat: EPJ er 20% teknikk og 80% organisasjon teknikk får 80% av oppmerksomheten: Stemmer med våre erfaringer 7

Ta kontroll Helhetsbetraktede valg, gjennomføring og vedlikehold av IT-sikkerhetstiltak»Kontinuerlig prosess Definere beskyttelsesbehov Bestemme ønsket sikkerhetsnivå Analysere nåtilstand på risiko Gjennomføre tekniske og organisatoriske/administrative tiltak Forbedringsprosess Måle/vedlikeholde sikkerhetsnivå 8

Ta kontroll Sikkerhetsmessig modenhetsnivå Restrisiko 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding