Uma autoverificação de segurança cibernética? Critérios de teste de melhores práticas para instalações médicas para o artigo 32 do RGPD

According to the publishers, this paper is an aid to quickly checking your own security with regard to the availability of your own data processing within the meaning of Article 32 GDPR. The scope includes both the non-public as well as the public area. The work was created in a collaboration between the Bavarian State Office for Data Protection Supervision (BayLDA) and the Bavarian State Commissioner for Data Protection (BayLfD). 

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do editor: Desenvolvido e publicado pelo Comissário Estadual da Baviera para a Proteção de Dados (BayLFD) e pelo Gabinete Estadual da Baviera para a Supervisão da Proteção de Dados (BayLDA), este artigo é compartilhado para destacar importantes considerações de segurança cibernética em torno de dezesseis áreas fundamentais que vão desde o gerenciamento de patches e ransomware para manutenção remota e engenharia social. Desenvolvido através da lente da segurança cibernética de instalações médicas, este documento pode ser benéfico para profissionais legais, empresariais e de tecnologia da informação no ecossistema de eDiscovery, pois procuram proteger e proteger dados confidenciais em ambientes locais e remotos.

Segurança cibernética para instalações médicas: critérios de teste de melhores práticas para o artigo 32 do RGPD

Objetivo e conteúdo deste artigo

Este folheto fornece uma visão geral de algumas medidas práticas de segurança cibernética para instalações médicas - incluindo um bloco temático, especialmente para laboratórios - de acordo com os requisitos legais aplicáveis em matéria de proteção de dados. Com o objectivo de uma prevenção orientada, tal deverá aumentar a sensibilização para as questões relacionadas com a segurança e apoiar activamente o funcionamento sem problemas destas instalações.

O foco do documento baseia-se na disponibilidade de dados ou serviços relativos a ataques da Internet e menos na sua confidencialidade e integridade, o que, no entanto, também deve ser observado na perspectiva da proteção de dados. As medidas enumeradas não devem, evidentemente, ser consideradas conclusivas, mas representam uma abordagem de boas práticas que pode apoiar uma protecção eficaz contra as actuais ameaças à cibersegurança. Devido às circunstâncias individuais de cada empresa, não é absolutamente necessário implementar todas as medidas mencionadas para cumprir os requisitos de segurança de proteção de dados. Se as medidas individuais não forem aplicadas, deve verificar-se a forma como outras medidas (possivelmente existentes) podem oferecer um nível de protecção comparável e adequado.

Este artigo é uma ajuda para verificar rapidamente a sua própria segurança no que diz respeito à disponibilidade do seu próprio processamento de dados na aceção do Art. 32 do RGPD. O âmbito de aplicação inclui tanto a área não pública como a área pública.

O trabalho foi criado em uma colaboração entre o Gabinete Estatal de Supervisão da Proteção de Dados da Baviera (BayLDA) e o Comissário Estadual da Baviera para a Proteção de Dados (BayLFD).

Segurança cibernética para instalações médicas (PDF) Mouseover para rolar

Cybersicherheit für medizinische Einrichtungen — 27 Mai 2020

Fonte Original: BaylDA

Checklist Extractos de Inglês Tradução do Paper*

Auto-Verificação: Segurança Cibernética em Instalações Médicas

Gerenciamento de patches

Versões de software desatualizadas representam um risco aumentado de ataque devido a potenciais vulnerabilidades. O software utilizado deve, portanto, ser mantido atualizado por meio de atualizações de segurança regulares.

