adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · adatvédelem-vírusvédelem...
TRANSCRIPT
![Page 1: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/1.jpg)
Adatvédelem-vírusvédelem
aktuális szervezeti kérdései
az egészségügyi
intézményekbenNagy István
Gottsegen György Országos Kardiológiai Intézet
Informatikai osztályvezető
XXIII. Magyarországi Egészségügyi Napok Debrecen 2016
![Page 2: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/2.jpg)
Felelős kórházi vezető kérdései
informatikai adatvédelem és
sérülékenység témában
![Page 3: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/3.jpg)
• Milyen informatikai fenyegetéseknek vagyunk kitéve?
• Vajon mennyire biztonságosak az informatikai
rendszereim?
• Mennyire nehéz kijátszani az általunk alkalmazott
biztonsági technológiákat?
• Elegendő-e az eddig elért biztonsági szintünk? Mit kell
tennem annak érdekében, hogy – minél
költséghatékonyabban, de – tovább lehessen növelni?
• Mi a helyzet az adatszivárgással? Elkerülhető-e a bizalmas
adatokkal való visszaélés?
• Törvényi megfelelés ! ??
![Page 4: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/4.jpg)
Az adatvédelemmel kapcsolatos
kérdések indokoltságát alátámasztó
tények
![Page 5: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/5.jpg)
EESZT
(TIOP 2.3.2)
eHealth
szolgáltatások
(TIOP 2.3.1)
TIOP 2.3.3
2015 év végén több egészségügyi
informatikával kapcsolatos projekt
lezáródott
![Page 6: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/6.jpg)
Hamarosan indul az EESZT és a
hozzá kapcsolódó szolgáltatások
![Page 7: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/7.jpg)
2016 év első 8 hónapjában mind az európai,
mind a magyar kórházakban okoztak
meglepetéseket és zavarokat a vírusok
![Page 8: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/8.jpg)
![Page 9: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/9.jpg)
Adatvédelmi audit
Forrás- Dr. Hortobágyi József Operatív projektvezető, TIOP 2.3.3
![Page 10: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/10.jpg)
TIOP 2.3.3. kapcsán készült kérdőíves
felmérés melynek a projektcélja
a fekvő- és járóbeteg intézmények IT infrastruktúráinak, HIS
rendszereinek és külső internetes / publikus felületeinek IT
biztonsági auditja, az állami és önkormányzati szervek
elektronikus információbiztonságáról szóló 2013. évi L.
törvényben (Ibtv.), valamint végrehajtási rendeleteiben foglalt
követelményrendszer meglétének vizsgálata.
Hatókör
� A projektben részt vevő összes (191) db. intézmény
� 144 db intézmény adott választ (75%)
� A kérdőívben szereplő megválaszolt kérdések aránya
átlagosan 32,5%-os volt.
![Page 11: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/11.jpg)
Kibertér (cyberspace)
A számítógéprendszerek és hálózatok által
alkotott metaforikus tér,amelyben elektronikus adatok
tárolódnak és online adatforgalom, valamint
kommunikáció zajlik.
A kifejezés a tudományos-fantasztikus
irodalomból ment át a köztudatba, ahol olyan virtuális
világot is jelent(het), amelyben a megszállott
számítógép használók és más lények,
például kiborgok élnek.
(Wikipedia)
![Page 12: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/12.jpg)
Az elektronikus információbiztonsági megfelelőség és
sérülékenység-vizsgálat célja
• pontos kép alakuljon ki a rendszerben meglévő azon
informatikai sérülékenységekről, melyek a rendszerben tárolt
védett adatokhoz való illetéktelen hozzáférést tesznek
lehetővé, és
• célszerű javaslat szülessen az e sérülékenységekből adódó
kockázatok csökkentésére, illetve megszüntetésére,
• valamint, hogy megállapítsa, hogy a megvalósított rendszerek
mennyiben felelnek meg a 2013. évi L. törvény és végrehajtási
rendeleteiben foglaltaknak.
![Page 13: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/13.jpg)
� Kockázatkezelés és kibervédelem
� Eszközök, szoftverek nyilvántartása; adattárolási helyek; külső rendszer
kapcsolatok; szabályzatok; korábbi felmérések, vizsgálatok voltak-e;
� Szervezet
� Informatikai biztonsági felelős; kibervédelmi képzések; biztosítás
károkozás esetére;
� Hálózat- és információvédelem
� Hálózatbiztonsági eszközök; fejlesztői-teszt környezet; szabályozás: info.
