This is the presentation on m-Commerce applications and its use in information system.
Outline of presentation:
Introduction
History
Overview
Services and Applications
CLOs(Class Learning Objective of Managing Information of Business)
Advantages
Disadvantages
Objetivo: c-LDL<70 en 2 pasos
Jueves, 12/02/15 19:00-21:00
Casa del corazón. Sociedad Española de Cardiología
http://cldl2pasos.secardiologia.es
Prevención CV en pacientes de muy alto riesgo.
Dr. Carlos Guijarro Herráiz, Hospital Universitario Fundación Alcorcón, Madrid.
This is the presentation on m-Commerce applications and its use in information system.
Outline of presentation:
Introduction
History
Overview
Services and Applications
CLOs(Class Learning Objective of Managing Information of Business)
Advantages
Disadvantages
Objetivo: c-LDL<70 en 2 pasos
Jueves, 12/02/15 19:00-21:00
Casa del corazón. Sociedad Española de Cardiología
http://cldl2pasos.secardiologia.es
Prevención CV en pacientes de muy alto riesgo.
Dr. Carlos Guijarro Herráiz, Hospital Universitario Fundación Alcorcón, Madrid.
Se muestra la evolución que ha sufrido la empresa a través del tiempo para mantenerse como líder en el mercado. Además, se destacan las ventajas competitivas que ha implementado para su éxito
Ensayo "Lo malo en las mutaciones : Las enfermedades"lurosama8
Las enfermedades son resultado de alteraciones en los genes conocidos como mutaciones, es por eso que este escrito está principalmente enfocado en al por qué se originan las enfermedades tipo hereditarias y de ésta forma crear en el público, una idea general para así mejorar su conocimiento en éste campo de estudio.
Se muestra la evolución que ha sufrido la empresa a través del tiempo para mantenerse como líder en el mercado. Además, se destacan las ventajas competitivas que ha implementado para su éxito
Ensayo "Lo malo en las mutaciones : Las enfermedades"lurosama8
Las enfermedades son resultado de alteraciones en los genes conocidos como mutaciones, es por eso que este escrito está principalmente enfocado en al por qué se originan las enfermedades tipo hereditarias y de ésta forma crear en el público, una idea general para así mejorar su conocimiento en éste campo de estudio.
Cyberrisiken in der Zahnarztpraxis - Prophylaxejiricejka
Ein böswilliger Hackerangriff kann die gesamte Zahnarztpraxis lahmlegen. Solche Attacken lassen sich zwar nie ganz vermeiden, Praxisinhaber können sich jedoch wappnen. Das Konzept dazu dürfte Zahnärzten bestens bekannt sein: Der beste Schutz vor Cyberrisiken ist Prophylaxe.
Die komplette Gesundheitsbranche wird 2018 mit tiefgreifenden Veränderungsprozessen konfrontiert. Regularien von KRITIS bis EU-DSGVO, vom IT-Sicherheitsgesetz bis zum E-Health-Gesetz werfen ihre Schatten voraus und fordern alle Beteiligten zur Überprüfung ihrer IT-Sicherheit auf.
IT-Sicherheitslotse Pierre Gronau von Gronau IT Cloud Computing (https://www.gronau-it-cloud-computing.de) beleuchtet an diesem Abend die größten Herausforderungen für E-Health aus IT-Sicht.
Warum muss IT Sicherheit mindestens dem Stand der Technik entsprechen, was bedeutet das konkret und wie kann ich meine sensiblen Daten bestmöglich vor Cyber-Angriffen schützen? Kann eine datenschutzkonforme Anbindung internetbasierter Gesundheitsakten gelingen und was folgt, wenn das Fernbehandlungsverbot fällt?
Antworten auf diese und weitere gesundheitsbezogene Datenschutz- und IT-Sicherheitsfragen beantwortet Pierre Gronau gerne im Kurzvortrag sowie im persönlichen Dialog.
Aktuelle Bedrohungen und Herausforderungen
Marc Henauer
Melde-und Analysestelle Informationssicherung MELANI
anlässlich des Belsoft Best Practice - Next Generation Firewalls
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
Gehalten auf der Abschlussveranstaltung der LERNET 2.0 - eLearning Roadshow am 12.11.2009 in Berlin.
Weitere Informationen und Ressourcen zu Wissensmanagement u. E-Learning im Mittelstand: http://www.lernetblog.de
Remote Lie's Detector without sensors and wiresserg777
We have developed a unique statistical algorithm to a fast (almost online) video processing and retrieval of large amounts of information without sensors and remotely.
Moreover our technology allows us to obtain predictions with an accuracy of 80% or more.