Conceito de gerenciamento de patches em vigor (incluindo um plano atualizado com uma visão geral do software usado)

Avaliação regular de informações sobre falhas de segurança no software usado, como sistemas operacionais, software de escritório, aplicativos especializados e ambiente de dispositivos médicos (por exemplo, por meio de boletins informativos por e-mail, publicações do fabricante, mídia comercial, avisos de segurança)

O uso exclusivo de sistemas operacionais de desktop, para os quais o fabricante/mantenedor tomou conhecimento de vulnerabilidades fornece atualizações de segurança

Processo regulado para a importação imediata de atualizações de segurança do servidor

Atualizações automáticas dos sistemas operacionais de desktop (diretamente do fabricante ou através da distribuição central)

Processo regulado para atualizações do navegador (Recomendação: automaticamente, se possível)

Processo regulado para atualizações de componentes básicos, como por exemplo, B. Java, leitor de PDF (Recomendação: automaticamente, se possível)

Proteção contra malware

A infecção por código malicioso geralmente leva a uma interrupção significativa da TI. Através de programas antivírus, nem todas as variantes de malware foram reconhecidas, mas muitos ataques padrão interceptados. A proteção antimalware eficaz deve, portanto, ser usada.

Endpoint Protection em todas as estações de trabalho

Atualização automática diária das assinaturas antivírus

Gravação central de mensagens de alarme pela administração de TI

Instruções claras para os funcionários sobre como lidar com mensagens de alarme

Programação de administração de TI para infecções por malware

Solução antivírus com detecção heurística local configurada como “alta”

Processo de sandboxing ou EDR (Advanced Endpoint Protection and Response, proteção e resposta avançadas de terminais) apenas sob estrita consideração regulamentações de proteção de dados

Proteção contra ransomware

Os cavalos de Tróia que criptografam dados de forma direcionada para extorquir o resgate podem paralisar o processo operacional. Medidas proativas para proteger contra cavalos de Tróia de criptografia são essenciais para evitar efeitos negativos iminentes em um estágio inicial.

Na medida do possível, não há macros em documentos de escritório em operações diárias

Permitir apenas macros assinadas do Microsoft Office ou informações (regulares), por exemplo, uma vez por ano, para informar os funcionários sobre riscos de ativação de macro (por exemplo, no Microsoft Word)

Impedir a execução automática de programas baixados (por exemplo, política de restrição de software e sandboxing)

Desativação de Hosts de Script do Windows (WSH) em clientes (se não for absolutamente necessário)

Verifique se a restrição de scripts do PowerShell com o “RestringedLanguage Mode” em clientes Windows é viável

Usar um proxy web com listas bloqueadas atuais (diárias) sites de download de códigos maliciosos (IOCs)

Plano de emergência para lidar com cavalos de Tróia de criptografia em papel

Revisão da estratégia de backup e recuperação (consulte Backups), que garante que os backups não possam ser criptografados pelo ransomware

Proteção por senha

O acesso a dados pessoais de qualquer tipo, por parte de pessoas não autorizadas, especialmente criminosos cibernéticos, dificulta as medidas adequadas. Senhas fortes ajudam a proteger os logins dos funcionários.

Consciência dos funcionários sobre o que são senhas fortes e como lidar com elas (por exemplo, sem anotações adesivas no trabalho, nunca passar adiante,...)

Padrão para aplicativos que impedem a seleção de senhas muito fracas (por exemplo, através de diretrizes ou, na medida do possível, tecnicamente aplicadas através do sistema de gerenciamento de identidade)

Comprimento mínimo de dez dígitos para senhas usadas

Recomendação para evitar senhas facilmente adivinháveis ou componentes de senha

Regulamento para bloquear e reatribuir senhas após um incidente

Senhas fortes também de acordo com as diretrizes de senha usam sistemas internos se ainda não estiverem sendo aplicadas por meio do Sistema de Gerenciamento de Identidades

Verificar a regra de que as senhas devem ser alteradas após períodos curtos (por exemplo, 60 dias) - se as senhas forem fortes e longas o suficiente (por exemplo, pelo menos doze [caracteres], o intervalo de alteração de senha pode ser significativamente maior (por exemplo, uma vez por ano)

Nota: A criptografia é particularmente necessária para dados médicos pessoais. No entanto, isso pode fazer com que o conteúdo não seja verificado em busca de código malicioso com antecedência. Portanto, deve-se tomar cuidado especial antes ou ao abrir dados médicos.

