Bezpieczeństwo danych w ochronie zdrowia

Transkrypt

1 Bezpieczeństwo danych w ochronie zdrowia

2

3 Ochrona zdrowia: bezpieczeństwo zaczyna się od IT Cyfryzacja ochrony zdrowia zmusza organizacje do reorganizacji infrastruktury IT tak, aby zwalczać coraz bardziej wyrafinowane zagrożenia jednocześnie wspierając funkcje i procesy biznesowe. Autor: Kevin Flynn, Senior Product Marketing Manager Szpitale i inne placówki opieki zdrowotnej tradycyjnie projektowały swoje sieci, koncentrując bezpieczeństwo na obrzeżach sieci, wykorzystując narzędzia bezpieczeństwa tylko w stopniu koniecznym dla zapewnienia zgodności z regulacjami. Niestety, wiele z tych architektur zabezpieczeń nie zostało dostosowanych do dramatycznych zmian zachodzących w dzisiejszym świecie IT. Ponieważ wymiana informacji o stanie zdrowia (HIEs), wirtualizacja, cloud computing i BYOD stają się rzeczywistością, potrzeba ponownego przemyślenia infrastruktury bezpieczeństwa i całej sieci staje się bardziej nagląca w branży ochrony zdrowia. Jesteśmy w punkcie zwrotnym z elektronicznymi rejestrami medycznymi i finansowymi przesłankami do migracji z papieru do danych w postaci cyfrowej. W USA, na przykład, federalne i stanowe przepisy ustawy o przenośności ubezpieczenia zdrowotnego i odpowiedzialności (HIPAA), ustawy o technologiach informacyjnych w ochronie zdrowia (HITECH) i standardu bezpieczeństwa kart płatniczych (PCI- DSS) stały się kluczowymi czynnikami branymi pod uwagę przy definiowaniu strategii bezpieczeństwa, ze względu na ich wymagania dotyczące segmentacji, audytu i kontroli danych. Choć podobne regulacje nie są obecnie powszechne w skali międzynarodowej, utrzymywanie norm na równi z amerykańskimi jest ważne, ponieważ wiele krajów, na przykład Singapur, Malezja i Tajlandia oraz część Bliskiego Wschodu, aspirują do miana węzłów turystyki medycznej. HIPAA i związane z nią wymagania pozwolą tym krajom przyciągnąć turystów medycznych z USA i innych krajów, którym zależy na zapewnieniu ich prywatności. Na poziomie bardziej technicznym, zgodność z tymi standardami stworzy wspólną platformę, która połączy i zintegruje instytucje opieki zdrowotnej w różnych krajach, wraz z globalizacją branży. Równocześnie, sieci różnych organizacji opieki zdrowotnej, płatników, dostawców i innych stron, stają się coraz bardziej zintegrowane. Systemy EHR stają się standardem. Dane pacjentów przemieszczają się cyfrowo i są przechowywane w sieciach organizacji opieki zdrowotnej. Wykorzystanie mediów społecznościowych wzrasta również w środowisku służby zdrowia, ponieważ umożliwia lepszą komunikację wewnątrz i pomiędzy przedsiębiorstwami i zainteresowanymi stronami, prowadzenie biznesu, opieki nad pacjentem i pracy charytatywnej. Zjawisko BYOD i wykorzystanie technologii bezprzewodowych stają się ważnym elementem krajobrazu, bo przyczyniają się do poprawy wydajności i mobilności w dzisiejszych szpitalach, mogą jednak skomplikować wymagania w zakresie bezpieczeństwa sieci. Poniżej znajduje