IT Security | Cloud | Mobile Devices

Z głową w chmurach.Bezpieczeństwo danych a Cloud Computing.

Warszawa 2012

AGENDA | Prelegent 00

- Bezpieczeństwo danych medycznych, uwarunkowania prawne. - Warstwy zabezpieczeń informacji. Czy aby na pewno znamy je wszystkie ? - Czynniki krytyczne budowania polityki bezpieczeństwa danych. - Najsłabsze ogniwo każdego systemu informatycznego.

- Cloud Computing zarys historyczny idei przetwarzania danych w chmurze. - Private, public czy może hybrid ? Które podejście najlepsze dla EHR ? - Zagrożenia modelu Cloud Computing.

AGENDA | Prelegent 01

Paweł PiecuchDyrektor Zarządzający SERAPHIM Consulting & Business Care

Ekspert ds. Implementacji Technologii ITC w Ochronie Zdrowia.Technology Coach, prelegent, publicysta.Autor książki: „Elektroniczna Dokumentacja Medyczna” Wydawnictwo: Wiedza i Praktyka.

- Tworzenie, przechowywanie i przetwarzanie elektronicznej dokumentacji medycznej. - Ochrona danych osobowych i danych wrażliwych pacjentów. - Bezpieczeństwo danych w elektronicznej dokumentacji medycznej.- Źródła finansowania informatyzacji placówki medycznej. - Identyfikacja procesów informacyjnych w placówce metodą tablic kompetencyjnych.

Bezpieczeństwo Danych Medycznych 02

Kevina Mitnicka jako superhakera obawiało się tysiące Amerykanów. Był jedną z najintensywniej poszukiwanych osób w historii FBI. Po aresztowaniu groziła mu kara kilkuset lat pozbawienia wolności, mimo że nigdy nie oskarżono go o czerpanie korzyści finansowych z hakerstwa. Wyrokiem sądu zakazano mu jakiegokolwiek dostępu do komputera. Sąd uzasadnił wyrok:

"Uzbrojony w klawiaturę jest groźny dla społeczeństwa".

Po zwolnieniu Mitnick zupełnie odmienił swoje życie. Stał się najbardziej poszukiwanym ekspertem w Stanach od spraw bezpieczeństwa systemów komputerowych. W "Sztuce podstępu" odkrywa tajemnice swojego "sukcesu", opisuje jak łatwo jest pokonać bariery w uzyskiwaniu ściśle tajnych informacji, jak łatwo dokonać sabotażu przedsiębiorstwa, urzędu czy jakiejkolwiek innej instytucji. Robił to setki razy wykorzystując przemyślne techniki wywierania wpływu na ludzi. Mitnick udowadnia, jak złudna jest opinia o bezpieczeństwie danych prywatnych i służbowych, pokazuje jak ominąć systemy warte miliony dolarów, wykorzystując do tego celu ludzi je obsługujących.

03

ŁAMAŁEM LUDZINIE HASŁA

Bezpieczeństwo Danych Medycznych

AGENDA | Prelegent 04

Ustawodawca precyzyjnie określa, jakie wymagania w zakresie bezpieczeństwa muszą spełniać systemy dedykowane dla zarządzania elektroniczną dokumentacją medyczną.

Wydaje się, że każdy z obecnie oferowanych systemów jest zabezpieczony w odpowiednim stopniu.

Dlaczego w takim razie mówimy tak wiele o bezpieczeństwie systemów ?

Czym jest bezpieczeństwo ?Jak je mierzyć ?

Realne zagrożenie 05

Nie możemy ulepszać czegoś czego nie potrafimy zmierzyć !

Dlaczego dane medyczne mogą być cenne dla potencjalnego cyberprzestępcy ?

- kradzież tożsamości ?- wartość informacji zawierających dane osobowe.

Najsłabsze ogniwo każdego systemu informatycznego ?

Warstwy zabezpieczeń 06

BEZPIECZEŃSTWO

Zabezpieczenia sprzętoweZabezpieczenia oprogramowania

Czujniki biometryczne

Monitoring

Polityka bezpieczeństwa

PERSONEL

Realne zagrożenie 07

Koniecznością są szkolenia w zakresie bezpieczeństwa informacji wśród pracowników placówek medycznych: lekarzy, pielęgniarek, kadry zarządzającej.

Świadomość zagrożenia jest jednym z najskuteczniejszych środków zaradczych.

Utrzymanie stałego poziomu bezpieczeństwa to wyzwanie nie tylko dla osób zajmujących się w placówce infrastrukturą IT, ale przede wszystkim dla kadry zarządzającej !

Regularne pomiary poziomu bezpieczeństwa !