Autenticação de dois fatores

Áreas críticas para a segurança têm sido o foco dos atacantes. Além das senhas clássicas, fatores de acesso adicionais são necessários para proteger adequadamente esses pontos de acesso que valem especialmente a pena proteger para proteger.

Proteção de dois fatores para acesso de administrador - pelo menos para serviços de Internet (por exemplo, Cloud Mail Hosting)

Proteção básica de conexões VPN criptografadas com certificados criptográficos ou senhas únicas

Se cartões de chip são usados como cartões de identificação de funcionário, verifique se isso é para autenticação básica (por exemplo, login do Windows) pode ser usado

Nota: Para laboratórios e outras instalações médicas em hospitais bávaros podem usar hospedagem em nuvem a partir de dados médicos com base no art. 27, parágrafo 4, Lei Hospitalar da Baviera (BayKRG) pode ser inadmissível, ver as diretrizes comuns para o processamento de dados de pedidos do BayLdae BayLFD.

Segurança de e-mail

O tráfego de e-mail representa grandes riscos de segurança e é frequentemente o ponto de partida para um ataque bem-sucedido. Regulamentos de toda a empresa para tráfego de e-mail ajudam a combater esses riscos em tempo útil.

Exibir e-mails em “formato de texto simples” para tornar os links manipulados visíveis

Uso de um componente de segurança para vincular e-mails de cheques antes de chamar

Verificar e-mails recebidos usando proteção antimalware

Bloquear anexos perigosos (por exemplo, .exe, .doc, .cmd)

Informar os funcionários sobre os perigos anexos de e-mail criptografados (por exemplo, arquivo zip com senha)

Informe os funcionários para identificar e-mails de mercadorias falsificadas (por exemplo, endereços de remetente, anormalidades, links incorporados)

Informe regularmente os funcionários atuais sobre variantes de ataques por e-mail (por exemplo, Emotet, fraude de CEO), por exemplo, B. uma vez por ano

Desativar regras de encaminhamento em aberto na hospedagem na nuvem

Uso de e-mails assinados criptograficamente (por exemplo, com S/MIME) para comunicação interna para reconhecer e verificar e-mails internos falsos como parte de uma tentativa de ataques

Nota: Para laboratórios e outras instalações médicas em hospitais bávaros podem usar hospedagem em nuvem a partir de dados médicos com base no art. 27, parágrafo 4, Lei Hospitalar da Baviera (BayKRG) pode ser inadmissível, ver as diretrizes comuns para o processamento de dados de pedidos do BayLdae BayLFD.

Backups

Falhas de portadores de dados, seja devido a avarias ou ataques cibernéticos, podem resultar em danos sustentados e levar ao fracasso total de uma empresa. Os backups regulares de dados importantes são, portanto, um pré-requisito para tornar uma falha de TI tão inofensiva quanto possível para sobreviver. Deve-se notar que os cavalos de Tróia dependem do design e também podem abranger backups.

A existência de um conceito de backup escrito

Realização de backups de acordo com a regra 3-2-1:3 armazenamentos de dados, 2 mídias de backup diferentes (também “off-line” como backups em fita) e 1 deles em um local externo

Armazenamento físico adequado de meios de backup (por exemplo, seguro, compartimentos de incêndio diferentes, risco de danos à água, etc.)

Verificação regular de pelo menos um backup é realizada diariamente

Testes regulares com todos os dados relevantes no processo de backup e recuperação incluídos

Pelo menos um sistema de backup não é criptografável com código mal-intencionado (por exemplo, procedimento especial de backup de dados, como puxar o sistema de backup ou espaço de ar desconectado (off-line) após a conclusão do processo de backup

Escritório Doméstico

Se os funcionários mudarem o trabalho para sua própria casa, surgem problemas de segurança completamente novos e podem atuar como uma porta de entrada para ataques cibernéticos de longo alcance. A conexão dos funcionários no modo doméstico deve, portanto, ser bem pensada e projetada com segurança.

