Kyberturvallisuus sairaaloiden eri toimialoilla

Samankaltaiset tiedostot
Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Istekki Keski-Suomen ICT-ryhmä

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Varavoimalaitteet sairaalassa

PSHP ja mobiiliratkaisut. Asko Nieminen Asiantuntijalääkäri PSHP tietohallinto

PSSHP Tietohallintostrategia

LapIT mukana maakuntavalmistelussa. Antti Mathlin

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Tietomurroista opittua

VALVO JA VARAUDU PAHIMPAAN

SUOMESSA ALUEELLINEN TOIMIJA

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Paikkatiedon hyödyntäminen älykkään sairaalan ICTympäristössä

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

Elisa Toimisto 365. Toimisto ja yhteydet pilvestä

Lääketieteellisen tekniikan ja taloautomaation suojaaminen digitalisoituvassa toimintaympäristössä Istekki Asiakaspäivät 2018

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

ICT:n mahdollisuuksien hyödyntäminen SOTE-TULEVAISUUSPÄIVÄ Kuntatalo Matti Franck, VSSHP

Yliopistollisten sairaanhoitopiirien klusteri

TIETOJÄRJESTELMIEN KEHITTÄMINEN KESKI-SUOMEN SUOMEN SAIRAANHOITOPIIRISSÄ - TIETOHALLINNON ROOLI. Tietohallintojohtaja Martti Pysäys

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Valtion yhteiset infrastruktuuripalvelut. Tuomo Pigg Neuvotteleva virkamies JulkICT-toiminto

KYS erva johtoryhmä tietohallintotoimikunnan tilannekatsaus

Sairaanhoitopiirien ja suurten kaupunkien ajankohtaisia digitalisaatio- ja tietojärjestelmäkehittämishankkeita koskeva johtajatapaaminen 22.3.

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Hyvä tietää: Ajankohtaista sotetiedonhallinnan. Suomessa Tuomo Pekkarinen Tietohallintojohtaja, Pohjois-Savon sairaanhoitopiiri

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Ajankohtaista yhteistestauksesta

Tietosuojaseloste. Trimedia Oy

Terveydenhuollon Atk-päivät 2009

ICT-suunnitelmien toteutus Kuntayhtymän hallituksen seminaari

<raikasta digitaalista ajattelua>

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Istekki Oy:n turvallisuus- ja riskienhallintapäivät Jyväskylässä

SOTE- ja Maakuntauudistus

Pilvipalveluiden arvioinnin haasteet

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

INTEGROINTIRATKAISU PERUSTERVEYDENHUOLLOSSSA

G4 Yliopistosairaaloiden ja keskuskaupunkien yhteistyö. Yrjö Koivusalo tietohallintojohtaja VSSHP

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

1 YLEISKUVAUS Valokaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

SOTE-UUDISTUKSEN ETENEMINEN JA VAIKUTUKSET ICT- YHTEISTYÖHÖN

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Kokemuksia kertakirjautumisesta kuinka Valvira-kortista tehdään haluttu

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Kyberturvallisuus kiinteistöautomaatiossa

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle.

Tieto hyvinvoinnin ja uudistuvien palveluiden tukena

< Projekti > ICT ympäristön yleiskuvaus

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

ROVANIEMEN KOULUTUSKUNTAYHTYMÄ Tietoturvapoikkeamiin reagoiminen v.2006

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Tietohallinto. Risto Laakkonen, Tuotantopäällikkö. Arki sujuu helpommin, kun apu löytyy läheltä.

HUS hallitus

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Maakuntien ja kuntien kansallinen ja alueellinen yhteistyö. Maakuntien Sote ICT muutos isokuva. Selvityshenkilö Pekka Kantola 24.5.

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

Osoitteena O365. Toimisto ja yhteydet pilvestä

ALUEELLISESTI YHTENÄINEN TIETOJÄRJESTELMÄARKKITEHTUURI PALVELUIDEN JA RAKENTEIDEN KEHITTÄMISEN TUKENA

ICT-ratkaisuja näkemyksellä

ESITE. Coromatic Operations Anna meidän hoitaa kriittisten toimintojenne hallinnointi

Potilastiedon arkisto Hakemus ja sitoumus. Kela, Kanta-palvelut, Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja

TIETOTURVAA TOTEUTTAMASSA

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Kyberturvallisuuden implementointi

Toimitilojen tietoturva

Tietopalveluiden sisältö ja vastuunjako

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Verkostoautomaatiojärjestelmien tietoturva

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Atop-Tieto Oy:n asiakas- ja markkinointirekisteri, tietosuojaseloste

Uusi sairaala, Keski-Suomen Sairaala Nova Kyberturvallisuus sairaalaympäristössä

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Järjestelmäarkkitehtuuri (TK081702) Hajautettu tietokanta. Hajautuksen hyötyjä

