Healthcare: bezpieczeństwo pacjentów zaczyna się od IT

1 Fortinet Confidential

Healthcare: bezpieczeństwo pacjentów zaczyna się od IT

Marcin WójcikMajor Account

Manager

Cyberprzestępczość…

• Dzisiejsza działalność cyberprzestepcza jest lustrzanym odbiciem legalnych procesów biznesowych

• Misja? Jak w przypadku każdego biznesu jest nią zysk. Albo w niektórych przypadkach... zemsta/kara.

• Efekty pracy to szeroki zakres usług, od doradztwa, przez serwis, po niezliczone programy, które odgrywają role produktu. Im bardziej funkcjonalna i/lub skomplikowana jest usługa, tym wyższa jej cena.

…to stale rosnące zagrożenie

• wg FBI w 2009 dochody z cyberprzestepczości przekroczyły dochody z handlu narkotykami

• ataki są coraz bardziej skomplikowane i wielowektorowe

• gwałtownie rośnie liczba infekcji celowanych jak i masowych

3,7 4,49,9

16,123

30,2

1,656

54,6

87,6

2001 2003 2005 2007 2009

Notebooks and Notebooks

Mobile Handsets

Consumer Devices and External Clients

• infekcje dotyczą wszystkich urządzeń podłączonych do internetu – także mobilnych!

• przewiduje sie, że w roku 2013sprzedanych zostanie ponadmiliard urządzeń wyposażonych w WiFi!

Przykłady usług przestępczych i stawki wynagrodzeń

• Usługi konsultingowe, np. założenie botnetu: $350 - $400

• Infekowanie / rozprzestrzenianie: $100 za tysiąc urządzeń

• Usługi realizowane przez botnety: $535 – atak DDoS – 5 godzin dziennie przez tydzień; $40 – spam przez e-mail – za 20 tys. maili; $2 – spam przez www – za 30 postów

• Programy sieciowe: nawet do $5 000 dziennie

• Usługi hostingowe: $6 miesiecznie

• Łamanie zabezpieczeń CAPTCHA: $1/1000 złamanych kodów —wykonywane przez zatrudnionych ludzi

Cyberprzestępczość a sektor Healthcare

• Na ataki cyberprzestepców narażone są wszystkie jednostki administracji publicznej – w tym placówki służby zdrowia – jak również instytucje prywatne, takie jak kliniki.

• Szczególnie niebezpieczny jest wyciek tzw. danych wrażliwych pacjentów – przebiegu chorób, raportów o stanie zdrowia, kart medycznych itd.

• W kontekście wymogu przejścia wszystkich jednostek ochrony zdrowia na pełną Elektroniczną Dokumentacje Medyczną (EDM) do 2017 roku, zagwarantowanie bezpieczeństwa obiegu danych medycznych staje się priorytetem dla branży Healthcare w Polsce.

Typowe wymagania dla projektów Healthcare

Rozwijające się szpitale, kliniki, centra diagnostyczne i inne jednostki służby zdrowia wdrażają bardzo duże projekty informatyczne.

Zależy im m.in. na:

• Szyfrowaniu połączeń tunelowych VPN (IPSec, SSL)

• Optymalizacji łącza WAN

• Zbudowaniu lub rozdzieleniu sieci bezprzewodowej (Wi-Fi) dla kadry białej i szarej – certyfikaty medyczne na punktach dostępowych

• Zbudowaniu sieci hotspot dla pacjentów (płatne) – jednorazowe, czasowe bilety

• Obsłudze własnych laptopów, smartofonów i tabletów (trend BYOD)

• Podwójnym uwierzytelnianiu (tokeny) dla kadry zarządzającej

• Integracji z domeną czy radiusem

Wyzwania

• Zapewnienie bezpieczeństwa niezwykle rozbudowanej struktury informatycznej dużych jednostek służby zdrowia stanowi wyzwanie zarówno dla władz szpitala, jak i producentów urządzeń bezpieczeństwa.

• Częstym problemem szpitali i innych placówek Healthcare jest stosowanie różnych rozwiązań do poszczególnych zadań, dostarczanych przez różnych producentów.

• Komplikuje to architekturę i powoduje zakłócenia w skutecznym działaniu niektórych urządzeń, co może skutkować przedarciem się hakerów do wnętrza serwerów przez słabiej chroniony obszar sieci.

Jak zapewnić wysokiej klasy bezpieczeństwojednocześnie ograniczając koszty?