Die Zahl von unerlaubten Cyber-Aktivitäten hat in den letzten Jahren stark zugenommen. Viele Teilaspekte des täglichen Lebens werden im privaten und beruflichen Umfeld inzwischen überwiegend über Web-Technologien gehandhabt. Angriffsversuche auf diese Anwendungen und die bereitgestellten Informationen finden im Alltag automatisiert statt. Es gibt jedoch einige grundlegende Maßnahmen, um die Verwundbarkeit von Web Applikationen zu reduzieren, welche bereits bei der Konzeption und Entwicklung berücksichtigt werden sollten. Da sich Bedrohungsszenarien ändern und sich die jeweils angewandte Methodik weiterentwickelt, ist der Begriff „Sicherheit“ im Allgemeinen jedoch als fortlaufender Prozess anzusehen.
2. Einleitung
Mandat Temet - Ausgangslage
2
• Gemäss Botschaft zum EPDG ist es erforderlich, dass
schweizweit einheitliche Regeln im Bereich des
Datenschutzes und der Datensicherheit definiert werden.
• Für die Festlegung der Zertifizierungsvoraussetzungen ist
eine Bestandsaufnahme möglicher Bedrohungen, eine
Analyse der betroffenen IT-Systeme sowie des potentiellen
Schadens unabdingbar.
• Als ein Input für die Festlegung der Zertifizierungskriterien
in Bezug auf den Datenschutz und die Datensicherheit soll
eine Bedrohungs- und Risikoanalyse für die wesentlichen
Elemente der Informatikinfrastruktur von Gemeinschaften,
Stammgemeinschaften und Zugangsportalen durchgeführt
werden.
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
3. Ziele des Referats
3
• Unabhängige Expertensicht auf das Thema
• Ein Blick durch die Security-Brille
• Hinweise auf potentielle Schwachstellen
• Respekt gegenüber den Gefahren des Internet
• Verständnis für Sicherheitsvorkehrungen
• Besondere Obacht beim EPD (Awareness)
Keine Ziele sind:
• Panikmache
• Leere Versprechungen / rundum sorglos Lösung
• Technische Details
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
4. Angaben zum Referenten
Thomas Kessler
• Dipl. Physiker ETH, MAS ZFH in BA
• 25 Jahre Tätigkeit in der Informationssicherheit
– 6 Jahre Fachstelle IT-Security bei einer Grossbank
– 3 Jahre Leiter Security Engineering bei einem Finanzdienstleister
– 16 Jahre IT-Security Beratung bei Finanzinstituten und Verwaltung
• Geschäftsführender Partner TEMET AG
– Firmengründung im 2010
• Persönliche Schwerpunkte
– IT-Sicherheitsarchitektur
– 2-Faktor Authentisierung
– Identity and Access Management (IAM)
10.03.2016 EPD - Eine Bedrohungs- und Risikoanalyse 4
5. Wer ist TEMET AG
Eckdaten
5
Gründung: März 2010
Inhabergeführte Aktiengesellschaft
Sitz am Basteiplatz 5, im Herzen von Zürich
Aktuell 12 Information Security Consultants
Aktuell 56 Kunden aus Finanz, Verwaltung und
Gesundheitswesen
Wir planen, konzipieren und realisieren Projekte
im Bereich der Informationssicherheit
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
6. Wer ist TEMET AG
Alleinstellungsmerkmale
6
Die TEMET AG positioniert sich im Markt als herstellerneutrale
und auf Informationssicherheit fokussierte Firma, deren
Berater fachliche Expertise mit Projektmanagement-
Kompetenz verbinden.
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
7. EPD - Eine Bedrohungs- und Risikoanalyse
Agenda
10.03.2016 7
• Einleitung
• Schutzobjekte / EPD «Big Picture»
• Bedrohungen und Schadenszenarien
• Schwachstellen und Risiken
• Massnahmen
• Restrisiken / Fazit
8. Schutzobjekte
8
• Daten mit ihrem Schutzbedarf
– Applikation: DocRep, DocReg, Protokollierungsdatenbank
– Infrastruktur: MPI, Portal IAM DB, HPD
• Benutzergruppen
– Applikation: Patienten, GFP
– Infrastruktur: Administrative Teilnehmer, Administration HPD
• Anwendungsfälle
– Applikation: EPD lesen und schreiben, Zugriffsprotokoll lesen
– Infrastruktur: Rechte verwalten, Patienten und GFP verwalten
• Systemkomponenten und Schnittstellen
– Komponenten einer Gemeinschaft
– Umsysteme und Schnittstellen (auch organisatorisch)
Wichtigste Informationsquellen:
– Interviews mit verschiedenen Know How Trägern
– Botschaft zum Bundesgesetz über das elektronische Patientendossier
– eHealth Suisse Standard und Architektur Empfehlungen I,II,III,IV,V
– IHE IT Infrastructure Technical Framework
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
9. Das EPD «Big Picture»
9EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
10. Bedrohungen
Standard Katalog gemäss ISDS*
10
• Höhere Gewalt
• Organisatorische Mängel
• Menschliche Fehlhandlungen
• Technisches Versagen
• Vorsätzliche Handlungen
ISDS: Informationssicherheits- und Datenschutzkonzept
gemäss HERMES Projektvorgehen
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
11. Bedrohungen
Gesundheitswesen ist ein Ziel
11
• 16.02.2016: Ransomware: Neben deutschen Krankenhäusern auch
US-Klinik von Virus lahmgelegt
«Verschlüsselt alle erreichbaren Daten...» «...mussten mehrere Operationen verschoben werden.»
