Cybersikkerhedsoplæg/-demonstration i departementet Sundhedsdatastyrelsen

(1)

Sundhedsdatastyrelsen

Cybersikkerhedsoplæg/-demonstration i departementet

Hvis du har brug for at læse dette dokument i et keyboard eller skærmlæservenligt format, så klik venligst på denne knap.

(2)

Om mig

Søren Bank Greenfield, chef for Cyber- og Informationssikkerheds afdeling.

Baggrund som operationel sikkerhedschef, viden indenfor brugervendt infrastruktur og CISO. Har før været i KBH amt, Glostrup hospital og Regionh (CIMT).

(3)

Sundhed- og ældreministeriet

3

v v

v

Afdelingen har til opgave at facilitere og koordinere den fælles indsat for at styrke og øge kapabiliteten og kapaciteten

indenfor Cyber- og Informationssikkerhed i

Sundhedsdatastyrelsen, Sundhed- og Ældre ministeriet og på tværs af sundhedsvæsenet

(4)

Vi vil styrke den langsigtede opbygning af kapacitet og den fælles koordinerede indsats

4

Den nationale strategi for cyber- og informationssikkerhed fra maj 2018

Sundhedssektorens cyber- og

informationssikkerhedsstrategi 2019-2022

https://sundhedsdatastyrelsen.dk/da/strategier-og-projekter/cyberstrategi

(5)

Udpeger finans, tele, energi, søfart, transport og sundhed som samfundskritiske sektorer

Focus på opbygning af en stærkere decentral kapabilitet på cyber- og informationssikkerhedsområdet gennem:

Oprettelse af sektorenheder ”der kan bidrage til gennemførelsen af sektorvise trusselsvurderinger, overvågning, beredskabsøvelser, sikkerhedsopbygning, vidensdeling, vejledning mv.”

Udarbejdelse af delstrategier, som skal ”sikre et forsvarligt

informationssikkerhedsmæssigt beredskab inden for egen sektor”

Sektoransvarsprincippet:

”Den myndighed, der har ansvaret for en opgave til daglig, bevarer ansvaret under cyber- og informationssikkerhedshændelser. Ansvaret for cyber- og

informationssikkerhed i sundhedssektoren ligger således hos sundhedssektorens aktører.”

National cyber- og informationssikkerhedsstrategi

(6)

CfCS

Sundhed DCIS

Sektorpart Sektorpart

Energi DCIS Finans DCIS Transport

DCIS Tele DCIS Søfart DCIS

Decentral Cyber- og Informationssikkerhedsenhed (DCIS)

Samlende kommunikationspunkt for sektoren (myndigheder, virksomheder og organisationer) og for CfCS Vedligeholder kontaktliste for sektoren til brug for hændelseshåndtering

Vedligeholder oversigt over sektorens kritiske infrastrukturelementer og tjenester Indgår i operative arbejdsgrupper ved tværgående hændelser

Formidler varsler fra CfCS

(7)

Ansvar for cybersikkerhed

Cyber kriminalitet Collateral damage Industri spionage Kriminel

efterforskning Spionage og nationens frihed

(8)

8

Sårbarhed

S

T

S K R

Trussel

Sandsynlighed Konsekvens Risiko

Hvordan vurderes en risiko

(9)

9

Sårbarhed

S

T

S K R

Trussel

Sandsynlighed Konsekvens Risiko

Hvordan vurderes en risiko

(10)

Persistent operativt cybersikkerhedsoverblik

10

Hændelser og overvågning

Sårbarheder Trusler

(11)

Trussels-

vurderinger

11

https://fe-

ddis.dk/cfcs/publikationer/Documents/

20180704_Cybertruslen_sundhedssekt oren.pdf

Juli 2018

(12)

Trusselsvurderinger

(13)

http://2019.e-sundhedsobservatoriet.dk/program/

(14)

http://2019.e-sundhedsobservatoriet.dk/program/

Hvis vi ikke laver ændringer i hvorledes vi håndtere sundhedsvæsenet og hvordan man tilgår services.

Så vil alle unge der bliver uddannet i 2030 skulle arbejde i

sundhedsvæsenet.

