Ustawa o krajowym systemie cyberbezpieczeństwa oraz Dyrektywa NIS zobligowały Operatorów Usług Kluczowych do spełnienia wielu wytycznych i procedur z zakresu bezpieczeństwa informacji. Dziś skupimy się na głównych kłopotach OUK z sektora ochrony zdrowia, wynikających z ustawy.
Problemy z testami technicznymi
OUK ochrona zdrowia mówią jednym głosem, iż analiza techniczna powinna stać się stałym elementem audytu KSC, ponieważ zapewnia weryfikację i ocenę skuteczności istniejącego systemu bezpieczeństwa.
Problemem w kontekście testów technicznych jest korzystanie z tanich i niekompetentnych audytorów, którzy pozornie przynoszą oszczędności, skazując firmę w konsekwencji na podwójne koszty. Szukając firmy zajmującej się przeprowadzaniem testów warto wziąć pod uwagę zespół z odpowiednimi kwalifikacjami i doświadczeniem. Kompetentny zespół bez problemu poradzi sobie z oceną architektury bezpieczeństwa i przeprowadzeniem testów technicznych, na które składają się testy konfiguracji, testy podatności i testy penetracyjne wraz z poprawną interpretacją uzyskanych wyników, wygenerowanych przez narzędzia do prowadzenia skanów. Zakres testów powinien być dostosowany do potrzeb firmy i rozszerzony o najbardziej ryzykowne obszary. Szpitale i placówki medyczne powinny przeprowadzać kompleksowe testy, a nie tylko te dotyczące niewielkiego wycinka systemu, ponieważ atakujący zwykle wykorzystują luki w systemie bezpieczeństwa. Testy penetracyjne powinny być realizowane w odniesieniu do przyjętych standardów i dobrych praktyk tj. OWASP TOP TEN lub OWASP ASVS. Testy podatności mogą być realizowane wewnętrznie, szczególnie gdy placówka medyczna posiada niższy budżet.
Mocne i słabe strony audytów online
Audyty online są obecnie częściej przeprowadzane z uwagi na COVID-19. Forma online sprawia, że są one w 100% bezpieczne i nie narażają osób na zachorowanie koronawirusem. Audyty online mają swoje blaski i cienie. Do mocnych stron tej formy audytu możemy zaliczyć łatwość prowadzenia osobistych wywiadów 1 na 1 – bez barier czasowych, które obecne są podczas audytów u klienta. Pozytywną wartością audytu online jest opcja udostępniania ekranu przez audytowanego, co umożliwia przejście przez poszczególne komponenty systemu i jego konfigurację bez konieczności odwiedzania biura klienta. To znacznie ułatwia pracę i pozwala zaoszczędzić cenny czas. Plusem audytu online jest także możliwość zdalnego uzyskania dokumentacji w formie elektronicznej. Kolejnym pozytywem audytu online jest lepsza efektywność pracy audytora.
OUK ochrona zdrowia widzą też wiele słabych stron audytów online, które powinny zostać poprawione. Pierwszym z nich są problemy z komunikacją podczas spotkań grupowych i kłopoty z instalacją narzędzi lub konfiguracją urządzeń do prowadzenia testów technicznych. Inne minusy audytu stanowią problemy z oceną zabezpieczeń fizycznych i środowiskowych oraz brak możliwości pozyskania najwrażliwszej części dokumentacji. Minusem audytu online u OUK ochrona zdrowia jest częsty brak możliwości uzyskania zdalnego oglądu kluczowych elementów infrastruktury. Audyt wyłącznie online nie jest w stanie zweryfikować wszystkich aspektów związanych z bezpieczeństwem np. bezpieczeństwa fizycznego. Optymalne wydaje się łączenie audytów zdalnych z audytami na miejscu w proporcji 80%/20%.
Blaski i cienie szablonu audytu KSC
Nasi Klienci Operatorzy Usług Kluczowych bardzo pozytywnie oceniają szablon audytu KSC, który według nich minimalizuje subiektywizm badania, oferując w zamian przydatne narzędzia i uporządkowany system przeprowadzania audytu. Szablon prowadzi do ujednolicenia podejścia do raportowania, wskazując zakres weryfikacji, której powinien dokonać audytor.
Minusami szablonu audytu KSC są wysokie wymagania wobec mniejszych podmiotów leczniczych i małych szpitali, których nie są w stanie spełnić. Nasi Klienci OUK sądzą, iż w kolejnych wersjach szablonu powinno się dostosowywać wymagania do skali jednostki, obszaru i wymagań prawnych. W przyszłości szablon powinien ewoluować w kierunku uwzględniania wymagań wskazanych w Załączniku A do normy ISO 27001, dotyczących zabezpieczeń, których skuteczność powinna być weryfikowana w ramach audytu. Powinno się też zaktualizować szablon o normy bezpieczeństwa z zakresu ICS, loT, łańcucha dostaw czy zastosowania rozwiązań chmurowych.
Podejście do oceny różnych organizacji
Wiele obowiązujących standardów bezpieczeństwa nie nadąża za zmieniającymi się zagrożeniami takimi jak: Zero Trust Architecture, wykorzystanie IoT czy bardzo szybka migracja do środowisk chmurowych. Należy odejść od wspólnego traktowania małych i dużych organizacji, które są zupełnie inne pod względem skali i specyfiki funkcjonowania. Małe organizacje mają problemy z dysponowaniem małym budżetem na bezpieczeństwo (np. małe szpitale) i borykają się z mało wykwalifikowaną kadrą i niewielkimi zasobami z zakresu bezpieczeństwa. Ich korzyścią jest posiadanie nieskomplikowanej infrastruktury. Natomiast duże organizacje np. szpitale wojewódzkie czy prywatne placówki medyczne mają większy budżet na bezpieczeństwo, często posiadają większe środki na zatrudnienie wykwalifikowanej kadry specjalistów oraz mogą sobie pozwolić na zakup specjalistycznych narzędzi wspierających bezpieczeństwo. Do problemów z jakimi borykają się duże podmioty OUK ochrona zdrowia zaliczamy: dużą wielkość oraz skomplikowaną infrastrukturę i ekosystem z zakresu bezpieczeństwa.
Najczęstsze słabości w zakresie bezpieczeństwa w szpitalach i podmiotach z sektora ochrony zdrowia
Problemem dla OUK ochrona zdrowia jest brak segmentacji sieci i wykorzystywanie niewspieranych systemów, nie posiadających dodatkowych mechanizmów kompensacyjnych. Słabością jest brak informacji o znanych podatnościach i brak testów podatności, niewdrożone procesy zarządzania podatnościami i patchami. Do innych problemów zaliczamy: brak zautomatyzowanego systemu nadawania, zmiany i odbierania uprawnień oraz firmowanie podejścia zgodnościowego, a nie opartego na ryzyku.
Jeżeli zastanawiasz się jakie są obowiązki Operatorów Usług Kluczowych w obszarze służby zdrowia (i nie tylko) – skorzystaj z Bezpłatnej Konsultacji klikając poniżej.