eszk. mozgatása, külső adattárolók; archiválás, incidenskezelés, mentési
eljárások, titkosítás, hitelesítés
� Távoli hozzáférés kockázatai
� Módja; igénybe vehető szolgáltatások; authentikáció; authorizáció;
naplózás; határvédelem; behatolás védelem;
Az elektronikus információbiztonsági megfelelőség és
sérülékenység-vizsgálat célja
![Page 14: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/14.jpg)
� Szállítói és harmadik félből eredő kockázatok
� Szabályzatok kiterjesztése beszállítókra; minőség bizt. tanúsítványok;
it bizt. követelmények beszerzéskor; szállító hozzáférése belső
erőforráshoz; szállítói támogatás kívülről;
� Jogosulatlan tevékenység észlelése
� naplózás; monitorozás: hálózat, eszközök, külső hozzáférések,
jogosulatlan eszközök belső hálózatban; veszélyes kódok futásának
ellenőrzése;
� Eddigi incidensek és kezelésük
� Volt e?: Malware; DOS/DDOS; alkalmazás leállás hardver hiba miatt;
jogosulatlan hozzáférés vállalati / nem vállalati eszközön keresztül;
adathalász levél; érzékeny adatszivárgás;
Az elektronikus információbiztonsági megfelelőség és
sérülékenység-vizsgálat célja -2
![Page 15: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/15.jpg)
![Page 16: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/16.jpg)
A felmérés alapján a jellemző
intézményi problémák
![Page 17: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/17.jpg)
Weboldal sérülékenység miatt portál alkalmazások
kompromittálhatóak, adatok elérhetővé tehetőek
illetve miatt kapcsolat létesíthető a belső
rendszerekkel
• Ha a szoftver nem jól van megírva sérülékenyebb a rendszerünk
• Csak a használt hálózati protokollok engedélyezése (pl:TCP/IP)
• A protokoll titkosítási erősség beállítása
• A kommunikáció titkosítási algoritmusának megadása
• A kommunikációra használt portok nyitása vagy zárása
(pl.HTTP - Port 80)
• Titkosított kommunikációra használt port nyitása vagy zárása
• Weboldal sérülékenység webhosting esetében nehezen
ellenőrizhető, más nem ismert weboldalak miatt
![Page 18: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/18.jpg)
Gyenge, triviális, kitalálható, alapértelmezett vagy
gyári jelszavak használata
![Page 19: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/19.jpg)
![Page 20: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/20.jpg)
Külső „harmadik fél” által üzemeltetett
szolgáltatás veszélye – hibaelhárítás lassú
![Page 21: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/21.jpg)
Az információbiztonság
kiterjesztése mobil eszközökreMinden korábbi elképzelést felülmúl a mobil eszközök napjainkban tapasztalható térnyerése.
Okostelefonok, táblagépek, netbook-ok, notebook-ok széles skálája könnyíti meg életünket és
nyújt soha nem látott kommunikációs szabadságot. Nem szabad azonban elfeledkeznünk arról,
hogy ezek az eszközök komoly biztonsági kockázatot is hordoznak, hiszen bizalmas adatokhoz
adnak hozzáférést, sokszor nem megfelelően kontrollált módon. A vállalati felhasználóknál
gyakran előfordul, hogy az ilyen eszközök alkalmazásakor elsiklanak az információbiztonsági
szempontok felett.
![Page 22: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/22.jpg)
Az információbiztonság
kiterjesztése mobil eszközökreNéhány példa:
• Nem védik jelszóval, PIN kóddal az eszközhöz való hozzáférést, így az
eszköz elvesztése, ellopása vagy egyszerűen magára hagyása esetén
könnyen vissza tudnak élni a rajta tárolt bizalmas adatainkkal.
• A mobil eszközökön futó operációs rendszerek nem titkosítva tárolják az
adatokat.
• A tárolt adatokról nem mindig készülnek biztonsági mentések, azaz az
eszköz elvesztése, ellopása esetén gyakorlatilag megsemmisülnek
pótolhatatlan bizalmas adataink.
• Tömegesen használják az alapból nem biztonságos kommunikációs
csatornákat (wifi, bluetooth).
• A közösségi oldalakkal való automatikus adatszinkronizáció révén bizalmas
adatok is könnyedén publikálásra kerülhetnek, ezzel gyakorlatilag
megszüntetve a vállalati adattestek szeparáltságát.
![Page 23: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/23.jpg)
Hálózatok túlzott átjárhatósága
Cél: világméretű infokommunikációs
hálózat kialakítása, amely biztosítja a
különböző hálózatok közti barangolás
képességét, anélkül, hogy a felhasználó
ennek a hatásait bármilyen módon
érzékelné: a felhasználó szemszögéből a
kommunikáció transzparens legyen.
![Page 24: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/24.jpg)
Információbiztonság tudatosság hiánya
![Page 25: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/25.jpg)
Hiányzó biztonsági szabályzatok és
betartatásuk
![Page 26: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/26.jpg)
Túlzóan széleskörű jogosultság adás (kényelmi
okból) szakmai és nem szakmai rendszerekhez
1. authentikáció (authentication) – hitelesítés (személy)azonosítás biztosítása
2. A megfelelő autentikáció után következik a jogosultságok felhasználóhoz vagy
egyéb szubjektumhoz rendelése.
Fontos kiemelni, hogy a megfelelő autentikációt követheti egy nem megfelelő
autorizáció .
Amennyiben nem megfelelő a jogosultságok kezelése, úgy a rendszer
mindhárom fő biztonsági paramétere sérülhet.
![Page 27: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/27.jpg)
![Page 28: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/28.jpg)
Internetes oldalak korlátlan használata
![Page 29: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/29.jpg)
![Page 30: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/30.jpg)
Naplózás és naplómenedzsment hiánya, mely
nélkül adatlopások és kémkedési kampányok
nem deríthetőek fel
![Page 31: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/31.jpg)
Elavult, régi nem támogatott rendszerek és
szoftverek használata
A szoftverben felismert biztonsági rések nem kerülnek kijavításra.
![Page 32: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/32.jpg)
https://pixelmarketing.hu/serulekeny-bovitmenyek-2016-julius/
![Page 33: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/33.jpg)
A dolgozók informatikai biztonság
tudatosságának oktatása
![Page 34: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/34.jpg)
![Page 35: Adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István](https://reader031.vdocuments.net/reader031/viewer/2022011813/5e380c88ef0e4f079a276da7/html5/thumbnails/35.jpg)
Mottó: az aggodalom önmagában senkit nem óv meg semmitől. A tudás, a tapasztalatok és a segítség viszont annál inkább.