(15)

Healthcare?

3436

1000

98

1923

27 468

850

Ca. 2000

Andre private

aktører

https://www.cnbc.com/2019/10/17/google-appoints-karen-desalvo-of-obama-admin-to-chief-health-role.html

(16)

16

(17)

https://www.washingtonpost.com/technology/2019/04/03/hos pital-viruses-fake-cancerous-nodes-ct-scans-created-by-

malware-trick-radiologists/?utm_term=.4c47b32727f5

Digitaliserings skyggeside

(18)

https://eu.battlecreekenquirer.com/story/news/local/2019/08/22/ranso mware-attack-john-bizon-william-scalf-medical-practice/2062806001/

https://www.zdnet.com/article/ransomware- hits-hundreds-of-dentist-offices-in-the-us/

(19)

https://www.bleepingcomputer.com/news/security/400- million-medical-radiological-images-exposed-on-the-internet/

(20)

https://www.cybersecasia.net/news/76-medical-devices-of-healthcare-facilities-in-philippines- may-be-infected-by-malicious-code

(21)

Gode nyheder!

https://www.zdnet.com/article/only-5-5-of-all- vulnerabilities-are-ever-exploited-in-the-wild/

Der er jo så 20 gange så

mange angrebsvinkler…

(22)

Digitaliserings skyggeside

45,1 % betalte …..

(23)

https://www.computerworld.dk/art/247842/it-kriminalitet-er-nu- verdens-13-stoerste-oekonomi-saa-mange-penge-tjener-hackerne

8.600.000.000.000 kr.

https://komputer.dk/it-og-samfund/skraemmende-cyberkriminalitet-naar-rekordhoejt-niveau

(24)

At sikre en helhedsorienteret og risiko- baseret tilgang til cyber- og

informationssikkerhed

At styrke sektorens samlede, fælles evne til at forebygge, forudse, opdage og håndtere cyber- og

informationssikkerhedshændelser

Strategiens fokus

(25)

Programledelse

1. Forudse hændelser

2. Forebygge hændelser

3. Opdage hændelser

4. Håndtere hændelser

5. Styring og effekt Sekretariat

Styregruppe

Sundhedsdatastyrelsen

Sundheds- og Ældreministeriet, Danske Regioner, Region Midt, Region Nord, Region Hovedstaden, KL, Digitaliseringsstyrelsen, Center for Cybersikkerhed, MedCom, Sundhed.dk, PLO, Sundhedsstyrelsen

1.1 Identifikation af kritiske

forretningsprocesser og it-systemer på tværs af sektorens aktører 1.2 Bedre overblik over sundhedssektorens sårbarheder og risici 1.3 Effektiv koordination af varsler 1.4 Klarhed over den enkelte aktørs rolle og ansvar

1.5 Deltagelse i relevante internationale fora om cyber- og informationssikkerhed på sundhedsområdet

2.1 Sikkerhed starter med medarbejderne

2.2 Styrket teknisk sikkerhed i sektorens løsninger og it- infrastruktur

2.3 Håndtering af sikkerheden i ældre it-systemer og –udstyr 2.4 Øget sikkerhed i online medicinsk udstyr

2.5 Skærpede sikkerhedskrav til it-leverandører

2.6 Udbygning af sektorens sikkerhedsarkitektur

3.1 Løbende tests af sikkerheden i

sundhedssektorens systemer og udstyr

3.2 Etablering af overvågnings- og analysefunktioner

3.3 Effektiv håndtering af mistanke om hændelser

4.1 Hændelseshåndtering 4.2 Tværgående

samarbejde om fælles it- og cyberberedskab

4.3 Beredskabsøvelser for fælles systemer og forsyningskæder

5A løbende opdatering af porteføljeoverblik 5B Årshjul cyklus

5C Forslag til kommende års review

5D Databaseret effektmåling 5E Løbende dialog med private aktører

Hovedinitiativerne

25

Organisationen

DCIS

(26)

Awareness og kommuni-

kation

Teknisk trusler og sårbarheder

Cyber- og informationssikkerhedsafdeling

26

Koncern

Informationssikkerhed ISMS compliance

DCIS for sundhedsvæsenet

Risikostyring og

beredskab Informations

sikkerhedshændelser Sikkerheds-

arkitektur og strategi

Trust opfølgning tilsyn og IT

revision

Mellem – Taktisk <1 år Langsigtet – Strategisk >1 år

Kort – Operationelt Ad hoc

CFCS Ledelse

(27)

Tidsplan for udmøntning

27

(28)

Hvilke initiativer er specielt interessante?