Espoon kaupunki Tietoturvapolitiikka

MIRATEL OY ON NYT ASCOM MIRATEL OY

Transkriptio:

Kyberturvallisuus sairaaloiden eri toimialoilla Tuomo Pekkarinen, tietohallintojohtaja, Pohjois-Savon sairaanhoitopiiri Sairaanhoitopiirien kyberturvallisuusseminaari, 19.10.2016 12.10.2016 1

12.10.2016 2

Taustaa Tietoliikennekatkos 8/2015 Digitalisaatio Toimintaympäristön muuttuminen mm. paperiton sairaala hanke EU:n 14.4.2016 hyväksymä uusi yleinen tietosuoja-asetus ja sen tuomat vaatimukset vuoteen 2018 mennessä Palvelutasojen puuttuminen Istekin ja PSSHP:n välisistä palvelusopimuksista Suunnittelun pohjalla Standardit kuten ISO 27001, ISO 27002, ISO 27005, ISO 27799, ISO 31000 Vahti vaatimukset, vahti korotettu taso (tietojen suojausluokka III) Kriittiset käyttötapaukset toiminnan näkökulmasta Posa 2016 oman toiminnan turvaaminen 12.10.2016 3

Tavoite toteuttaa korkean käytettävyyden ICT-ympäristö, joka: mahdollistaa huoltotoimenpiteiden tekemisen 24/7 siten, että ne eivät aiheuta katkoja toimintaan varmistaa yhteistoiminta-alueen laajuisten palveluiden 24/7 saatavuus varmistaa potilastiedon saatavuus eheys luottamuksellisuus mahdollistaa paremman potilasturvallisuuden ja sairaalan toimintojen jatkuvuuden hallinnan mahdollistaa digitalisaatiosta aiheutuvien riskien hallinnan mahdollistaa kriittisten järjestelmien katkottoman käytettävyyden 12.10.2016 4

ICT-varautumishanke 2016-2018 12.10.2016 7

Tilannekuva hankkeen jälkeen Päätelaitteet ja lääketieteellisen tekniikan laitteet TIETOTURVA TIETOTURVA VYÖHYKE TIETOTURVA VYÖHYKE Konesali A Työasemat B-verkko TIETOTURVA VYÖHYKE Työasemat A-verkko TIETOTURVA VYÖHYKE Uudistetut tietoliikenne -laitteet Verkko A Kriittiset järjestelmät hajautettu kahteen eri konesaliin Konesalien väliset yhteydet Muut päätelaitteet B-verkko TIETOTURVA VYÖHYKE Muut päätelaitteet A-verkko TIETOTURVA VYÖHYKE Konesali B (EMP suojattu) Digitaalinen kuvantaminen B-verkko Digitaalinen kuvantaminen A-verkko Verkko B TIETOTURVA VYÖHYKE TIETOTURVA VYÖHYKE Kriittiset järjestelmät hajautettu kahteen eri konesaliin LTT laitteet A-verkko LTT laitteet B-verkko 12.10.2016 8

Kyberturvallisuutta ja jatkuvuutta parannetaan Tietojärjestelmät Sairaalan toiminnan kannalta kriittisten tietojärjestelmien luokittelu SLA 99,5-99,99% Tietojärjestelmien arkkitehtuuriarviointi ja mahdollinen uusiminen varautumisen näkökulmasta mm. mahdollisuus fyysiseen hajauttamiseen 12.10.2016 9

Kriittiset järjestelmät Potilastietojärjestelmät - Uranus Miranda Desktop, - Oberon, Ariel, Alue-Pegasos Laboratoriojärjestelmät - Musti (poistuva järjestelmä), - KYS-ML, Laboratorio-OVT Patologian järjestelmät - Qpati Tehohoidon järjestelmät - Critical Care Clinisoft Veritilausjärjestelmät - Verkis Anestesiatietojärjestelmät - Centricity Anaesthesia Leikkaustoiminnan ohjaus - Orbit Tiedonvälitysrajapinta - Ensemble Kuvantamisen järjestelmät - RIS, PACS, FORTE KOVIS KIBI, - NeaLink (mm. alue-ekg) Synnytyskertomus - Haikara / Pikkuhaikara Hoitajakutsujärjestelmät - Miratel Aurora / Innova, Schrack Keskusvalvontajärjestelmät - Carescape, Philips Toiminnanohjausjärjestelmät - Codea Turvallisuusjärjestelmät - Kameravalvonta, Äänievakuointi - Escraft, ESMIKKO, Tunstall Viestintäratkaisut - Puhelinvaihde, Oscar, Exchange Muut toiminnan kannalta kriittiset järjestelmät - SYKe, Citrix, SCCM, Direct Access, - DHCP, Active Directory 12.10.2016 10