Visão geral dos funcionários que têm a oportunidade de trabalhar no escritório doméstico

Visão geral dos funcionários que atualmente usam um escritório doméstico

Visão geral dos dispositivos dos funcionários no escritório doméstico

Garantir a acessibilidade dos funcionários no escritório doméstico através de vários canais de comunicação em caso de ataque (por exemplo, esquivação no telefone)

Criptografia de disco rígido de dispositivos móveis usando criptografia forte (por exemplo, AES 256 bits) guia comum para encomendar o processamento de dados do BayLdaD e do BayLFD.

Proteger o acesso do escritório doméstico à rede da empresa com conexões VPN e uma autenticação de dois fatores

Regulamentos para o uso de dispositivos privados em casos excepcionais (por exemplo, apenas conexões a servidores de terminal)

Se necessário, soluções de contêineres para separar áreas empresariais e privadas

Informações sobre como lidar com videoconferências

Regulamentos para retirar e descartar documentos em papel confidenciais (por exemplo, conceitos de segurança, políticas, planos de rede, etc.)

Opção de acesso externo para resultados laboratoriais

Possibilidades de recuperação online de resultados laboratoriais para remetentes, por exemplo, através de um site, oferecem novas áreas de ataque baseadas na acessibilidade através da Internet. Portanto, eles podem ser o alvo de ataques de hackers. Por conseguinte, são necessárias medidas de protecção alargadas.

Segurança adequada de acesso (por exemplo, SSL)

Seguro e diferente para cada remetente de dados acessados

Atualização regular do software utilizado, em particular, o rápido fechamento de vulnerabilidades conhecidas

Registro completo de acesso

Controlo regular dos registos

Separação relacionada à segurança das páginas de acesso e dos sistemas informáticos internos

Eliminação regular (automática) dos dados fornecidos após a recuperação pelos remetentes

Ensaios regulares de penetração

Manutenção remota

Proporcionar oportunidades de acesso remoto a um sistema de novos alvos. Ao lidar com provedores de serviços que mudam para sistemas por meio de manutenção remota, processos de segurança bem estabelecidos são particularmente importantes na operação.

Limitação do acesso de manutenção remota apenas ao sistema específico a ser mantido em vez de segmentos de rede completos, se necessário, adicionalmente protegido por um chamado “Jumpserver”

Ativação do acesso de manutenção remota apenas para fins específicos e duração

Desativação de transferências de arquivos - se para manutenção remota não for necessária

Registro completo do acesso de manutenção remota

Controle regular dos protocolos para manutenção remota

Proteção criptograficamente apropriada do acesso de manutenção remota (por exemplo, VPN, TLS)

Bloquear ou impedir a rescisão do acesso de manutenção remota de um contrato de serviço

Administradores

Os cibercriminosos têm um tempo fácil quando estão na posse de contas de usuário privilegiadas. Mesmo que a função dos administradores com suas permissões de longo alcance em emergências seja particularmente importante, use apenas contas de administrador de maneira direcionada.

Contas padrão não privilegiadas também para administradores para outros trabalhos fora da atividade administrativa

Regulamento que não tem direitos de administrador na Internet navegou ou ler/enviar e-mails

Senhas muito fortes para contas administrativas locais (por exemplo, mín. 16 dígitos, complexos e sem componentes de palavras usuais e diferentes para cada PC)

Na medida do possível, o uso consistente de procedimentos para autenticação de dois fatores para aplicativos que fazem esse suporte especialmente para administradores

Nenhuma dependência de toda a empresa em indivíduos ou funcionários com IDs de administrador

Garantir que, em caso de falha (por exemplo, doença), a capacidade da empresa para trabalhar possa ser mantida por vários funcionários da administração de TI

Nomeação de um responsável pela segurança da informação ou de uma pessoa responsável pela segurança da informação com atribuição de competências claramente regulamentada

Conceito de Emergência

A disponibilidade de dispositivos médicos importantes, a partir de programas de comunicação e dados básicos, é essencial para uma operação diária suave. Por conseguinte, um conceito de emergência é relevante para ser preparado em caso de falha.