się kilka istotnych kwestii do przemyślenia przez organizacje ochrony zdrowia, które właśnie wdrażają lub restrukturyzują swoje infrastruktury bezpieczeństwa IT: Wszechobecne ataki Placówki ochrony zdrowia powinny wziąć pod uwagę następujące trendy: Wzrost liczby naruszeń danych o niewielkiej skali Podatności będące efektem utraty urządzeń mobilnych Podatności będące efektem zwiększonej intensywności współpracy i dzielenia zasobów oraz korzystania z mediów społecznościowych Zwiększona liczba urządzeń prywatnych (zarówno pracowników medycznych, jak i pacjentów) korzystających z dostępu do informacji wewnątrz organizacji Innym ciekawym trendem są możliwe naruszenia bezpieczeństwa związane z urządzeniami medycznymi. Pompy insulinowe i defibrylatory na przykład mogą zostać zhakowane (poprzez naruszenie niewłaściwie zabezpieczonych technologii bezprzewodowych zastosowanych w tych urządzeniach), co może mieć konsekwencje zagrażające życiu ludzi. To zjawisko pojawia się w związku z szybkim wzrostem liczby inteligentnych urządzeń medycznych połączonych z siecią i zanikającym podziałem pomiędzy tradycyjną infrastrukturą IT i urządzeniami (infrastruktura i dane się łączą). Urządzenia medyczne mają do czynienia z wieloma aspektami bezpieczeństwa IT, między innymi są narażone na: Ataki pochodzące z sieci tradycyjne złośliwe oprogramowanie przekazywane za pośrednictwem sieci Ataki poprzez media przenośne przekazywane w czasie obsługi technicznej Ataki przekazywane przez urządzenia powracające z naprawy, demonstracji lub wynajmu Rozwój sieci ataki wykorzystujące urządzenie jako punkt wejścia, następnie penetrują sieć łamiąc podobne urządzenia Wszystkie te trendy wymuszają zdefiniowanie i wdrożenie mocnych narzędzi kontroli i polityk dotyczących użytkowników, urządzeń i aplikacji. Wymaga to od organizacji ochrony zdrowia zdolności do wykrywania i kontroli użytkowania aplikacji w ich sieciach i urządzeniach końcowych w oparciu o klasyfikację aplikacji, analizy behawioralne i przynależność użytkownika oraz do wykrywania i kontroli aplikacji webowych na szczegółowym poziomie. Ochrona całej sieci Poniżej znajduje się kilka zaleceń dla organizacji ochrony zdrowia, które mają do czynienia z zagadnieniami bezpieczeństwa: Bezpieczeństwo elektronicznych danych medycznych (HIPAA/HITECH) - Szyfrowanie danych podczas ich przesyłania - Szyfrowany zdalny dostęp do aplikacji zawierających dane medyczne Segmentacja sieci - Segmentacja urządzeń medycznych - Segmentacja systemów elektronicznych danych medycznych (EMR) - Segmentacja sieci, w których przechowywane są dane posiadaczy kart płatniczych (PCI) Filtrowanie treści i kontrola aplikacji - Ograniczenie i monitoring ruchu pracowników w sieci web - Ograniczenie używania aplikacji webowych. Można na przykład umożliwić dostęp do Facebooka, ale zabronić oglądania filmów i grania w gry. - Zabezpieczenie danych kart kredytowych, numerów ubezpieczenia społecznego i danych pacjentów przed wysłaniem do nieuprawnionych osób.