Skomplikowany i kosztownyTypowy model wdrażania zabezpieczeń w jednostkach służby zdrowia w Polsce

Prosty i efektywny kosztowoModel proponowany przez FORTINET z wykorzystaniem urządzenia klasy UTM

Przewaga FORTINET

• Wysoka wydajność urządzeń• Niskie TCO*• Certyfikacje PCI-DSS oraz zgodność z HIIPPA• Wbudowany kontroler sieci bezprzewodowej• Punkty dostepowe zgodne z normą EMC 60601-1-2• Szerokie spectrum zastosowanych technologii bezpieczeństwa• Wysoka elastyczność i skalowalność systemu• Przyjazny sposób licencjonowania• Profesjonalne wsparcie techniczne• Łatwy interfejs zarządzania (GUI)

*TCO to wg analityków Gartner Group całkowity koszt pozyskania, instalowania, użytkowania, utrzymywania i w końcu pozbycia sie aktywów w firmie na przestrzeni określonego czasu.

Firewall nowej generacji vs. UTM

• Urządzenie klasy UTM posiada zdecydowanie wiecej funkcjonalności

Optymalizacja sieci WAN

Antywirus/ Antyspyware

DLP

Antyspam

Endpoint Protection/

NAC

Firewall

VPN

IPS

Filtrowanie treści

Kontrola aplikacji

Zarządzanie

Bezprzewodowe sieci

LANIPv6,

Dynamic Routing

Inspekcja szyfrowania

SSL

VoIP

Silne uwierzytel-

nianie

VLANs, VDOMs,

Urządzenia wirtualne

Bezpieczny WLAN w szpitalu

Bezpieczny punkt dostepowy

Wi-FiKompleksowe bezpieczeństwo ze zintegrowanym kontrolerem Wi-Fi

Sieć bezprzewodowa klasy biznes

Audit trail

User/Application Rate-limiting

Policy Enforcement

Visibility at L7+

UTM & Rogue Threat Detection

Role Derivation

Authentication

Punkty dostępowe nie zakłócają urządzeń medycznych !!! – norma EMC 60601-1-2 (FAP-221B, 320B)

12 Fortinet Confidential

BYOD – Bring Your Own DevicesIdentyfikacja urządzeń: IOS, Android, inne

Polityki bazujące na rodzaju urządzeń

Kontrola stacji klienckich

Bezpieczeństwo urządzeń mobilnych

Świetokrzyskie Centrum Onkologii

• Zabezpieczenie styku LAN/WAN• Filtrowanie ruchu pod kątem ataków, wirusów i spamu • Zabezpieczenie kanałów VPN

RozwiązanieFortiGate

Wybrane wdrożenia urządzeń FORTINET w Polsce

• Wzmocnienie bezpieczeństwa lokalnej sieci• Zapewnienie poufności danych• Ochrona przed kradzieżą danych• Zabezpieczenie przed atakami i wirusami• Zintegrowanie systemu uwierzytelniania oraz zarządzania zabezpieczeniami

sieci

RozwiązaniaFortiGateFortiAP


Szpital w Chojnicach

• Klaster HA Fortigate

• kilkadziesiąt punktów dostępowych

• Fortianalyzer

Szpital Specjalistyczny w Pile (sieć w trakcie rozbudowy)

• Klaster Fortigate

• Sięć Wi-Fi

• Fortianalyzer

• Tokeny


Wojewódzki Szpital Specjalistyczny we Wrocławiu

• Klaster HA FortiGate

• kilkadziesiąt punktów dostępowych

• Fortianalyzer

Centrum Medyczne ENEL-MED• Klaster HA FortiGate

• Kilkadziesiąt mniejszych urządzeń FortiGate

• FAZ-VM

• FMG-VM


Centrum Onkologii w Gliwicach• Duży klaster FortiGate

Centrum Onkologii w Krakowie• Klaster FortiGate

Centrum Onkologii w Bydgoszczy• Kilka różnych urządzeń FortiGate


Kompetencje potwierdzone u klientów z sektora Healthcare na całym świecie

April 10, 2023

Znane ataki i sposoby ochrony

20 CONFIDENTIAL – INTERNAL ONLY

Rozwiązania Fortinet

FortiManager

(VM opcja)

FortiWeb(VM opcja)

FortiAnalyzer

(VM opcja)

FortiMail (VM opcja)

FortiDB

FortiScan (VM opcja)

Web servers farm

E-Mailserver

DataBases

FortiDDoSFortiGate

• FortiGate• Unified Threat Management

• FortiManager• Centralized Management

• FortiAnalyzer• Logging and Reporting

• FortiWeb• Web Application Security

• Fortimail• Messaging Security

• FortiScan• Vulnerability Management

• FortiDDoS• DDoS attacks mitigation

• FortiDB• Data Bases scanning

FortiClient 5.0

FortiAP

Kontrola centralna Wi-Fi

FortiToken


FortiGate

FortiManager

(VM opcja)