(29)

1.1 Identifikation af kritiske forretningsprocesser og it-systemer på tværs af sektorens aktører

For at sikre en målrettet tilgang til arbejdet med cyber- og informationssikkerhed er det nødvendigt at udpege sektorens mest kritiske forretningsprocesser samt de it-systemer, som understøtter dem.

DCIS faciliterer i en årlig proces udarbejdelsen af en oversigt over sektorens kritiske forretningsprocesser, it- systemer og forsyningskæder med input fra sundhedssektorens aktører.

Hvad er det mest kritiske?

Hvilke systemer understøtter?

Hvilke er aktørerne mest afhængige af

Hvilke systemer og processer går på tværs?

Hvilke forretningprocesser understøttes og hvilke er de vigtigste?

Hvordan gives der er samlet vurdering af dem på tværs?

29

(30)

1.2 Bedre overblik over sundhedssektorens sårbarheder og risici

Det er nødvendigt løbende at vedligeholde lokale og tværgående vurderinger af sårbarheder og risici. Det er de enkelte aktørers ansvar at udarbejde og opdatere egne sårbarheds – og risikovurderinger samt sikre

ledelsesforankring.

DCIS udarbejder i 2019 i samarbejde med sektorens aktører vejledninger til at understøtte arbejdet, således at vurderingerne over tid bliver metodisk ensartede. Vejledningerne vil desuden være obligatoriske at følge for sårbarheds – og risikovurderinger af fælles, prioriterede, kritiske systemer.

DCIS har desuden til opgave at udarbejde den samlede sårbarheds- og risikovurdering for hele sektoren.

Hvordan får vi et samlet overblik?

Hvordan får vi fat i det vigtigste?

Hvordan gør vi det nemt for aktørne at udføre?

Skal det holdes hemmeligt?

Hvem beslutter hvis det koster penge at flytte sig?

30

(31)

1.2 Bedre overblik over sundhedssektorens sårbarheder og risici

ledelsesforankring.

31

(32)

1.2 Bedre overblik over sundhedssektorens sårbarheder og risici

ledelsesforankring.

32

(33)

1.2 Bedre overblik over sundhedssektorens sårbarheder og risici

ledelsesforankring.

33

(34)

1.3 Effektiv koordination af varsler

Sektorens evne til at forudsige mulige angreb og sikkerhedshændelser skal styrkes ved, at DCIS etablerer en samlet model for effektiv koordination af varsler om mulige angreb og sikkerhedshændelser.

Besvares:

• Hvorledes sorteres der i varsler og advarsler?

• Hvem skal have hvilke informationer?

• Hvorledes kommer man bedst i kontakt?

• Hvilket system skal benyttes til at dele informationer?

• Hvad når man skal kontakte aktører akut?

• Hvad gør man hvis der ingen internet eller email er? Eller hvad hvis der ikke er nogen telefoner?

• Skal der oprettes en Cyberhotline? Hvem skal kunne ringe og om hvad?

34

(35)

1.3 Effektiv koordination af varsler

Sektorens evne til at forudsige mulige angreb og sikkerhedshændelser skal styrkes ved, at DCIS etablerer en samlet model for effektiv koordination af varsler om mulige angreb og sikkerhedshændelser.

Besvares:

• Hvorledes sorteres der i varsler og advarsler?

• Hvem skal have hvilke informationer?

• Hvorledes kommer man bedst i kontakt?

• Hvilket system skal benyttes til at dele informationer?

• Hvad når man skal kontakte aktører akut?

• Hvad gør man hvis der ingen internet eller email er? Eller hvad hvis der ikke er nogen telefoner?