4 W tych obszarach organizacje ochrony zdrowia muszą: - wyeliminować ślepe punkty - udowodnić zgodność polityk z regulacjami - skrócić czas reakcji na incydenty związane z bezpieczeństwem - przyspieszyć wprowadzanie dobrych praktyk i systemów eksperckich Fortinet zachęca organizacje ochrony zdrowia do wzięcia pod uwagę wdrożenia kompletnej strategii bezpieczeństwa IT przy okazji pracy nad regulacjami HIPAA i PCI. Organizacje muszą dzielić, obserwować i kontrolować wiele aspektów swojej działalności, w tym użytkowników, zachowania, dane, urządzenia, systemy operacyjne czy aplikacje. Należy poważnie przemyśleć konsolidację funkcji bezpieczeństwa w rozwiązaniach UTM, bo dzięki temu organizacje mogę osiągnąć całościową widoczność i kontrolę jednocześnie obniżając koszty i złożoność. W kierunku skonsolidowanego podejścia do normy PCI-DSS w ochronie zdrowia W ostatnich latach okazało się jak wiele potrafią zrobić cyberprzestępcy, aby włamać się do interesujących ich sieci ni wykraść cenne dane w celach zarobkowych lub konkurencyjnych. Zjawisko to jest szczególnie widoczne w świecie e-commerce, gdyż dane posiadaczy kart kredytowych są pożądanym towarem na czarnym rynku. Na szczęście główni gracze rynku kart płatniczych zdefiniowali standard, który okazał się być bardzo skuteczny (chociaż nie nieomylny) w ochronie danych przed takimi naruszeniami. W ciągu ostatnich pięciu lat ramy standardu PCI-DSS (Payment Card Industry Data Security Standard) ewoluowały od bycia zwykłymi wytycznymi bez ustanowionych sankcji ich egzekwowania do certyfikacji wymaganej od organizacji zaangażowanych w przepływ lub przechowywanie danych posiadaczy kart płatniczych. Ta obowiązkowa certyfikacja odnosi się także do każdej organizacji ochrony zdrowia, która realizuje płatności kartami płatniczymi. Zgodność z normą PCI-DSS nie ma nic wspólnego z ustawą HIPAA. Zgodność z HIPAA nie oznacza jednocześnie zgodności z PCI-DSS. Pomimo swej pozornie wąskiej specjalizacji, norma PCI- DSS dotyka większości aspektów teleinformatyki. W ich skład wchodzą sieci, bazy danych, aplikacje www, systemy plików i szyfracja wraz ze wszystkimi kluczowymi procesami dotyczącymi bezpieczeństwa IT, jak zarządzanie podatnościami i konfiguracją. W efekcie koszty certyfikacji stają się alarmująco wysokie, stawiając pod znakiem zapytania sensowność standardu w kontekście stosunku ryzyka do korzyści. W 2011 roku Ponemon Institute przeprowadził badania dotyczące rzeczywistych kosztów certyfikacji wśród 160 przedsiębiorstw, w tym 46 międzynarodowych. W rezultacie wykazano, że dla średniej wielkości organizacji koszt zgodności ze standardami takimi jak PCI-DSS, SoX, HIPAA i podobnymi wynosi średnio 3,5 miliona dolarów. Z drugiej strony jednak, koszty braku zgodności oszacowano na 9,4 miliona, czyli prawie trzykrotnie więcej. Mimo, że te dane wykazują zyskowność certyfikacji, koszt pozostaje bardzo wysoki. Jeśli organizacja nie wykazała zgodności z normą PCI-DSS może nie być w stanie przeprowadzać transakcji kartami płatniczymi na niektórych rynkach. Pomijając zdolność do przeprowadzania transakcji, wyciek danych z organizacji nie poddanej certyfikacji na zgodność ze standardem PCI-DSS może kosztować setki tysięcy dolarów (VISA może nakładać kary do $ za każdy przypadek). Ważna jest świadomość, że zgodność z HIPAA nie oznacza zgodności z PCI-DSS. Organizacje różnej wielkości mają różne wymagania odnośnie zgodności z PCI-DSS. Poniżej znajduje się streszczenie