Model warstwowego systemu bezpieczeństwa informacji

O modelu “sera szwajcarskiego” dużo mówiło się podczas pandemii COVID-19.

Nie ma jednego narzędzia, które pozwala w uniwersalny sposób chronić dane w placówce ochrony zdrowia. Dlatego wiele organizacji sięga do koncepcji bezpieczeństwa wielopoziomowego. Zgodnie z nią, im więcej warstw zabezpieczeń, tym większa szczelność systemu przed atakami i wyciekiem danych.

Gdy plastry sera mają dziury, zastosuj wiele plastrów

Ponieważ lista zagrożeń (wektorów) bezpieczeństwa jest długa, podmioty medyczne powinny dysponować wieloma warstwami zabezpieczeń. Każda z nich ma swoje słabe punkty i ograniczenia – złośliwe oprogramowanie jest w stanie prześlizgnąć się przez nawet najlepsze oprogramowanie antywirusowe, gdy pracownik kliknie w link w zainfekowanej wiadomości e-mail. Jednak w takim przypadku, przed zablokowaniem systemu i utratą danych może uchronić kolejna warstwa systemu bezpieczeństwa.

Koncepcja ochrony wielowarstwowej podobna jest do modelu „sera szwajcarskiego”, o którym głośno się zrobiło podczas projektowania metod walki z pandemią COVID-19. Każdy plaster (metoda zabezpieczenia danych) ma swoje dziury (niedoskonałości). Ale kiedy zaprojektujemy system stworzony z wielu plastrów, szczelność całości znacznie wzrośnie.

Model „sera szwajcarskiego”. Każda metoda ochrony danych ma słaby punkt. Ale im więcej warstw, tym większe zagęszczenie systemu ochrony i większe prawdopodobieństwo, że atak cybernetyczny zakończy się niepowodzeniem.

W zakresie bezpieczeństwa danych, wyróżnia się trzy główne kategorie barier (grup plastrów):

  • Technologia: wszystkie zabezpieczenia na poziomie systemów: aktualne systemy operacyjne i antywirusowe, automatyczne tworzenie kopii zapasowych, filtry antyspamowe, uprawnienia w systemach IT, mocne hasła dostępu, wirtualne sieci prywatne VPN, serwery i chmury danych itd.;
  • Ludzie: umiejętność rozpoznania zagrożenia i reagowania na nie (np. usuwanie i zgłaszanie podejrzanych maili, zabezpieczenie nośników danych i sprzętu przenośnego), wiedza na temat procedur ochrony danych;
  • Procedury: plany postępowania z ryzykiem, identyfikacja podatności systemów, procedury na wypadek ataków cybernetycznych, audyty bezpieczeństwa danych, monitorowanie zasobów itd. Nie wszystkie dane mają taką samą wartość. Dlatego pierwszym krokiem jest określenie rodzaju posiadanych danych, ich kategoryzacja i skoncentrowanie się na danych krytycznych.

Z kolei kategoryzacja funkcjonalna zabezpieczeń zawiera takie warstwy jak:

  • Bezpieczeństwo obwodowe (infrastruktura techniczna): bariery fizyczne, cyfrowe systemy zabezpieczeń, kontrola dostępu, mechanizmy uwierzytelniania;
  • Bezpieczeństwo sieci (infrastruktura sieciowa): firewall, VPN, kontrola dostępu;
  • Szkolenia dla pracowników (wiedza i know-how): jak rozpoznać i reagować na zagrożenia, symulacje phishingu, procedury raportowania zdarzeń związanych z atakami cybernetycznymi, polityka IT i bezpieczeństwa;
  • Ochrona punktów końcowych (infrastruktura IT): oprogramowanie antywirusowe, filtr antyspamowy, uwierzytelnienie wielopoziomowe, zarządzanie słabymi punktami zabezpieczeń;
  • Monitoring w czasie rzeczywistym: kontrola i wykrywanie zagrożeń, usuwanie ich skutków;
  • Odzyskiwanie danych w sytuacjach awaryjnych: kopie zapasowe, plan ciągłości działania, ubezpieczenie od cyberataków.

Zawsze trzeba mieć w zanadrzu opcję awaryjną

Aby wszystkie te elementy stworzyły skuteczny system, każda placówka ochrony zdrowia musi opracować i na bieżąco aktualizować politykę ochrony danych. Od czego zacząć? Przede wszystkim od inwentaryzacji rodzajów gromadzonych danych i już stosowanych zabezpieczeń. W tej fazie, osoba odpowiedzialna identyfikuje niedociągnięcia, przykładowo brak polityki zarządzania hasłami albo niską wiedzę wśród pracowników, a następnie wdraża działania mające na celu je załatać.

Kiedy już zapewni się pożądany poziom infrastruktury i know-how, trzeba dokonywać systematycznego przeglądu zasobów i wiedzy. Czy spełniają swoją rolę? Czy stosowane są w praktyce?

Administratorzy mogą przeprowadzić audyty systemów bezpieczeństwa, testując czujność pracowników, sprawdzając aktualność procedur i narzędzi. Ważne jest też śledzenie bieżących zmian prawno-administracyjnych, wytycznych i zaleceń oraz nowych zagrożeń (np. rodzaje ransomware). A kiedy cyberprzestępcom uda się ominąć wszystkie warstwy obronne, najmocniejszym elementem może okazać się aktualna kopia zapasowa przechowywana w innej lokalizacji lub chmurze danych. A do tego – plan ciągłości działania, który pozwoli nieprzerwanie świadczyć usługi medyczne podczas przywracania sprawności systemu IT, gwarantując bezpieczeństwo pacjenta. Cyberatak to kryzys, który jest ogromnym wyzwaniem dla placówki medycznej. Można mu zapobiec albo sobie z nim poradzić tworząc zaporę z plasterków różnych rozwiązań i procedur.

Pobierz raport na temat cyberbezpieczeństwa i RODO w placówkach ochrony zdrowia