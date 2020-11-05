Successfully reported this slideshow.
Tietoturva terveydenhuollossa Harry Hyttinen 4.11.2020 Ajankohtaista terveydenhuollon tietotekniikasta 4.1.2020MikkoHuttun...
Tietoturva terveydenhuollossa CEO Harry Hyttinen Harry.hyttinen@netect.fi
Netect Oy on vuonna 2019 perustettu IT-palvelutalo. Tarjoamme yrityksille tietoturvaan ja ohjelmistokehitykseen liittyviä ...
Tietoturvan vaatimukset terveydenhuollossa Sisäisiä vaatimuksia • Informaation luokitteleminen ja vaadittavien suojausluok...
Tietoturvan viitekehyksen käyttöönoton jälkeen terveydenhuollon organisaatiolla tulisi olla tiedossa: • Selkeä kuva tietot...
Sarjaan kuuluu osat ISO/IEC 27000 - 27011, jotka sisältävät mm. yleiskatsauksen, vaatimukset, menettelyohjeet, toteuttamis...
ISO/IEC 80001 – terveydenhuollon tietoturvastandardi Standardi käsittelee riskienhallinnan soveltamista lääketieteellisiä ...
Standardista Tietoturvan hallintajärjestelmään Standardin vaatimusten toteuttaminen organisaatiossa pähkinänkuoressa 1. Jo...
What • UHS US Hospitals were hit by Ruyk ransomware • All IT systems were unavailable for a week • According to unofficial...
Know your enemy – Relevant threat analysis for your organization
Know your environment – Use MITRE ATT&CK Framework to gain visibility The four key use cases for MITRE ATT&CK Framework ar...
The key Resources of cyberdefence • Verified perimeter protection • Threat intel • Ability to detect anomalies inside your...
Fully managed 24/7 365 Management & Monitoring of your security devices/systems Monthly Threat Hunting conducted (SIEM & E...
• Having a 24x7 Managed SOC service backed by a specialist team helps to relieve the pressure • Providing management and e...
SOC in Process…. SIEM Logs Network Monitoring Cyber Intelligence Security Devices Endpoint Customer 1,200,000,000+ Events/...
NCC Group’s Managed Vulnerability Scanning Services (MVSS) division offers a number of fully managed vulnerability scannin...
KIITOS! Voit pyytää oheisen raportin vastikkeetta sähköpostitse meiltä!
Lisätietoa • https://www.netect.fi • https://www.nccgroup.trust • https://www.sfs.fi/julkaisut_ja_palvelut/tuotteet_valoke...
  1. 1. Tietoturva terveydenhuollossa Harry Hyttinen 4.11.2020 Ajankohtaista terveydenhuollon tietotekniikasta 4.1.2020MikkoHuttunen1
  2. 2. Tietoturva terveydenhuollossa CEO Harry Hyttinen Harry.hyttinen@netect.fi
  3. 3. Netect Oy on vuonna 2019 perustettu IT-palvelutalo. Tarjoamme yrityksille tietoturvaan ja ohjelmistokehitykseen liittyviä palveluita. Edustamme NCC Group Plc:n (UK) tietoturvapalveluita ja -ratkaisuja Suomessa.
  4. 4. Tietoturvan vaatimukset terveydenhuollossa Sisäisiä vaatimuksia • Informaation luokitteleminen ja vaadittavien suojausluokkien tunnistaminen • Informaation • Luottamuksellisuus • Eheys • Saatavuus • Jäljitettävyys • Vastuullisuus • Organisaation sisäiset riskit • Prosessit • Ohjeistus • Henkilöstö • Järjestelmät Ulkoisia vaatimuksia asettavat mm: • Tietosuoja: • Suomen perustuslaki • Henkilötietolaki • Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta • Laki sosiaali-ja terveydenhuollon asiakastietojen sähköisestä käsittelystä • Laki vahvasta tunnistautumisesta ja sähköisestä allekirjoituksesta • Arkistolaki • Tietoyhteiskuntakaari • Laki julkisen hallinnon tietohallinnon ohjauksesta • Terveydenhuoltolaki • Laki potilaan asemasta ja oikeuksista • Laki sähköisestä lääkemääräyksestä • Laki terveydenhuollon ammattihenkilöistä • Laki yksityisestä terveydenhuollosta • Sosiaali-ja terveysministeriön asetus potilasasiakirjoista • GDPR • Ulkoiset uhat tietojärjestelmiä kohtaan Tietoturvan hallintajärjestelmä
  5. 5. Tietoturvan viitekehyksen käyttöönoton jälkeen terveydenhuollon organisaatiolla tulisi olla tiedossa: • Selkeä kuva tietoturvaongelmista, joita he saattavat kohdata • Käytettävissä olevat puolustusmenetelmät • Tietoturvatoimien tavoitteet • GAP-analyysin tulokset • Luettelo toteutettavista toimista Tietoturvan viitekehykset terveydenhuollossa Kuinka tietoturvan viitekehys voi auttaa? 1. Viitekehys auttaa tunnistamaan ja havaitsemaan turvallisuusuhat ja toipumaan niiden seurauksista. 2. Se edistää tietoturvaa keskeisine elementteineen, toteutustasoineen ja profiileineen, ja mukauttaa ne liiketoiminnan vaatimuksiin, taloudellisiin kykyihin ja riskinsietokykyyn. 3. Sen avulla sidosryhmät voivat ymmärtää ja hallita tietoturvaa yhdessä tiiminä. 4. Se auttaa yhdenmukaistamaan liiketoiminta- ja teknologiapolitiikkoja.