definicji poziomów zgodności z normą PCI-DSS opracowanych przez organizację VISA. Szczegóły znajdują się na stronie merchants.html 1 poziom zgodności PCI dla organizacji przeprowadzających transakcje kartami VISA o wartości ponad 6 milionów dolarów rocznie lub oddziały firm międzynarodowych zakwalifikowanych przez organizację VISA do poziomu 1 w jakimkolwiek regionie - Roczny Raport Zgodności wykonany przez uprawnionego audytora (Qualified Security Assessor) lub audytora wewnętrznego, jeżeli jest poświadczony przez zarząd firmy - Kwartalny skan sieci wykonany przez uprawnioną jednostkę (Approved Scan Vendor - ASV) - Poświadczony formularz zgodności 2 poziom zgodności PCI - dla organizacji przeprowadzających transakcje kartami VISA o wartości od 1 do 6 milionów dolarów rocznie - Kwestionariusz rocznej samooceny - Kwartalny skan sieci wykonany przez ASV - Poświadczony formularz zgodności 3 poziom zgodności PCI - dla organizacji przeprowadzających transakcje kartami VISA w kanale e-commerce o wartości od do miliona dolarów rocznie - Kwestionariusz rocznej samooceny - Kwartalny skan sieci wykonany przez ASV - Poświadczony formularz zgodności 4 poziom zgodności PCI - dla organizacji przeprowadzających transakcje kartami VISA w kanale e-commerce o wartości poniżej dolarów rocznie i wszystkie pozostałe organizacje przeprowadzające transakcje kartami VISA o wartości do 1 mln dolarów - Zalecany kwestionariusz rocznej samooceny - Kwartalny skan sieci wykonany przez ASV, jeżeli znajduje zastosowanie - Wymogi zatwierdzania zgodności określone przez organizację Jakie strategie mogą więc zastosować organizacje ochrony zdrowia, aby obniżyć koszty i uprościć wdrożenie standardu PCI? Jakie są główne problemy do rozważenia w tym zakresie? Norma PCI-DSS dotyka wielu dyscyplin i żeby w pełni ją spełniać, potrzebne jest wszechstronne, całościowe podejście do jej 12 wymagań. Główne obszary IT, nad którymi należy się zastanowić, to: sieci kablowe i bezprzewodowe, dane i bazy danych, aktywa IT i punkty końcowe, aplikacje webowe. Sieć kablowa Główne wymagania standardu PCI-DSS dotyczą kontrolowanej segregacji sieci, przepływów ruchu wychodzącego i przychodzącego i wdrożenia DMZ. Poszczególne funkcje obejmują: brzegowy antywirus działający w czasie rzeczywistym, wsparcie tunelowania IPSec/VPN, IDS/IPS, wykorzystanie silnej szyfracji (SSL/IPSec), domyślne ustawienia

5 zablokuj wszystko, wsparcie certyfikatów cyfrowych i dwuskładnikowego uwierzytelniania, monitoring zdarzeń, centralne zarządzanie i raportowanie, analiza podatności sieci. Funkcji tych nie może zapewnić tradycyjny firewall, nawet tak zwany firewall nowej generacji. Jedynym sposobem efektywnego ekonomicznie dostarczenia wszystkich tych funkcji bez konieczności instalowania wielu urządzeń, jest zastosowanie rozwiązania UTM (Unified Threat Management). Urządzenie UTM może pomóc spełnić wymagania normy PCI dotyczące sieci kablowych jednocześnie zwiększając efektywność całego systemu zachowania zgodności PCI, zmniejszając koszty implementacji i obsługi. Sieć bezprzewodowa Sieć bezprzewodowa pod wieloma względami podlega tym samym wymogom, co kablowa, musi jednak spełniać kilka dodatkowych warunków: 1. Wsparcie punktów dostępowych cienkich i zarządzanych, pracujących w transparentnie zarządzanym środowisku 2. Wykrywanie fałszywych punktów dostępowych 3. Wsparcie IDS/IPS w środowisku sieci bezprzewodowej + zapisywanie zdarzeń 4. Wsparcie trybu WPA lub