Existência de um conceito de emergência que está realmente disponível para os grupos relevantes de pessoas em papel

Controlo regular da actualidade do conceito de emergência e ajustamento, se necessário

Permitir que as operações sejam retomadas por várias etapas, já planejadas e testadas antecipadamente do processo no plano de emergência

Presença de hardware de reserva de emergência para evitar falhas na compensação (por exemplo, dispositivos aposentados, compras de substituição)

Criação rápida de uma infraestrutura alternativa (por exemplo, servidores externos, comunicação móvel, endereços de e-mail de emergência)

Existência de um plano de rede bem estruturado e atualizado

Informar os funcionários sobre a pessoa de contacto ou as pessoas de contacto internas em caso de incidentes de segurança

Garantir a acessibilidade da (s) pessoa (s) de contacto interna para incidentes de segurança

Indicação das autoridades competentes relevantes e obrigações de comunicação no plano de emergência

Armazenamento seguro de dados de acesso da administração central (por exemplo, no cofre) e opções de acesso em caso de emergência

Desconexão

Assim que os atacantes estiverem na sua rede privada, procure, entre outras coisas, dados, dispositivos conectados e formas de propagação. Se as redes privadas de TI, por exemplo, B. no campo médico, para administração e Internet, estritamente com componentes de rede são separadas umas das outras, o impacto do ataque é minimizado.

Separação restritiva (física) de redes médicas de redes administrativas (usando sistemas de firewall)

Operação dos servidores acessíveis através da Internet em uma zona desmilitarizada (DMZ) (por exemplo, servidor de e-mail, servidor web, endpoints VPN)

Processo regulado para a configuração correta dos firewalls e revisões regulares do mesmo (por exemplo, sobre a necessidade de aprovações)

Registro em nível de firewall para impedir pessoas não autorizadas e determinar e fechar o acesso entre as redes analisadas

Notificações automáticas para a administração de TI se houver suspeita de processamento não autorizado

Firewall

Tentativas de acessar sua própria empresa do lado de fora é inevitável. É importante fazer isso da melhor forma possível bloqueado por um conjunto de regras de firewall com registro em log para identificar perigos e projetar medidas de segurança conforme necessário.

Isolamento de todos os servidores internos, PCs e dispositivos médicos conectados à rede interna da Internet através de um firewall para a Internet;

O “espaço aéreo”, ou seja, a separação da rede, deve ser implementado com sistemas críticos, se possível

Revisão regular da configuração correta do firewall (por exemplo, usando verificações de porta para os próprios endereços IP de pentests externos e periódicos)

Utilização de pessoal e prestadores de serviços devidamente qualificados para configurar o firewall

Monitoramento para identificar tentativas de acesso

Responsável pela proteção de dados (DSB)

Estruturas de segurança precárias em uma organização podem pôr em perigo o processo operacional. Por conseguinte, é importante utilizar as competências existentes e não apenas os gestores de TI, mas também o ORL na integração e implementação de questões de segurança.

Envolvimento consistente do EPD em questões de segurança

Qualificação profissional suficiente do ORL para questões relacionadas com a segurança e possibilidades de formação sobre este tema

Realizar auditorias regulares pela DSB Art. 32 do RGPD para a segurança do processamento

Conhecimento da autoridade supervisora responsável pela proteção de dados

Conhecimento das obrigações de comunicação nos termos dos art. 33 e 34 do RGPD (violação de segurança)

Apoiar a cooperação do DSB com o Diretor de Segurança da Informação (ISB) pela gerência (info: ao selecionar e implementar as medidas técnico-organizacionais de acordo com o art. 32 do RGPD pode criar sinergias através do DSB e do ISB)

Engenharia Social

Criminosos se esgueiram através de ataques de engenharia social para acessar informações importantes para ataques cibernéticos a jusante. Assim, é importante para todos que o “fator de segurança humana” seja explicado adequadamente treinamento.