  6. 6. Sarjaan kuuluu osat ISO/IEC 27000 - 27011, jotka sisältävät mm. yleiskatsauksen, vaatimukset, menettelyohjeet, toteuttamisohjeet, mittaamisen, riskienhallinnan ja auditointi- ja sertifiointielinten vaatimukset. Terveydenhuollon tarkentavia ohjeita: ISO 27799:2016 (eivät kuulu sertifiointivaatimuksiin) Toteuttamalla vaatimusstandardin SFS-EN ISO/IEC 27001 ja hankkimalla sertifioinnin yritys pystyy todistamaan tietoturvallisuustasonsa sekä täällä kotimaassa että myös kansainvälisesti. Sertifioinnilla: • Suojaat huostaasi uskotut luottamukselliset tiedot ja varmistat liiketoimintasi jatkuvuuden • Varmistat lakisääteisten ja sopimusvaatimusten noudattamisen • Näytät asiakkaillesi, yhteistyökumppaneillesi ja sidosryhmillesi, että otat heidän tietosuojansa vakavasti • Vahvistat luotettavuuttasi todistamalla yrityksesi noudattavan kansainvälisesti tunnustettuja kriteerejä • Asianmukaisella riskienhallinnalla tunnistat organisaatioosi kohdistuvat uhkat, jolloin tietoturva-investoinnit voidaan kohdistaa tehokkaasti oikeisiin kohteisiin ISO/IEC 27000 -standardisarja – yleinen tietoturvastandardi
  7. 7. ISO/IEC 80001 – terveydenhuollon tietoturvastandardi Standardi käsittelee riskienhallinnan soveltamista lääketieteellisiä laitteita sisältäviin tietoverkkoihin. Ei sisällä ulkoista auditointia tai sertifiointia, vain itsearvioinnin. Osa 1-1: Määrittelee roolit, vastuut ja toiminnot, jotka ovat tarpeen IT-verkkojen riskienhallinnassa. Osa 1-2-1: Käytännön sovelluksia ja esimerkkejä lääketieteellisten verkkojen riskienhallinnasta. Osa 1-2-2: Lääkinnällisten laitteiden turvallisuusvaatimusten, riskien ja valvonnan viestintäohjeet. Osa 1-2-3: Ohje langattomista verkoista. Osa 1-2-4: Yleiset toteutusohjeet terveydenhuollon jakeluorganisaatioille. Osa 1-2-5: Ohje standardin IEC 80001-1: 2010 soveltamisesta hajautettujen hälytysjärjestelmien riskienhallintaan. Osa 1-2-6: Ohje IEC 80001-1: ssä kuvatuille sopimuksille, joita käytetään määrittämään roolit ja vastuut sidosryhmissä, jotka osallistuvat lääkinnällisen laitteen sisällyttämiseen tietoverkkoon. Osa 1-2-7: Ohje terveydenhuollon jakeluorganisaatioille suorittaa itsearviointi yhteensopivuudesta standardin kanssa. Osa 1-2-8: Ohje standardissa 80001-2-2 määriteltyjen turvallisuusominaisuuksien asettamiseksi. Osa 1-2-9: Ohje verkottuneiden lääkinnällisten laitteiden tietoturvatapausten tunnistamiseksi, kehittämiseksi, tulkitsemiseksi, päivittämiseksi ja ylläpitämiseksi.