WPA2 Enterprise z uwierzytelnianiem 802.1X i szyfracją AES W praktyce najlepszym podejściem przy większych instalacjach jest minimalizacja stosowania zarządzanych punktów dostępowych, które mają własny kontroler radiowy, IPS i inne wbudowane funkcje bezpieczeństwa, na rzecz cienkich punktów dostępowych, łatwiejszych w zarządzaniu i obsłudze. Cienkie AP tunelują ruch do kontrolerów radiowych, co zapewnia ekonomię skali i umożliwia zarządzanie bezpieczeństwem z jednej konsoli, dając pełną kontrolę i ułatwiając wdrażanie polityk. Aktywa IT i punkty końcowe Aktywa IT zawierają serwery, komputery stacjonarne i przenośne, systemy operacyjne, urządzenia mobilne i wyposażenie sieci. Celem jest zapewnienie, że wszystkie te elementy, które mają styczność z danymi posiadaczy kart płatniczych, podlegają głównemu procesowi zarządzania bezpieczeństwem. Mając na uwadze najbardziej efektywne podejście do spełniania wymogów PCI-DSS przy zachowaniu możliwie niskich kosztów i poziomu skomplikowania, ważnym jest przemyślenie sposobu zarządzania zastosowanymi technologiami bezpieczeństwa i kontroli punktów końcowych. 5 głównych aspektów do sprawdzenia to: 1. Wsparcie zarządzania podatnościami dla zapewnienia, że wszystkie posiadane systemy operacyjne mają zaktualizowane łaty i dla łatwego przeglądania konfiguracji poszczególnych podatności 2. Możliwość zarządzania konfiguracjami w świetle ogólnie uznanych najlepszych praktyk w dziedzinie systemów operacyjnych (np. lista FDCC opracowana przez NIST) 3. Kontrola punktów dostępowych pod kątem zainstalowanego oprogramowania (białe i czarne listy), procesów, urządzeń, sterowników, access list itd. 4. Automatyczne korygowanie konfiguracji 5. Instalacja systemu antywirusowego na urządzeniach użytkowników, najlepiej z centralną administracją Dane i bazy danych Nie jest możliwe zapewnienie zgodności z PCI-DSS bez wdrożenia rozwiązania do ochrony baz danych. Niezależnie od tego, czy spowodowana zwykłym błędem, czy też świadomym działaniem, utrata danych może mieć poważne konsekwencje. Aby spełnić wymogi normy, rozwiązanie do ochrony baz danych powinno zawierać: 1. Dedykowane narzędzia do przeglądu podatności i przeprowadzania testów penetracyjnych 2. Zarządzanie konfiguracjami umożliwiające śledzenie światowych dobrych praktyk i własnych standardów bezpieczeństwa danych 3. Narzędzia do audytu kontroli dostępu na poziomie baz danych, jak i aplikacji 4. Monitorowanie użytkowników baz danych oraz ich aktywności w czasie rzeczywistym W celu uproszczenia tworzenia i wdrażania polityk bezpieczeństwa danych umożliwiających spełnienie wymogów standardu PCI-DSS, warto znaleźć centralnie zarządzane rozwiązanie do ochrony baz danych, które zapewni wszystkie wymienione powyżej elementy. Zaawansowane rozwiązania zawierają funkcje takie jak automatyczne wykrywanie baz danych i danych wrażliwych. Inne pożądane funkcje to wbudowane polityki spełniające standardowe wymagania branżowe i prawne, które w połączeniu z wszechstronnym zestawem raportów graficznych zapewniają gotowość i wsparcie dla zgodności z normą PCI-DSS. Aplikacje webowe Ponieważ aplikacje webowe są z definicji udostępniane na zewnątrz, norma PCI-DSS odnosi się do nich szczegółowo w wymaganiu 6.6. Istnieją dwie metody, które można zastosować, aby spełnić wymogi normy: a) przeprowadzanie rocznych przeglądów kodu lub b) wdrożenie firewalla aplikacyjnego. Chociaż przeglądy i testy kodu są ważnym elementem, zastosowanie