Treinamento regular de funcionários sobre questões atuais e ataques cibernéticos mais frequentes (por exemplo, uma vez por ano)

Instrução consistente de novos funcionários sobre o tratamento justo de componentes de TI e comportamento em ataques de engenharia social

Aumentar a conscientização de novos funcionários sobre TI corre o risco de iniciar o processamento de dados (por exemplo, também para trabalhadores temporários)

Apresentação do curso de ataques de engenharia social para sensibilizar os funcionários (por exemplo, a possibilidade de manipular números de telefone)

Informações aos funcionários sobre canais de relatórios (por exemplo, pelo ISB ou DSB) e responsabilidades

Publicação Original

www.lda.bayern.de/best_practice_medizin

www.datenschutz-bayern.de/best_practice_medizin

Editores

O Comissário de Estado da Baviera para a Protecção de Dados www.datenschutz-bayern.de

Gabinete do Estado da Baviera para a Supervisão da Proteção de Dados - www.lda.bayern.de

*Conteúdo original traduzido via tradução automática (Google) e revisão ComplexDiscovery.

Leitura Adicional

Considerando a segurança cibernética? Segurança Cibernética Nacional na Prática: Um Novo Manual

Um cenário relevante de ransomeware: o direcionamento de governos municipais e prestadores de cuidados de saúde

Fonte: ComplexDiscovery

Redefinindo a linha de base? Ajustes de tamanho do mercado de eDiscovery

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Novidades do NIST: Integrando a Segurança Cibernética e o Gerenciamento de Riscos Empresariais (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

Uma Aliança Nublada? Uma nuvem de próxima geração para a Europa

According to Thierry Breton, Commissioner for the Internal Market, "Europe needs...

Cinco ótimas leituras sobre eDiscovery em outubro de 2020

From business confidence and captive ALSPs to digital republics and mass...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guia de Compradores de Sistemas de Disclosure — Edição 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

A Corrida para a Linha de Partida? Anúncios recentes de revisão remota segura

Not all secure remote review offerings are equal as the apparent...

Ativando a Descoberta Eletrônica Remota? Um instantâneo de DAaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Redefinindo a linha de base? Ajustes de tamanho do mercado de eDiscovery

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Para casa ou para fora? Considerações de preço e dimensionamento do mercado de coleta de eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisões e decisões? Novas considerações sobre análises remotas seguras de eDiscovery

One of the key revision and decision areas that business, legal,...

Uma visão macro do tamanho do mercado de descoberta eletrônica passado e projetado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

Uma Temporada de Mudança? Dezoito observações sobre a confiança dos negócios do eDiscovery no outono de 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

O Caso Continuado de Restrições Orçamentárias no Negócio de eDiscovery

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Contas pendentes? Métricas operacionais de eDiscovery no outono de 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

Segurando o leme? Resultados da Pesquisa de Confiança Empresarial de eDiscovery

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

DISCO levanta US $60 milhões

According to the media release, DISCO will use this investment to...

Rampiva e o Grupo RYABI

According to today's announcement, the RYABI Group merger is Rampiva's first...

eDiscovery Fusões, aquisições e investimentos no terceiro trimestre de 2020

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Mitratech adquire Acuity ELM

According to Mike Williams, CEO of Mitratech, “We came to the...

Cinco ótimas leituras sobre eDiscovery em outubro de 2020

From business confidence and captive ALSPs to digital republics and mass...

Cinco ótimas leituras sobre eDiscovery em setembro de 2020

From cloud forensics and cyber defense to social media and surveys,...

Cinco grandes leituras sobre eDiscovery para agosto de 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Cinco grandes leituras sobre eDiscovery em julho de 2020

From business confidence and operational metrics to data protection and privacy...