ACHTUNG CYBER-ATTACKE

Als das World Wide Web im Jahr 1989 erfunden wurde, konnte sich vermutlich noch niemand so richtig vorstellen, dass sich die weltweite Vernetzung von Computern jeglicher Art zu einem der grössten Risiken für die Gesellschaft entwickeln würde.

Die Anzahl der vernetzen Geräte nimmt mit jedem Tag stetig zu. In den nächsten Jahren kommen Milliarden neuer Geräte dazu und ein Ende ist nicht in Sicht. Die Institute welche die Prognosen erstellen überbieten sich mit immer neuen Hochrechnungen.

Die grössten Trends gemäss repräsentativen Umfragen liegen vor allem in den Bereichen Metaverse, KI (Künstliche Intelligenz), Containerisierung, IoT (Internet of Things) für das Gesundheitswesen sowie Cybersecurity und IOT-Sicherheit. Ob sich die Trends bewahrheiten werden, sehen wir dann im nächsten Jahr. Aber eines ist sicher, die Informationssicherheit wird bei jedem der Trends eine wichtige Rolle spielen.

Wie sieht die aktuelle Bedrohungslage den eigentlich aus?
Quellen für Informationen zur Bedrohungslage gibt es viele. Eine davon ist das Nationale Zentrum für Cybersicherheit (NCSC). Dieses veröffentlich jeweils einen Halbjahresbericht über die Lage in der Schweiz und International.

Der Halbjahresbericht 2022 für die erste Hälfte des Jahres, welcher frei verfügbar ist, beinhaltet vor allem Themen mit Bezug auf den bewaffneten Konflikt in der Ukraine sowie Meldungen aus der Bevölkerung.

Gemäss NCSC sind vor allem im Bereich Betrug viele Meldungen eingegangen. Dies im speziellen durch den anhaltenden Trend zu „Fake Extortion“ und „Spoofing“.

Bei «Fake Extortion» drohen Erpresser mit der Veröffentlichung kompromittierender Bilder. Die Erpressungen kommen unerwartet und Erpresser und Opfer kennen sich nicht.

«Spoofing» ist eine Angriffstechnik, bei dem sich eine Person als vertrauenswürdiger Kontakt oder als vertrauenswürdiges Unternehmen ausgibt, um an sensible persönliche Daten zu gelangen. Beim Spoofing geht es darum, die Identität von bekannten Kontakten, das Design bekannter Marken oder die Adressen vertrauenswürdiger Websites zu kopieren und sich zunutze zu machen.

Die Anzahl der Meldungen hat stetig zugenommen und die Dunkelziffer ist nochmals um Faktoren höher. Nachfolgend die Statistik mit den Kennzahlen der Meldungen welche gemäss NCSC im ersten Halbjahr 2022 gemeldet wurden.

Quelle: Nationales Zentrum für Cybersicherheit NCSC, Halbjahresbericht 2022/I (Januar – Juni)

Wo sieht sich die CISTEC in diesem Umfeld?
Die CISTEC entwickelt und betreibt das Klinikinformationssystem KISIM und ist nach 20 Jahren in der Deutschschweiz marktführend in diesem Bereich. Die CISTEC leistet mit ihren rund 170 Mitarbeitenden einen wichtigen Beitrag zur Digitalisierung des Schweizer Gesundheitssystems. Dies bedeutet aber auch, dass die CISTEC eine Verantwortungsvolle Position innerhalb der Lieferkette innehat. Dieser Verantwortung ist sich die CISTEC bewusst und stellt hohe Ansprüche an sich selber sowie auch an ihre Kunden, Patienten, Lieferanten und Partner. Nachfolgend ein Auszug der Sicherheitspolitik der CISTEC welche den Anspruch deutlich macht:

…Die Informationssicherheitspolitik hat zum Ziel, die Wertschöpfungskette zu sichern unter der Berücksichtigung der rechtlichen und betrieblichen Anforderungen. Wir betrachten «die Information» zur richtigen Zeit am richtigen Ort in der richtigen Qualität als zentrale Erfolgsfaktoren für die CISTEC, für unsere Kunden und deren Patienten sowie auch für unsere Lieferanten und Partner, ohne die unser Unternehmen in seiner Geschäftstätigkeit massiv beeinträchtigt wäre. Schützenswerte IT-Objekte wie Daten/Informationen, Anwendungen, Systeme und Netzwerke sollen demnach dauerhaft und angemessen vor höherer Gewalt, technischem Versagen, vorsätzlichen Angriffen und menschlicher Nachlässigkeit geschützt werden…

Was unternimmt die CISTEC nun konkret gegen die wachsende Bedrohung?
Ein wichtiger Teilaspekt im Kampf gegen die Bedrohungen ist die Tatsache, dass sich die CISTEC der Qualität verschrieben hat und ein zertifiziertes Qualitätsmanagementsystem betreibt nach der Norm EN ISO 13485:2016 für die Entwicklung, Vertrieb, Installation und Wartung von klinischen Informationssystemen.