firewalla aplikacyjnego może przynieść spore oszczędności. Kluczowe funkcje, które powinien posiadać Web Application Firewall: 1. Zgodność z zaleceniami OWASP, ochrona przed atakami cross-site scripting i cross-site request forgery 2. Ochrona przed atakami DDoS i przepełnieniem bufora, zarówno na poziomie HTML, jak i HTTP 3. Kontrola dostępu i uwierzytelnianie użytkowników aplikacji 4. Monitoring i zarządzanie błędami 5. Funkcja skanowania podatności aplikacji webowych Jak Fortinet może pomóc? Zintegrowane systemy bezpieczeństwa FortiGate umożliwiają organizacjom ochrony zdrowia zobligowanym do zapewnienia zgodności z normą PCI-DSS ochronę wielu rozproszonych geograficznie lokalizacji i krytycznych aplikacji, takich jak systemy płatności czy kartoteki pacjentów, nie obciążając nadmiernie budżetu i personelu. Z wydajnością zapewnianą przez wyspecjalizowane procesory FortiASIC, specjalnie zaprojektowane z myślą o przetwarzaniu danych w sieci, systemy FortiGate oferują pełnie, wielopoziomowe

6 bezpieczeństwo skalowalne od urządzeń dla lokalizacji zdalnych i aplikacji mobilnych do wielogigabitowych sieci rdzeniowych czy centrów danych. Każda platforma FortiGate zapewnia pełną ochronę przed zagrożeniami realizowaną w jednym urządzeniu: firewall, ochrona przed włamaniami (IPS), kontrola aplikacji, VPN, traffic shaping, ochrona przed wirusami, spamem i programami szpiegującymi, filtrowanie treści i zarządzanie podatnościami. FortiManager i FortiAnalyzer urządzenia do zarządzania i raportowania zapewniają scentralizowaną kontrolę nad instalacją każdej wielkości, zawierającą zarządzanie podatnościami oraz zapisywanie i archiwizacja zdarzeń. Produkty wyspecjalizowane Fortinet oferują centralnie zarządzaną ochronę baz danych, szybkie i wszechstronne narzędzia do zapewnienia zgodności polityk i przeglądanie podatności dla wzmocnienia bezpieczeństwa w całej organizacji. Wybrane korzyści rozwiązań Fortinet: Systemy FortiGate oferują skalowalną, wszechstronną ochronę przed zagrożeniami na poziomie sieci i zawartości nie powodując utraty wydajności krytycznych aplikacji oraz nie zakłócając dostępności sieci Łatwo zarządzalne platformy ze zintegrowaną ochroną przed wieloma rodzajami zagrożeń zmniejszają nakłady pracy na zarządzanie i koszty, obniżając TCO Agent bezpieczeństwa dla punktów końcowych FortiClient - zapewnia wszechstronne, zarządzane centralnie bezpieczeństwo zdalnym komputerom osobistym i mobilnym ze wsparciem technologii 3G dla lokalizacji bez stałego łącza do Internetu Urządzenia FortiWiFi z wbudowanym bezprzewodowym punktem dostępowym i gniazdem na kartę modemu 3G umożliwiają szybkie wdrożenie w przychodniach i lokalizacjach zdalnych Bezprzewodowe punkty dostępowe FortiAP wspierające najszybszą technologię radiową n w połączeniu z platformą FortiGate pełniącą rolę kontrolera radiowego obniżają koszty implementacji bezpiecznej sieci WiFi Urządzenia FortiManager i FortiAnalyzer ułatwiają zarządzanie różnymi lokalizacjami i pomagają zapewnić zgodność z normą PCI dzięki zaawansowanym możliwościom zapisywania zdarzeń i archiwizacji Rozwiązanie do ochrony baz danych FortiDB chroni krytyczne zasoby danych z setkami preinstalowanych polityk spełniających standardowe wymagania branżowe i prawne oraz dobre praktyki, w tym raportowanie na potrzeby zapewnienia zgodności z ważnymi normami, takimi jak PCI-DSS Zaawansowane możliwości domeny wirtualnej i strefy bezpieczeństwa zapewniają szczegółową kontrolę