• Skal der oprettes en Cyberhotline? Hvem skal kunne ringe og om hvad?

35

(36)

2.1 Sikkerhed starter hos medarbejderne

Høj opmærksomhed blandt medarbejderne i sundhedssektoren på risikoen for cyber- og

informationssikkerhedshændelser er en nøglefaktor i arbejdet med at styrke sektorens evne til at forebygge

mulige cyber- og informationssikkerhedshændelser. Derfor skal alle medarbejdere i sundhedsvæsenet uddannes i cyber- og informationssikkerhed; fx ved brug af de uddannelsespakker om cyber- og informationssikkerhed, som er udviklet i regi af den fællesoffentlige digitaliseringsstrategi 2016-2020, eller gennem lokale initiativer.

DCIS får desuden til opgave at indgå i et igangværende arbejde med at styrke fokus på cyber- og

informationssikkerhed i relevante uddannelsesforløb, herunder på de sundhedsfaglige uddannelser. Desuden skal kendskabet til cyber-og informationssikkerhed styrkes på alle ledelsesniveauer, ligesom der skal sikres de rette kompetencer for de medarbejdere, der til daglig arbejder med cyber- og informationssikkerhed i

sundhedssektoren.

36

(37)

2.5 Skærpede sikkerhedskrav til it-leverandører

Sundhedssektorens aktører benytter i stort omfang private leverandører ved anskaffelse og udvikling af fx ny teknologi, ligesom dele af sundhedssektorens it-systemer drives af private leverandører eller af en offentlig

aktør på vegne af hele sektoren. For at sikre at private og offentlige it-leverandører mødes af ensartede krav om et højt sikkerhedsniveau fra alle sektorens aktører, skal der udarbejdes fælles sikkerhedskrav samt processer og værktøjer til understøttelse af efterlevelsen af disse krav. Initiativet igangsættes i andet halvår af 2019.

Udgangspunktet er bl.a. det fællesoffentlige klausulbibliotek. MedCom skal desuden gennemføre en analyse af muligheden for at gennemføre bl.a. leverandørstyring gennem Sundhedsdatanettet.

Hvilke sikkerhedskrav stilles der samlet på sundhedsområdet i danmark?

Hvilke krav er der stillet fra EU? Og hvilke er på vej?

Hvilke standarder bliver aktørerne enige om at lægge sig op af?

Hvem betaler den forøgede omkostning når sikkerheden skal højnes eller bare overholdes?

Hvor lang tid skal der gives før et sikkerhedskrav skal overholdes?

Hvordan kan det implementeres på tværs af hele sektoren?

Mv.

37

(38)

3.2 Etablering af funktioner til overvågning og analyse af aktivitet på sundhedssektorens it-systemer og -infrastruktur

Sundhedssektoren skal være i stand til effektivt at opdage lokale såvel som tværgående cyber- og informationssikkerhedshændelser.

Derfor er der behov for løbende at overvåge og analysere aktiviteten på såvel den fælles som den lokale it- infrastruktur med henblik på at opdage og håndtere uautoriseret eller uregelmæssig aktivitet.

Besvares:

• Hvad skal overvåges?

• Hvem skal analysere?

• Hvordan får en eventuel central funktion adgang til data fra aktørerne? Skal det være på samme måde?

• Hvad er DCIS’s SAC/SOC’s mandat i forhold til fundne sårbarheder og risici?

• Hvordan skal funktionen bemandes? Skal den være 24/7-365 bemandet?

• Hvilke services skal funktionen understøtte?

• Skal der være et ”cyberrejsehold”?

38

(39)

4.2 Etablering af tværgående it- og cyberberedskab

For at sikre at sektoren hurtigst muligt formår at overkomme effekten af en større, tværgående cyber- og informationssikkerhedshændelse, er der behov for tværgående processer for effektiv og koordineret hændelseshåndtering.

Besvares:

• Hvem er med i beredskabet?

• Hvad skal der til for at starte et sådant beredskab?

• Hvorledes starter man et beredskab for sundhedsvæsenet?

• Hvordan arbejder dette sammen med de eksisterende beredskaber? Og det sundhedsfaglige?