Cloud Computing ? 08

Cloud ComputingModel przetwarzania informacji oparty o wykorzystanie usług dostarczonych przez zewnętrzne organizacje. W dużym uproszczeniu wykorzystanie Cloud Computing’u polega na zamianie produktu (oprogramowania, infrastruktury sprzętowej, przestrzeni dyskowej etc. ) na usługę świadczoną przez wydelegowaną jednostkę wewnątrz organizacji (private cloud) bądź zewnętrznego dostawcę (public cloud).

O chmurze hybrydowej (hybrid) mówimy w przypadku wykorzystania zarówno jednostki wewnętrznej jak i zewnętrznych dostawców usług. Dla przykładu :

Wewnętrzna infrastruktura IT oparta na rozwiązaniach wirtualizacji wykorzystująca jako dodatkowy mechanizm kopii zapasowych zewnętrzne centrum danych.

09 Cloud Computing ?

Czy wykorzystanie Cloud Computingu niweluje wszystkie słabości systemu bezpieczeństwa danych o których tutaj wspomnieliśmy ?

Nie do końca, aczkolwiek znacznie je ogranicza…

10 Cloud Computing ?

Przede wszystkim zewnętrzni dostawcy dysponują zazwyczaj o wiele bardziej kompleksowymi systemami zabezpieczeń infrastruktury IT niż większość placówek medycznych.Minimalizujemy również czynnik ludzki, wszelkie prace serwisowe są wykonywane przez dostawcę usług Cloud Computingu.Żadne dane nie są przechowywane lokalnie więc minimalizujemy również ryzyko związane z kradzieżą urządzeń.

Zewnętrzni dostawcy zapewniają również o wiele dokładniejsze metody logowania aktywności użytkowników oraz dysponują narzędziami do ich analizy co zapewnia większą odporność na zagrożenia wewnętrzne.

Cloud Computing | Zagrożenia 11

W przypadku zewnętrznych centrów danych, najczęściej całą infrastrukturę chroni zespół kompleksowych systemów bezpieczeństwa, jednak jeśli ta bariera zostanie przekroczona przez włamywacza – zyskuje on w większości przypadków dostęp do całości danych wszystkich klientów danego centrum.

Dane poszczególnych klientów nie są chronione oddzielnie !

Znane są przypadki włamań do wielkich systemów Cloud’owych (PSN).

W wyniku tych włamań utracone zostały setki tysięcy rekordów danych kont użytkowników z całego świata.

12

Najbardziej odporne na wszelkiego typu ataki wydają się być systemy wykorzystujące zarówno infrastrukturę chmury publicznej oraz prywatnej – czyli tak zwaną chmurę hybrydową.

Dane w tym przypadku chronione są zarówno przez systemy wewnętrzne placówki jak i przez zaawansowane systemy zewnętrznego centrum danych, które udostępnia usługę public cloud.

Kiedy warto zastanowić się nad wykorzystaniem Cloud Computingu ?

Cloud Computing | Zagrożenia

Bezpieczeństwo urządzeń mobilnych i sieci WiFi 13

http://threatpost.com/en_us/blogs/information-nearly-4000-patients-risk-stolen-laptop-incident-072312

Bill Crounse, MD, is Senior Director, Worldwide Health for the Microsoft Corporation. He is responsible for providing worldwide thought leadership, vision, and strategy for Microsoft technologies and solutions in the

healthcare provider industry. He received his B.S. Degree at the University of Puget Sound and is a

graduate of the Medical University of Ohio. As a board certified family physician, he practiced medicine in the

Seattle area for 20 years.

http://blogs.msdn.com/b/healthblog/

Wykorzystanie chmury obliczeniowej zapobiega utracie wrażliwych danych medycznych w przypadku kradzieży laptopa, tabletu czy innego urządzenia mobilnego umożliwiającego dostęp do danych systemu EHR.

Nie zmienimy nawyków personelu !

Podsumowanie 14

Najsłabszym ogniwem każdego systemu zabezpieczeń pozostanie zawsze człowiek.

Skuteczna polityka bezpieczeństwa powinna obejmować przede wszystkim szkolenie personelu oraz nieustanne pomiary poziomu bezpieczeństwa danych medycznych.

Odpowiednie wykorzystanie możliwości jakie niesie ze sobą wykorzystanie infrastruktury opartej o Cloud Computing, znamiennie podnosi poziom bezpieczeństwa danych medycznych oraz chroni placówkę przed większością zagrożeń wewnętrznych.

Świadomość zagrożenia stanowi realne zabezpieczenie.

SERAPHIM CONSULTING & BUSINESS CARE

Dziękuję za uwagę. 15

Paweł PiecuchDyrektor Zarządzający SERAPHIM Consulting & Business Care

Ekspert ds. Implementacji Technologii ITC w Ochronie Zdrowia.Technology Coach, prelegent, publicysta.Autor książki: „Elektroniczna Dokumentacja Medyczna” Wydawnictwo: Wiedza i Praktyka.

kontakt@pawelpiecuch.com

+48 516 133 797