  8. 8. Standardista Tietoturvan hallintajärjestelmään Standardin vaatimusten toteuttaminen organisaatiossa pähkinänkuoressa 1. Johdon sitoutuminen 2. Käyttöönottoprojekti 3. Sertifiointi 4. Ylläpito dynaamisessa toimintaympäristössä PDCA (Vahti 2016 ohjeistus)
  9. 9. Uutisia meiltä ja muualta
  10. 10. What • UHS US Hospitals were hit by Ruyk ransomware • All IT systems were unavailable for a week • According to unofficial reports there were fatalities How? 1. Phishing via email (Emotet/Bazar trojan) 2. Emotet downloads & installs Trickbot 3. Trickbot opens reverse shell to attacker 4. Privilege escalation & lateral movement 5. Installing Ruyk in high value targets Anatomy of a ransomware attack
  11. 11. Know your enemy – Relevant threat analysis for your organization
  12. 12. Know your environment – Use MITRE ATT&CK Framework to gain visibility The four key use cases for MITRE ATT&CK Framework are 1. Threat Intelligence 2. Threat Detection and Analytics (including post-compromise detection) 3. Adversary Emulation 4. Security Assesment and Engineering
  13. 13. The key Resources of cyberdefence • Verified perimeter protection • Threat intel • Ability to detect anomalies inside your networks a la MITRE ATT&CK framework • Update logs, security logs, process information from your endpoints & endpoint protection • Ability to gather this to one single point – SIEM (Security information and event management) • Tools & personnel to analyze the continuos stream of information – SOC (Security Operations Center) • Personnel to address the anomalies before situation gets out of hands - SOC • These functions can be outsourced and it is usually more cost effective way to do so.
  14. 14. Fully managed 24/7 365 Management & Monitoring of your security devices/systems Monthly Threat Hunting conducted (SIEM & EDR) Customer requested / hypothesis Threat Hunting conducted Incident Containment and Remediation Detection rules derived from our Global Threat Intelligence (SIEM & EDR) Ticketing system and full visibility of alerts, containment and remediation actions Monthly reporting Alert Triage & Investigation Escalation (if required) to Global Cyber Incident Repose Team NCC Group offers cybersecurity as service
  15. 15. • Having a 24x7 Managed SOC service backed by a specialist team helps to relieve the pressure • Providing management and expertise across a wide range of leading security solutions and technologies • Take-on of existing solutions allows rapid on-boarding with minimal impact and services can be managed for temporary periods or long term contracts • Offers businesses peace of mind during these uncertain times SOC as a Service Taken on existing solutions
  16. 16. SOC in Process…. SIEM Logs Network Monitoring Cyber Intelligence Security Devices Endpoint Customer 1,200,000,000+ Events/Day (example from UK SOC) ~ 100+ Tickets 1st Line 2nd Line 3rd Line Monitored Environment Analysis Environment Analysts Assist Tickets ~ 3000+ Alarms Security Team, IT Team & Business Management Incident Response
  17. 17. NCC Group’s Managed Vulnerability Scanning Services (MVSS) division offers a number of fully managed vulnerability scanning and bespoke services. These aim to help organisations improve and maintain the security of their internal/external infrastructure and web applications through tailored programmes of regular vulnerability scanning. Our services also provide unrivalled support from both our technical teams and from our Service Delivery Managers. I don’t know where the weak points are on my network Our Managed Vulnerability Scanning Services • Web App Scanning • Security Monitoring • Internal Infrastructure Scanning • DDoS Assured • PCI Scanning
  18. 18. KIITOS! Voit pyytää oheisen raportin vastikkeetta sähköpostitse meiltä!
  19. 19. Lisätietoa • https://www.netect.fi • https://www.nccgroup.trust • https://www.sfs.fi/julkaisut_ja_palvelut/tuotteet_valokeilassa/iso_iec_27000_tietoturvallisuuden_hallinta • https://attack.mitre.org/ • https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/ • https://www.ncsc.gov.ie/pdfs/Cybersecurity_12_steps.pdf • https://securityboulevard.com/2020/02/cybersecurity-frameworks-in-healthcare-and-how-to-adopt-them/ • http://www.phe.gov/Preparedness/planning/405d/Documents/HICP-Main-508.pdf • https://us-cert.cisa.gov/ncas/alerts/aa20-302a • https://www.nccgroup.com/uk/our-research/understanding-ransomware-impact-evolution-and-defensive-strategies/