FortiWeb(VM opcja)

FortiAnalyzer

(VM opcja)


FortiDB


Web servers farm

E-Mailserver

DataBases

FortiDDoSFortiGate

• FortiGate• Unified Threat Management

Współczesny cyber atak i remedium

“Niewinny ” Link do filmiku:Przekierowuje na infekującą strone

Web FilteringBlokuje dostep do groźnej strony

Network AntivirusBlokuje pobranie wirusa

Intrusion ProtectionBlokuje propagacje robaka

Rozwiązanie: FIRE

WA

LL

Error message:„Malware “ infekuje system i stara sie propagować

WE

B FILTE

RIN

G

AN

TIVIR

US

“Out of date” Flash player error:“Pobieramy” plik malware

INTR

US

ION

PR

OTE

CTIO

N

PORT 80

Problem:

Atak na serwery aplikacyjne: Podmieniono stronę WWW (deface)

(…) za podmianą strony premiera stoją poniższe osoby: Patient, który znalazł podatność SQL injection oraz Fir3, który z niej skorzystał (…)

00:29 <@patient> https://www.premier.gov.pl/admin/index.php?do=satan%00"'xor ../'&ac=login00:29 <@Fir3> hum ?;>00:30 <@Fir3> lfi?00:30 <@Fir3> sql ?00:30 <@Fir3> ?;d00:30 <@patient> nie00:30 <@patient> czary-mary00:30 <@patient> link kopiujcie dokladnie tak00:31 <@patient> nie zamieniajcie NB na special chara od razu, ma to zrobic serwer00:32 <@patient> panel sam w sobie moze wam nie dzialac00:32 <@patient> ale wszystkie funkcje sa na zewnatrz00:32 <@patient> wystarczy je wziasc, pozmieniac parametry i jazda ; d00:32 <@patient> mamy premier.gov.pl

Technika:SQL Injection

Obrona przed SQL Injection

Standardowy firewall sieciowy

Intrusion Prevention System (IPS)

Firewall aplikacyjny (WAF)


FortiManager

(VM opcja)

FortiWeb(VM opcja)

FortiAnalyzer

(VM opcja)


FortiDB


Web servers farm

E-Mailserver

DataBases

FortiDDoSFortiGate

• FortiWeb• Web Application Security


• 49% aplikacji webowych jest wysoko podatnych na działanie automatycznych narzędzi hakerskich*

• 80%-96% jest wrażliwych na ataki manualne

• 99% aplikacji web jest niezgodnych z PCI-DSS

• Większość znanych ataków web nie jest zatrzymywana przez obecne zapory:

• Cross-site scripting

• SQL injection

• Information Leakage

• HTTP Response Splitting

• Wpływ ataku na biznes:• Stracone przychody

• Kary za brak zabezpieczeń wg regulacji

• Skompromitowana marka firmy

Dlaczego potrzebujemy firewalla aplikacyjnego?

*Source – Web Application Security Consortium (WASC)

http://www.msnbc.msn.com/

Problem: ustawione łatwe hasło

„Login: admin, hasło: admin1. Tak chroniony był panel administracyjny witryny Rady Ministrów, którą wczoraj

zaatakowano i podmieniono w ramach protestów przeciwko ACTA. Spece od cyberbezpieczeństwa z politowaniem oceniają - sami się prosili o kłopoty. A do odpowiedzialności za rządową infrastrukturę telekomunikacyjną nikt nie chce się przyznać.”

00:32 <@patient> mamy premier.gov.pl03:21 < GrigoriMaslov> https:// (…)03:38 <@Fir3> https://www.premier.gov.pl/admin(...),passwd%29%29%29,3,5%20FROM%20_users--%20and%20%271%27%20=%27103:38 <@Fir3> ahahaha03:38 <@Fir3> tyle sie na(…)03:38 <@Fir3> aby pass byl admin103:38 <@Fir3> ok wgrywam shella04:12 <@Fir3> ! HACKED !

Technika:Atak

słownikowy lub Żart

Łatwe hasło

Ataki słownikowe na Gadu-Gadu

Opublikowana w internecie lista numerów wraz hasłami nie jest wynikiem wycieku danych na skutek włamania na serwery Gadu-Gadu. Ktoś po prostu wybrał sobie kilka słabych haseł (123456, qwerty, kasia, etc.) i próbował przy ich pomocy logować się na każdy numer Gadu-Gadu. Jeśli logowanie się udało, numer wraz z odpowiednim hasłem lądował na liście. W ten sposób zebrano 9999 par numery-hasła.

Istnieje lista najpopularniejszych polskich haseł !!!