Kyberturvallisuutta ja jatkuvuutta parannetaan Tietoliikenne Verkon looginen ja fyysinen segmentointi ja kahdennus Segmentoinnin periaatteet Samaa loogista kokonaisuutta olevat ratkaisut samoissa verkoissa (suojavyöhykkeissä) Eristetty muista verkoista sovellustietoisuuden avulla Konesali Toisen fyysisen konesalin käyttöönotto Tietojärjestelmien fyysinen hajauttaminen, empsuojaus 12.10.2016 11

Kyberturvallisuutta ja jatkuvuutta parannetaan Tietoturva Sopimuskäytäntöjen kehittäminen Tietoturvan, tietosuojan ja jatkuvuuden hallinnan huomioiminen palvelusopimuksissa Palvelukohtaisten jatkuvuussuunnitelmien kehittäminen Tietoturva- ja tietosuojariskien huomioiminen jo vaatimusmäärittely- ja hankintavaiheessa Jatkuvaa riskien arviointia kokonaisarkkitehtuurin kaikilla tasoilla koko käyttöönottoprojektin ajan -> muutoksissa ja määräajoin tietosuoja-asetus velvoittaa koskettaa sekä tietojärjestelmiä, lääketieteellisen tekniikan ratkaisuja, taloautomaatiota, iot-laitteita yms. 12.10.2016 12

Kyberturvallisuutta ja jatkuvuutta parannetaan 24/7 valvomotoiminta Havainnointikyvyn lisääminen (hyökkäysikkunan pienentäminen) SIEM, tunnisteet, heuristiikka, anomaliteettien havainnointi Reagointikyvyn lisääminen -> Triage -> Incident response (tietoturvapoikkeamien reaaliaikainen käsittely), rajoittamiskyvykkyys, forensiikka, ilmoituskyvykkyys Säännölliset haavoittuvuusskannaukset ja korjaustoimet Muutoksenhallinnan kehittäminen Verkostojen hyödyntäminen (toimialan muut toimijat, viranomaiset, cert-fi, kyberturvallisuuskeskus, hvk, pv ) Tiedonjakaminen 12.10.2016 13

Kyberturvallisuutta ja jatkuvuutta parannetaan Kolmansien osapuolten etäyhteyskäytäntöjen kehittäminen Henkilökohtaiset tunnukset Lokitietojen kerääminen Pääsyn rajoitus vain tiettyihin resursseihin Sopimuskäytännöt käytettäessä toimittajien omia etäyhteysteknologioita Sovellus- ja käyttäjätietoisten hiekkalaatikko -ratkaisujen käyttöönotto Toimintaan liittymättömien sovellusten estäminen mm. palomuurin avulla (ulko- ja sisäverkon suojavyöhykkeet) Legacy -järjestelmien eristäminen muusta verkosta sovellustietoisuuden avulla Selaimen ja sähköpostin erottaminen pohjakäyttöjärjestelmästä Ulkopuolisille tarjottavien palveluiden julkaisu ja esim. kumppaneiden yhteyksien rajoittaminen käyttäjä- ja sovellustietoisuuden avulla Käyttövaltuushallinnan automatisointi IAM/IDM -ratkaisulla 12.10.2016 14

Kyberturvallisuus on jatkuva prosessi joka vaatii Johdon sitoutumisen Järjestelmien omistajien sitoutumisen Organisoinnin Riittävät resurssit Riittävän osaamisen Jatkuvan kehittämisen 12.10.2016 15

Havaintoja sote- ja kuntasektoreilta (Istekki Oy) Vuosi 2016 on ollut erityisesti kiristyshaittaohjelmien vuosi Locky, Teslacrypt, CryptXXX, KeRanger, Dogspectus ja viimeisimpänä Cerber Kohdistetut sähköpostit joiden, liitteenä esim. pdf-tiedosto, jolla yritetään käynnistää kiristyshaittaohjelmien lataajia Kiristyshaittaohjelmia tarttunut, levyjä salattu, laitteita jouduttu vaihtamaan ja asentamaan uudelleen Käyttäjä tilannut sähköpostiinsa lisätilaa => postilaatikko otettu haltuun 11. minuutin kuluessa postin saapumisesta Erään tahon lähettämä kysely, jossa vastaanottajia merkittävä määrä. Palveluntuottajana suomalainen kyselypalveluyritys, joka käyttää kotimaisen palveluntarjoajan teknologia-alustaa. Alustalle istutettu xsshaittaohjelma, joka käynnistää englantilaisen nettikaupan (bändipaitoja ) sivustolta haittaohjelmalataajan Maakuntalehti x ja Maakuntalehti y levittivät haittaohjelman lataajaa, joka tarttuu valikoivasti sopiviin kohteisiin. 12.10.2016 16

Havainnointi- ja estokyvykkyys

Kiitos! Yhteystiedot: Tuomo Pekkarinen tuomo.pekkarinen@kuh.fi 044-717 2080 12.10.2016 18

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute