Powszechnym sposobem działania są także zakupy na podstawie odgórnych zarządzeń, lokalnych planów awaryjnych, a nawet w trybie ad hoc, dopiero po wystąpieniu zagrożenia. Dlatego skuteczny integrator powinien przeprowadzić analizę sytuacji wraz z osobami zarządzającymi szpitalem, co byłoby punktem wyjścia do zaplanowania właściwej polityki bezpieczeństwa. W zasadzie już na podstawie kilku prostych pytań można stwierdzić, czy w danej jednostce priorytetem jest przeznaczenie środków na skuteczny backup czy też wzmocnienie ochrony styku z Internetem (np. co chcemy chronić, czy i jak zarządzamy infrastrukturą; co będzie, jak nam się nie uda ochronić; jak ograniczyć straty; czy rozwijając się, zwiększamy ryzyko).

Warto podkreślić, że często osoby odpowiedzialne za bezpieczeństwo IT w jednostkach medycznych, chcąc odpowiednio zabezpieczyć placówki, skupiają swoją uwagę na kilku obszarach. Należą do nich: ochrona styku z Internetem (silniki IPS, AV, NGFW), ochrona serwerów pocztowych (AV, AS), zapewnienie systemów antywirusowych stacjom roboczym oraz analiza przesyłanych załączników w środowiskach symulowanych (Sandboxing). Jednak wymienione techniki prewencji są tylko swoistym rodzajem ubezpieczenia, które minimalizuje ryzyko skutecznego ataku, ale niestety go nie wyklucza. Tymczasem każdy specjalista, który odpowiada w szpitalu za zabezpieczenia IT, powinien znaleźć kompromis pomiędzy prewencją (ochrona, zabezpieczenie) a zarządzaniem kryzysowym w razie wystąpienia nieoczekiwanego zdarzenia (backup, odzyskiwanie danych, przywracanie systemów).

 

Na kolejnych stronach prezentujemy rozwiązania dla placówek medycznych, które znajdują się w ofercie Veracomp.

 

Co i w jaki sposób najlepiej zabezpieczyć?

Warstwa dostępowa

Ten element jest niezwykle ważny w przypadku, gdy mamy zdolność do zarządzania ruchem, który w ramach sieci jest dystrybuowany. W innej sytuacji już w pierwszej kolejności projekt powinien zakładać możliwość zarządzania ruchem (Aruba HPE, FortiSwitch). Zaimplementowanie tego rozwiązania zapewni, w przypadku zainfekowania stacji roboczej czy tabletu, ograniczenie tym urządzeniom dostępu do zasobów. Z kolej systemy brzegowe NGFW/Sand box/SIEM/AV Client/Mail Security mogą identyfikować zainfekowane urządzenia na podstawie analizowanego ruchu, wysyłając komunikat do systemu zarządzania siecią LAN/WLAN o potrzebie objęcia ich kwarantanną, czyli odcięcia od poufnych zasobów.

Rozwiązania: FortiGate, HP ArcSight, Extreme Analytics, FortiSIEM, FortiAnalyzer, FortiSwitch, FortiManager, Aruba HPE, Blue Coat Security Analytics, Huawei Security Event Management Center, F5 BIG-IP Local Traffic Manager, F5 BIG-IP Advanced Firewall Manager

 

Identyfikacja użytkownika

W szpitalach czy przychodniach personel medyczny, jak również pracownicy rejestracji często współużytkują stacje robocze oraz urządzenia mobilne. W tym przypadku niezwykle istotnym elementem jest właściwe rozpoznanie użytkownika. Ze względu na coraz częściej podważaną skuteczność identyfikacji bazujacej na loginie i haśle standardem staje się logowanie dwuskładnikowe. W sektorze medycznym jest to niezwykle istotne z uwagi na możliwość konsekwencji w postaci błędów w procesie leczenia pacjentów. Systemy dwuskładnikowego uwierzytelnienia oprócz loginu i hasła wymagają TOKEN-u, generowanego jednorazowo i skojarzonego fizycznie z użytkownikiem (breloczek, aplikacja na smartfon, SMS). Zaawansowane systemy pozwalają za pomocą jednego logowania uzyskać dostęp do wszystkich zasobów organizacji.

Rozwiązania: FortiToken, FortiAuthenticator,  Entrust PKI,  F5 BIG-IP Access Policy Manager, Extreme Access Control

 
Ochrona aplikacji internetowych

Do często wykorzystywanych przez włamywaczy metod należy atak na aplikacje, które są udostępniane pacjentom przez Internet, takie jak portal pacjenta czy e-rezerwacja. Dlatego ten kluczowy w komunikacji element powinien być chroniony przez przeznaczoną do tego platformę WAF (Web Application Firewall). Uwzględnienie takiej ochrony powinno być wpisane do każdego projektu wdrażania aplikacji internetowej.

Rozwiązania: FortiWeb, Huawei Firewall and Application Security Gateway, Radware Cloud WAF, F5 BIG-IP Application Security Manager, A10 Thunder Convergent Firewall

 

Ochrona styku z Internetem

Nowoczesne systemy zabezpieczeń tego obszaru składają się zazwyczaj z kilkunastu niezależnych mechanizmów analizujących dwukierunkowo ruch w Internecie. Kluczowe funkcje, które spełniają te systemy, to: kontrola aplikacji, IPS, AV, firewall stanowy, filtracje stron groźnych czy identyfikacje sieci BotNet. W przypadku wyboru tego typu zabezpieczeń dla placówki medycznej ważne jest, aby zweryfikować, czy dostępne rozwiązanie jest regularnie poddawane niezależnym testom na skuteczność wbudowanych mechanizmów, przeprowadzanych przez uznane międzynarodowe organizacje, takie jak NSS Labs, ICSA Labs, EAL czy Virus Bulletin.

Rozwiązania: FortiGate, FortiSandBox, FortiAnalyzer, Huawei Application Security Gateway, Blue Coat ATP

 
Ochrona stacji roboczych i serwera pocztowego

Cyberprzestępcy w swoich atakach korzystają z tak zaawansowanych mechanizmów, że często ich wykrycie wymaga mechanizmów AV wspartych analizą załączników w środowisku symulowanym – Sandbox. Oznacza to, że w wirtualnym systemie pliki są poddawane zarówno skanowaniu, jak i analizie skutków ich działania. Do takiego procesu pliki mogą być wysyłane zarówno przez system ochrony serwera pocztowego, jak i programy antywirusowe zainstalowane na stacjach roboczych.

Rozwiązania: FortiMail, FortiClient, FortiSandBox, F-Secure MSG, Huawei Sandbox

 

Segmentacja sieci

Założeniem segmentacji sieci jest wydzielenie wewnętrznych stref, pomiędzy którymi organizacja przeprowadza kontrolę ruchu sieciowego. Odpowiednio wydajne rozwiązania NGFW umożliwiają w ramach jednego systemu na podzielenie jego działania na wirtualne instancje, zarówno z myślą o ochronie styku z Internetem, jak i ochronie wewnętrznych segmentów sieci.

Rozwiązania: FortiGate, FortiSandbox, FortiManager, FortiAnalyzer

 

Zapewnienie ciągłości pracy

Zagwarantowanie nieprzerwanego dostępu do elektronicznej dokumentacji i innych systemów szpitala wymaga nie tylko nowoczesnej infrastruktury w centrum danych, lecz także odpowiedniego oprogramowania do zarządzania nim. Współczesne rozwiązania tworzenia systemów klastrowych, wirtualizacji i kopii zapasowych zapewniają wysoką dostępność danych oraz minimalizują przestoje pracy systemu informatycznego w placówkach medycznych, co mogłyby narazić życie i zdrowie pacjentów.

Rozwiązania: arcserve UDP, SEP sesam, Veritas Backup Exec, Veritas NetBackup, Veeam Backup & Replication, HPE Data Protector, HP VM Explorer, Red Hat, Suse

 
Backup danych

Podstawową regułą przy wykonywaniu backupów, poza systematycznością ich przeprowadzania i sprawdzania, jest składowanie kopii jak najdalej od oryginalnych plików. Zaleca się stosowanie zasady 3-2-1, według której powinno się posiadać trzy kopie danych na dwóch różnych nośnikach, w tym jedna z nich powinna się znajdować w innej lokalizacji. Wszystkie pliki powinny być przechowywane w taki sposób, aby osoby niepowołane nie były w stanie dostać się do nich poprzez ich kopie zapasowe.

Rozwiązania: arcserve UDP, SEP sesam, Veritas Backup Exec, Veritas NetBackup, Veeam Backup & Replication, HPE Data Protector, HP VM Explorer

 

 

Odtworzenie

W przypadku utraty danych może się okazać, że sama kopia danych nie wystarczy. Każda jednostka musi mieć stuprocentową pewność, że w przypadku awarii jest w stanie odzyskać utracone dane. Współczesne rozwiązania do backupu zawierają funkcje umożliwiające automatyczne sprawdzanie, czy z utworzonej kopii możliwe jest przywrócenie środowiska systemowego. Ważną kwestią jest także czas potrzebny na przywrócenie funkcjonowania całego systemu (tzw. RTO – Recovery Time Objective). Odpowiednie oprogramowanie umożliwia uruchomienie systemów i usług bezpośrednio z kopii zapasowej (migracja danych przebiega w tle), co znacznie skraca okres niedostępności usług i danych.

Rozwiązania: arcserve UDP, SEP sesam, Veritas Backup Exec, Veritas NetBackup, Veeam Backup & Replication, HPE Data Protector, HP VM Explorer