Zachowanie ciągłości biznesowej, czyli zdolności do niezakłóconego realizowania głównych procesów przynoszących dochód firmie jest jednym z zadań, które często ceduje się na przedstawicieli działu IT. Ze względu na duże zaangażowanie technologi informatycznej w procesy biznesowe to dział IT wydaje się komórką najlepiej przygotowaną do tego, aby obsłużyć wszelkie nieprzewidziane sytuacje w postaci awarii sprzętu, błędów użytkownika czy świadomych działań ze strony intruzów. Czy jest to założenie słuszne? Niestety nie do końca.

Technologia jest rzeczywiście jednym z głównych czynników, które mają największy wpływ na działanie każdej organizacji i jednocześnie czynnikiem, który stosunkowo często okazuje się zawodzić. Dlatego gdy myślimy o ciągłości biznesowej w pierwszej kolejności weryfikacji podlegają rozwiązania mające na celu zapewnić działanie w przypadku awarii. Ograniczają się one najczęściej do redundancji, czyli nadmiarowości pozwalającej na nieprzerwaną pracę na wypadek uszkodzenia jednego z komponentów systemu. Kolejną kategorię zabezpieczeń stanowią systemy do backupu, które mają uodpornić środowisko na sytuacje związane z utratą danych w wyniku awarii, błędu użytkownika lub świadomego działania na naszą szkodę. Zarówno systemy do backupu, jak i rozwiązania zapewniające wysoką dostępność (HA) są czymś, bez czego dział IT nie potrafiłby spełnić swojej funkcji względem biznesu. Gdyby ich bowiem zabrakło, pierwsza lepsza awaria zakończyła by się poważnymi konsekwencjami dla osób odpowiedzialnych za utrzymanie środowiska teleinformatycznego. Continue…

Służba zdrowia musi niezwłocznie wdrożyć profesjonalne rozwiązania zapewnienia bezpieczeństwa IT.

Zgodnie z obecnie obowiązującym stanem prawnym od dnia 1 sierpnia 2017 (czyli za niewiele więcej niż rok) dokumentacja medyczna będzie musiała być prowadzona wyłącznie w firmie elektronicznej.

Choć termin wejścia w życie zapisów dotyczących elektronicznych danych medycznych „Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia” był już nieraz przesuwany, i tak może być i tym razem, musimy jednak liczyć się z tym, że ten moment nieuchronnie się zbliża i w końcu nastąpi.

Niewątpliwie wprowadzenie w życie postanowień Ustawy i rozporządzeń kolejnych Ministrów  Zdrowia dotyczących elektronicznej dokumentacji medycznej narzuca na cały system opieki zdrowotnej gigantyczne i bardzo odpowiedzialne zadanie wdrożeniowe. Bardzo liczę na to, że całe przedsięwzięcie zakończy się sukcesem. Konsekwencją uruchomienia systemów elektronicznej informacji medycznej będą zwiększone wymagania w zakresie bezpieczeństwa systemów informatycznych w szpitalach, przychodniach i innych placówkach związanych ochroną zdrowia.

Można wymienić kilka istotnych miejsc w medycznych systemach informatycznych, które mogą być podatne i wrażliwe na cyber-zagrożenia:

• Bazy danych osobowych,
• Bazy danych dotyczące stanu zdrowia pacjentów,
• Systemy podtrzymywania życia i monitorowania stanu pacjentów,
• Systemy HIS (Health Information Systems) w części medycznej i administracyjnej,
• Urządzenia medyczne,
• Pozostałe systemy, które mogą mieć wpływ na realizację kluczowych procesów.

W styczniu 2016 rzecznik prasowy Szpitala w Ottawie poinformował, że 4 spośród prawie 10 tysięcy komputerów w szpitalu zostało zaatakowanych z użyciem oprogramowania ransomware. Ten typ złośliwego oprogramowania po kliknięciu na załącznik w przesyłce email, w łącze w emailu lub na stronie internetowej blokuje pliki na infekowanym komputerze. Po zapłaceniu okupu ofiara ataku otrzymuje klucz, który umożliwia ponowne otwarcie zaszyfrowanych plików. W przypadku tego ataku szpital nie zapłacił okupu, a służby informatyczne wyczyściły zawartość dysków i odtworzyły dane z użyciem kopii zapasowych. Szpital poinformował, że dane pacjentów nie były zagrożone.

Continue…

Ewolucja zagrożeń

Przez ostatnie kilkanaście lat dokonała się radykalna zmiana w dziedzinie zagrożeń związanych ze złośliwym oprogramowaniem. Wirusy, które pod koniec XX wieku miały formę psikusów wyświetlających zabawne komunikaty i efekty dźwiękowe lub wizualne stały się narzędziem w rękach zorganizowanych grup przestępczych. Za dzisiejszym malware’m stoi prężnie funkcjonujący czarny rynek, na którym przebierać można w ofertach sprzedaży 0-dayów, exploitów, exploitpaków, backdorów a nawet gotowych botnetów składających się z tysięcy przejętych komputerów. Wszystko to ułatwia zorganizowanym grupom przestępczym prowadzenie szeroko zakrojonych kampanii phishingowych lub infekowania ransomewarem typu TeslaCrypt, CryptoLocker czy CryptoWall.

Podejście do ochrony

Niestety ewolucji, jaka dokonała się w dziedzinie zagrożeń nie towarzyszyła dotychczas zmiana naszej mentalności w podejściu do ochrony. Gdyby zapytać statystycznego administratora jak zmieniło się jego podejście do zabezpieczenia infrastruktury IT na przestrzeni ostatnich lat to najprawdopodobniej odparłby, iż dyskietkowego MKS-a zastąpił sieciowym, centralnie zarządzanym antywirusem a prostego firewalla urządzeniem typu „next generation”. Bardziej świadomi administratorzy pochwaliliby się może odebraniem praw administratora lokalnego swoim użytkownikom i stosowaniem polis GPO wymuszających bezpieczną politykę haseł. Continue…

W okresie od września do listopada firma UpGreat bierze udział w trzech konwentach informatyków (wielkopolskim, mazowieckim oraz śląskim) – cyklicznych imprezach organizowanych z myślą o pracownikach urzędów i instytucji publicznych. Podczas tych spotkań omawiane są zagadnienia związane z dostosowywaniem placówek samorządowych do wymogów regulacji prawnych dotyczących m.in. informatyzacji, ochrony danych osobowych czy Krajowych Ram Interoperacyjności. W spotkaniach biorą również udział eksperci firmy UpGreat z zakresu bezpieczeństwa teleinformatycznego, ochrony danych osobowych, audytów i polityk bezpieczeństwa. Nasi konsultanci doradzają informatykom z placówek publicznych w jaki sposób dostosować swoje systemy do wymogów rozporządzenia KRI związanych m.in. z wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji. Omawiamy kwestie dotyczących wdrażania polityk bezpieczeństwa informacji oraz szacowania i analizy ryzyka. Odpowiadamy też na pytania dotyczące znowelizowanej Ustawy o Ochronie Danych Osobowych i obowiązków Administratora Bezpieczeństwa Informacji.
Szczególną uwagę poświęcamy audytom bezpieczeństwa i testom penetracyjnym, które stanowią nieodzowny element zarządzania bezpieczeństwem w każdej organizacji.