http://www.heise.de/security/meldung/Ransomware-Neben-deutschen-Krankenhaeusern-auch-US-Klinik-
von-Virus-lahmgelegt-3103733.html
• 2015 Breach Level Index
http://fr.sitestat.com/gemalto/gemalto/s?ent-Breach_Level_Index_Annual_Report_2015&ns_type=pdf
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
13. Schadenszenarien
Was kann passieren?
13
Welcher Schaden entsteht bei Verlust von:
• Vertraulichkeit
• Integrität
• Verfügbarkeit (hier nur am Rande betrachtet)
• Nachvollziehbarkeit
Differenzierung in Abhängigkeit von:
• Art der Daten (nützlich/medizinisch/sensibel/geheim)
• Menge der Daten (einzelnes/viele/alle Dossiers)
• Art des Verlusts (zufällig oder gezielt & systematisch)
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
14. Schadenszenarien
Beispiele bzgl. Vertraulichkeit
14
Patientendaten werden durch Unberechtigte eingesehen
bzw. kopiert und weitergegeben:
• Systematisch in grosser Menge über längere Zeit
• Durch unerkannte Dritte (z.B. Kriminelle)
Worst Case Szenario, Schadenstufe 4
• Gezielt auf Personen (z.B. PEP) oder sensible Dokumente
• Durch identifizierbare Systembenutzer (z.B. Patient, GFP)
Kritisch, Schadenstufe 3
• Zufällige einzelne Dossiers oder Dokumente (z.B. von mir)
• Durch unerkannte Dritte (z.B. Kriminelle)
Marginal, Schadenstufe 2
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
15. Schwachstellenanalyse
Wie kann das passieren?
15
Relevante Risiken entstehen dort, wo…
• eine allgemeine Bedrohung (z.B. Schadsoftware)…
• auf Grund einer Schwachstelle (z.B. GFP Endgerät)…
• zu einem Schadenszenario (z.B. unbemerkter
Diebstahl von vielen Patientendossiers) führen kann.
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
16. Risiken
Beispiele («Top 5») 1/4
16
Übernahme der Kontrolle eines Endgerätes (PC, Tablet,
Smartphone etc.) einer GFP durch unberechtigte Dritte
• Mit einem Trojanischen Pferd wird die Kontrolle über das
Endgerät (PC, Laptop, Tablet, etc.) einer GFP übernommen,
um gezielt alle Patientendossiers zu lesen, für welche diese
GFP berechtigt ist (inkl. Notfallzugriff)
Übernahme der Identität einer GFP bei der Anmeldung
am internen Portal (oder am KIS/PIS)
• Ein Hacker stiehlt mittels Phishing die Login Daten einer
hoch berechtigten GFP und benutzt diese, um über das
interne Portal auf alle Dossiers zuzugreifen, für welche
diese GFP berechtigt ist.
• Er kann über den Notfallzugriff gezielt auf beliebige
Dossiers (auch anderer Gemeinschaften) zugreifen
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
17. Risiken
Beispiele («Top 5») 2/4
17
Schwachstelle im internen Portal
• Ein Hacker dringt über eine Schwachstelle in das interne
Portal ein, gelangt von dort auf weitere Systeme und kann
auf einzelne oder alle Dossiers der Gemeinschaft zugreifen
Mangelhafte Sicherheitsorganisation
• Unklare Verantwortlichkeiten innerhalb der Gemeinschaft
führen dazu, dass dringende Entscheide (z.B. Bewertung
und Bearbeitung aktueller Schwachstellen, bis hin zur
Notabschaltung) nicht zeitgerecht gefällt werden
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
18. Risiken
Beispiele («Top 5») 3/4
18
Betrügerischer System-Administrator
• Ein betrügerischer System-Administrator kopiert alle
Patientendossiers einer von ihm betreuten Gemeinschaft
und verkauft diese an den Meistbietenden
• Dies kann auch ein Dritter sein, der sich unberechtigten
Zugang zur Betriebsumgebung verschafft
Mutation des Anstellungsverhältnisses einer GFP wird
nicht konsequent nachgeführt («Mover» Prozess)
• Ein Assistenzarzt wird nach Beendigung eines Stage in der
psychiatrischen Abteilung nicht aus der entsprechenden
Gruppe im HPD gelöscht. Nach dem Stage behält er den
Zugriff auf alle Patientendossiers, die für diese Abteilung
freigegeben sind, auch wenn er in anderen Abteilungen des
Spitals tätig ist
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
19. Risiken
Beispiele («Top 5») 4/4
19
Nachlässige Berechtigungsadministration
• Nachlässige Berechtigungsadministration seitens eines
Patienten oder eines von ihm Ermächtigten führt dazu,
dass sensible Daten von GFP eingesehen werden, die dazu
aus Sicht des Patienten gar nicht befugt wären
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
20. Verortung im Big Picture
20EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
21. Massnahmenkatalog
Was kann man dagegen tun?