• Hvem kan initiere et sundhedssektorbredt beredskab?

• Hvem er beredskabsleder?

• Hvordan kommer man i kontakt med hinanden?

• Hvor bundet er aktørernes ressourcer af beredskabet?

39

Cyber beredskabsøvelse i sundhedssektoren 12/12 2019

(40)

Samarbejde, samarbejde og del del del!

(41)

Sundhedssektoren – samarbejde med de andre sektorer

(42)

Sundhedssektoren – afhængighed af andre

Bil og enheder indeholder

samlet 23 simkort!

(43)

Sundhedssektoren

Sundhedsdatanettet

- Selv hvis scenariet er afgrænset til regionerne og sundhedsdatanettet, vil der have omfattede betydning for behandlingen af patienter både på grund af direkte (Indskrivning (EPJ), diagnostik(LAB- og RGT- systemer), behandling(EPJ), udskrivelse (EPJ og kommunikation til kommuner)) og afledte konsekvenser (Ophobning af patienter, stress,).

- Data fra ambulancer vil ikke kunne tilgås af personale på akutafdelingen.

Det har dog ikke særlige konsekvenser for behandlingen i sig selv. Det er ikke mange år siden at man ikke havde denne mulighed. Ved særlige hændelser fx alvorlige traumer, apopleksi og AMI, ville ambulance skulle informere behandlende læge lidt bedre over telefonen.

- Kommunerne har også tablets og journalsystemer så er deres netværk også ramt vil denne hændelse også have betydning for plejen i det kommunale. På sigt vil det lede til behov for flere indlæggelser, men regionerne allerede er overbelagt på grund af deres problemer.

- Det vil formentlig også have en negativ effekt på det statslige beredskab.

Herunder biologisk beredskab, STPS (tidligere embedslægerne),

radiologisk beredskab, lægemiddelberedskab, vaccinationsberedskab og beredskab mod infektioner.

Mobil telefoni er nede

- Mest oplagt er konsekvenserne for de præhospitale ydelser. Dog vil der her være begrænsede konsekvenser. Ambulancer har papirjournaler (I stedet for PPJ) og SINE til kommunikation (I stedet for telefoni).

- Derudover afhænger kommunikationen på mange sygehuse af telefoni. Der er back up systemer, i nogle tilfælde er dette en anden teleudbyder og andre tilfælde walkie-talkie. Der er en risiko for at hjertestop- og traumekald forsinkes, samt at øvrig behandling forsinkes.

- I kommunerne er hjemmeplejen afhængig af telefoni. De kan køre ud til dem de kender, og de fleste nødkald (Hvis ikke alle) er med kobber forbindelse. Men de kan ikke styre hvor deres personale tager hen i samme grad eller reagere på nødkald effektivt. Hvis data også er nede, kan de ikke tilgå deres journal systemer og ofte er deres printede medicinkort ikke opdateret. Hvorfor tab af data

forbindelse kan lede til fejlmedicinering og forsinkelser i håndtering af borgere i kommunerne.

o Hjemmeplejen vil være nød til at indkalde en del ekstra personale for at håndtere en længere periode uden telefoni

- Det vil formentlig også have en negativ effekt på det statslige beredskab. Herunder biologisk beredskab, STPS (tidligere embedslægerne), radiologisk beredskab, DCIS-SUND, lægemiddelberedskab, vaccinationsberedskab og beredskab mod infektioner

- Væsentligt større konsekvenser end hvis en eller flere

af sundhedssektorens egne systemer går ned.

(44)

Hvad gør vi globalt

44

(45)

Hvad gør vi globalt

45

(46)

46

(47)

Sundhedsdatastyrelsen Ørestads Boulevard 5 2300 København S T: +45 7221 6800

E: kontakt@sundshedsdata.dk W: sundhedsdata.dk

Kontakt

DCIS Sekretariatet

DCISSUND@sundhedsdata.dk

DCISSund på Twitter

@dcissund

DCISSund information og nyhedsbrev

www.sundhedsdata.dk/informationssikkerhed Søren Bank Greenfield

SBGR@sundhedsdata.dk