Obrona przed używaniem łatwych haseł

Procedura okresowej zmiany haseł

Dwuskładnikowe uwierzytelnienie

Procedura wymuszania trudnych haseł

Dwuskładnikowe uwierzytelnienie

Dwuskładnikowe uwierzytelnienie:

• token fizyczny• token by e-mail• token by sms• token by smartfone

FortiToken by

(…) początku listopada doszło do najpotężniejszego w bieżącym roku ataku tego typu. Przez tydzień około 250 000 zainfekowanych komputerów atakowało witryne jednej z azjatyckich firm zajmujących sie handlem internetowym. Szczytowy transfer danych wynosił 45 Gbps, kiedy to atakujące maszyny łączyły sie z atakowanym serwerem 15 000 razy w ciągu sekundy.

(…) Niewykluczone, że dokonała go konkurencja lub niezadowolony klient.

Atak: Distributed Denial of Service (DDoS)

FortiDDoS by


FortiManager

(VM opcja)

FortiWeb(VM opcja)

FortiAnalyzer

(VM opcja)


FortiDB


Web servers farm

E-Mailserver

DataBases

FortiDDoSFortiGate

• FortiDDoS• DDoS attacks mitigation


Ochrona sprzętowa (ASIC)

Automatyczne nauka o atakach i dynamiczna ochrona

Ochrona bez sygnatur

Pełna przeźroczystość dla ruchu sieciowego

Wielopoziomowa detekcja

Akcelerowana sprzętowo obrona przed DDoSOchrona siegająca warstw aplikacji

FortiDDoS

FortiDDoS

Web Hosting Center

Firewall

Ruch pożądany Ruch podejżany

ISP 1

ISP 2

Problem: Dostęp do nieuprawnionych zasobów.

„Na platformie Orange.pl doszło do błędu, który pozwalał na dostęp do prywatnych danych innych klientów. Rzecznik Grupy TP Wojciech Jabczyński potwierdza, że doszło do awarii i jednocześnie przeprasza klientów.”

Wykradzione dane klientów Netii !!!


FortiManager

(VM opcja)

FortiWeb(VM opcja)

FortiAnalyzer

(VM opcja)


FortiDB


Web servers farm

E-Mailserver

DataBases

FortiDDoSFortiGate

• FortiDB Data Bases scanning


DLP

Współpracuje z Kontrolą Aplikacji oraz inspekcją SSLDziała dla dowolnej aplikacjiMożliwe akcje (blokowanie / logowanie)Pozostawia ślad do AudytuPomaga w realizacji zgodności z normami bezpieczeństwaChroni poufne zasoby organizacji

Chroni przed wyciekiem informacji poufnej, chronionej polityką przedsiębiorstwa poza sieć korporacyjną

Data Leak Protection

Problem: niechciane wiadomości, przemycanie niebezpiecznych załączników

SPAM

Wirusy

Blacklisting

Ataki pocztowe DDoS

Phishing/ spoofingu


FortiManager

(VM opcja)

FortiWeb(VM opcja)

FortiAnalyzer

(VM opcja)


FortiDB


Web servers farm

E-Mailserver

DataBases

FortiDDoSFortiGate

• FortiMail• AS,AV security for e-mails


Bezpieczeństwo pocztyZaawansowany antyspam i antywirus, kwarantanna, archiwizacja.

Specjalizowany system ochrony poczty messaging security system • Dwukierunkowa filtracja ruchu

Elastyczne opcje wdrożeniowe• Tryb Transparent, Gateway, Server

Szyfrowanie bazujące na tożsamości odbiorcy = link URL https

Archiwizacja poczty

FortiMail

MailServers

FortiMail


FortiManager

(VM opcja)

FortiWeb(VM opcja)

FortiAnalyzer

(VM opcja)


FortiDB


Web servers farm

E-Mailserver

DataBases

FortiDDoSFortiGate

• FortiManager• Centralized Management

• FortiAnalyzer• Logging and Reporting


FortiAnalyzer i FortiManager

Ściśle zintegrowane centralne zarządzanie usługami bezpieczeństwa w oparciu o analizę i raporty.

• FortiAnalyzer• Analiza Logów• Raportowanie• Archiwizacja kontentu / Data

Mining• Analiza sieciowa• Przegląd Logów Real-Time • Centralna kwarantanna plików• Skaner Podatności Sieciowych• Analiza sądowa

• FortiManager• Policy / Device Management• Update Manager

(Firmware / Security Content)• VPN Manager• Script Manager

Dziękuję za uwagę

Marcin Wójcik

Major Account [email protected]

kom. 693 307 600

mailto:[email protected]

Health & Medicine

Healthcare: bezpieczeństwo pacjentów zaczyna się od IT