Konkreter im Kontext der Informationssicherheit war der Entscheid, die Stelle als CISO (Chief Information Security Officer) in der CISTEC möglichst rasch zu besetzen. In der Vergangenheit wurden die Sicherheitsthemen in einer Personalunion behandelt, was in der heutigen dynamischen Zeit und aufgrund der Menge an Themen nicht mehr als adäquat erachtet wurde.

Im gleichen Zeitraum hat man die Risiken neu bewertet und der zukünftige CISO wurde damit beauftragt eine neue Sicherheitsstrategie zu erarbeiten. Die Strategie sieht unter anderem vor, in Kooperation mit der Geschäftsleitung, der ICT, der Belegschaft, unseren Partner und Lieferanten die Risiken nachhaltig zu reduzieren. Dies wird erreicht mittels nachhaltigen und adäquaten Massnahmen unter Berücksichtigung von gängigen Standards und Best-Practice-Ansätzen. Im Vordergrund stehen hier vor allem die Sicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit.

Die Sicherheit unserer Kunden und deren Informationen hat oberste Priorität und darum hat sich die CISTEC zum Ziel gesetzt die Cyber- und Informationssicherheit stetig auszubauen und die Resilienz nachhaltig sicherzustellen.

Ein weiteres Ziel ist es, unsere Kunden in diesen Bestrebungen tatkräftig zu unterstützen. Dies mittels Risikoanalysen und Sicherheitskonzepten in den Bereichen Sicherheitsarchitektur, Endpunktsicherheit, Identitätsmanagement, Business Continuity, Cloud-Security, Containerisierung, Überwachung und Incident Response falls es dennoch mal zu einem Vorfall kommen sollte.

Bestrebungen wie zum Beispiel die Zertifizierung nach ISO 27001 oder 27017, 27018 stehe zur Diskussion und unterstreichen unsere Motivation nicht nur marktführend im Bereich der Klinikinformationssysteme (KIS) zu sein, sondern auch zu den Besten im Bereich Informations- und Cyber-Sicherheit zu gehören.

Wir freuen uns in Zukunft unsere Kunden tatkräftig unterstützen zu dürfen und stehen für Fragen gerne zur Verfügung.

Für Fragen zum Blog steht Ihnen Dominik Picek, CISO, gerne zur Verfügung (Email: moc.cetsic@kecip.kinimod).

 

  • 23. März 2023

Tags

#cistec#cyber_attack#digital#Security
Zurück
  • 23. März 2023

Tags

#cistec#cyber_attack#digital#Security
Zurück

Ähnliche Beiträge

Projectathon 2019 - Ziel in Sicht auf dem Weg zum EPD

Wie bereits in den beiden Jahren zuvor war die CISTEC Ende September am "EPD Projectathon" vertreten. Der diesjährige Event war der letzte Testanlass vor dem Start des Elektronischen Patientendossiers im April 2020, um zusammen mit 18 anderen in Bern vertretenen Herstellern die KISIM EPD Integration zu testen.

Sublimd KISIM Integration

In diesem Beitrag möchten wir Ihnen die Zusammenarbeit mit unserem Software Partner Sublimd näher bringen. Das eHealth Umfeld Schweiz ist eine innovative Szene - voll mit Startups, welche neue, innovative Ideen für das Gesundheitswesen entwickeln. CISTEC möchte dabei mithelfen, dass einige dieser Ideen rasch in der Praxis Fuss fassen können. Davon profitieren unsere Kunden und so schlussendlich auch die Patienten. Wir versuchen deshalb mit den Shooting Stars der Schweizer eHealth Startup Szene in Kontakt zu bleiben und sind offen für Integrationen von innovativen Ideen in unser KISIM.

Teamboard-Einführung im Spital Thurgau - Neubau Horizont

Das Spital Thurgau hat im Februar ihren sehr modernen und schönen Neubau bezogen. Gleichzeitig wurde auch im Neubau auf allen Stationen das Teamboard eingeführt. Wir freuen uns, im Interview mit der KIS Projektleiterin Petra Breiting über ihre Erfahrungen in diesem Projekt austauschen zu dürfen.

Unser jüngster Erfolg

Die KISIM-Erfolgsgeschichte hat ein weiteres Kapitel: Das Ostschweizer Kinderspital wird CISTEC-Kunde und wird in Zukunft die gesamte klinische Dokumentation, Planung und Leistungserfassung mit KISIM machen.

Das Kantonsspital Glarus entscheidet sich für KISIM

Das Kantonsspital Glarus hat letztes Jahr ein neues Klinikinformationssystem gesucht. Wir können nun offiziell verkünden, dass wir die Ausschreibung gewonnen haben. Es ist für uns eine grosse Freude mit dem KSGL das KISIM einzuführen und somit im Glarnerland vertreten zu sein. Wir haben Lutz Brandt, Bereichsleiter Informatik beim Kantonsspital Glarus befragt warum sie sich für unser KISIM entschieden haben.

KISIM Patient – das KISIM-integrierte Patientenportal

In diesem Blog stellen wir das neue Patientenportal "KISIM Patient" von CISTEC vor. KISIM Patient wird im Herbst 2021 live gehen und ist das standardisierte und KISIM-integrierte Patientenportal für Ihre bestehende KISIM Infrastruktur.