21
• Organisatorische Sicherheitsmassnahmen
• Applikatorische Sicherheitsmassnahmen
• Technische Sicherheitsmassnahmen
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
22. Massnahmen
Beispiele Organisation
22
Jede Gemeinschaft betreibt ein Information Security
Management System (ISMS)
• Umfassend insb. die Nominierung eines Informations-
sicherheits-Beauftragten (ISBO) für die Gemeinschaft
Jede Gemeinschaft betreibt ein Security Information
and Event Management (SIEM)
• Dieses erkennt Anomalien im System wie Angriffe aus dem
Internet oder eine unübliche Häufung von Zugriffen
• Das SIEM umfasst Prozesse für den Umgang mit
Sicherheitsereignissen bis hin zur Notabschaltung
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
23. Massnahmen
Beispiele Applikation
23
Patienten und (noch wichtiger!) GFP werden vor dem
Zugriff auf das EPD mit mind. zwei Faktoren aus den
Kategorien „Wissen“, „Haben“ oder „Sein“ authentisiert
• Diese 2-Faktor Authentisierung gilt für alle Zugriffspfade
Zusätzliche Identifikation der GFP beim Notfallzugriff
• z.B. «Transaktionsbestätigung» wie im e-Banking
Verschlüsselung aller im EPD abgelegten Daten
• Vorzugsweise auf Ebene der Applikation, damit auch
unberechtigte technische Zugriffe verhindert werden
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
24. Massnahmen
Beispiele Technik
24
Der EPD Vertrauensraum wird durch gegenseitige
Authentisierung und Verschlüsselung aller Kommunika-
tionsverbindungen logisch vom Internet isoliert
• Technische Umsetzung gemäss IHE:ATNA Profil
Alle aus dem Internet erreichbaren Systeme (insb. das
Portal) sind gegen Angriffe aus dem Internet geschützt
• Schwachstellenüberprüfung durch hierauf spezialisierte
unabhängige Stellen («Penetration Testing»)
Der Systembetreiber muss die Einhaltung der für das
EPD besonders relevanten Kontrollen nachweisen
• Gemäss ISO/IEC 27002:2013 resp. ISO/IEC 27799:2014
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
25. Restrisiken
25
Trotz aller Massnahmen wird es nicht gelingen, jede
unberechtigte Einsicht in das EPD von Patienten und
Patientinnen auf Dauer zu verhindern
• Dies ist (leider) ein Erfahrungswert
Als typische Ursachen dafür sind zu erwarten:
• Missbrauch unsicherer Endgeräte von Patienten und GFP
• Nachlässige Rechteverwaltung seitens Patienten und GFP
• Datendiebstahl durch Insider oder Hacker
• Erfolgreiche Angriffe aus dem Internet auf Portale
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
26. Fazit
26
Prävention ist wichtig aber nicht ausreichend
Für die Begrenzung der Restrisiken muss - ergänzend
zur Prävention - eine zeitnahe Erkennung und
Behandlung von Sicherheitsvorfällen sichergestellt sein.
• Auch die Informationssicherheit benötigt heute
(leider) nicht nur Schloss und Riegel sondern auch
eine Alarmanlage, Polizei und Feuerwehr
Allerdings: Niemand trägt all sein Hab und Gut ständig
mit sich herum oder verzichtet auf Urlaub, nur weil
Einbrüche vorkommen:
• Man schliesst einfach die Haustür und die Fenster!
EPD - Eine Bedrohungs- und Risikoanalyse10.03.2016
27. Besten Dank für Ihre
Aufmerksamkeit!
TEMET AG | Basteiplatz 5 | CH-8001 Zürich
044 302 24 42 | info@temet.ch | www.temet.ch