nad siecią i aplikacjami również w wielu rozproszonych lokalizacjach. Umożliwia to pracownikom i pacjentom dostęp do sieci bez utraty bezpieczeństwa. Wiele funkcji bezpieczeństwa dostępnych w każdym urządzeniu FortiGate ogranicza potrzebę inwestycji w kolejne rozwiązania Punkty dostępowe FortiAP (FAP-320B i FAP-321B) posiadają certyfikat EMC WYMÓG STANDARDU PCI DSS OPIS WYMOGU ROZWIĄZANIE FORTINET Stworzenie i utrzymanie bezpiecznej sieci Ochrona danych posiadaczy kart Realizacja programu zapobiegania podatności na zagrożenia Wdrażanie skutecznych mechanizmów kontroli dostępu Regularne monitorowanie i testowanie sieci Utrzymywanie polityki w zakresie bezpieczeństwa informacji Instalacja i utrzymanie zapory chroniącej dane posiadaczy kart Niekorzystanie z fabrycznie skonfigurowanych haseł systemowych i innych parametrów zabezpieczeń Ochrona przechowywanych danych posiadaczy kart Szyfrowanie danych posiadaczy kart przesyłanych przez otwarte, publiczne sieci Stosowanie regularnie aktualizowanego oprogramowania antywirusowego Opracowywanie i utrzymywanie bezpiecznych systemów i aplikacji Ograniczanie dostępu do danych posiadaczy kart, zgodnie z zasadą need-toknow Nadawanie niepowtarzalnego identyfikatora każdej osobie z dostępem do komputera Ograniczanie fizycznego dostępu do danych posiadaczy kart Śledzenie i monitorowanie wszystkich przypadków uzyskania dostępu do zasobów sieciowych i danych posiadaczy kart Regularne testowanie systemów i procedur bezpieczeństwa Utrzymywanie polityki dotyczącej bezpieczeństwa informacji FortiGate zintegrowane funcje firewall FortiDB audyt podatności FortiWeb sprawdzanie haseł do aplikacji webowych FortiScan zarządzanie podatnościami systemów operacyjnych FortiDB audyt podatności FortiWeb firewall aplikacyjny FortiGate IPSec VPN FortiGate zintegrowany AV FortiClient zintegrowany AV FortiMail zintegrowany AV FortiGuard automatyczne aktualizacje AV FortiGate zarządzanie podatnościami FortiDB audyt i monitoring podatności FortiWeb bezpieczeńśtwo aplikacji webowych FortiScan zarządzanie podatnościami systemów operacyjnych FortiAnalyzer skanowanie podatności sieci FortiDB audyt i monitoring podatności FortiGate zintegrowana baza danych lub połączenie z Active Directory Usługi profesjonalne firmy Fortinet oraz rozwiązania FortiPartner dla integratorów FortiDB audyt i monitoring FortiAnalyzer raportowanie zdarzeń, skan podatności FortiScan zarządzanie podatnościami systemów operacyjnych FortiGate zarządzanie podatnościami FortiManager zarządzanie politykami bezpieczeńśtwa FortiScan zarządzanie podatnościami systemów operacyjnych

7 Podsumowanie Multidyscyplinarny charakter normy PCI-DSS wymaga od organizacji ochrony zdrowia wdrożenia wielu różnych technologii bezpieczeństwa. W efekcie, organizacje często stosują kombinacje technologii różnych producentów, żeby w pełni zaspokoić wymagania normy. Niestety używanie wielu rozwiązań różnych dostawców zwiększa złożoność (z punktu widzenia wsparcia technicznego, obsługi, szkoleń itp.) oraz całkowity koszt posiadania (TCO). Ograniczenie liczby producentów, najlepiej do jednego, znacznie obniża zarówno koszty operacyjne, jak i kapitałowe, jednocześnie upraszczając wdrożenie i zarządzanie systemem. Podsumowując skonsolidowane podejście pomaga zwiększyć wydajność, poprawić bezpieczeństwo i obniżyć koszty. Referencje z rynku ochrony zdrowia w Polsce Świętokrzyskie Centrum Onkologii Nowoczesna, kompleksowa placówka onkologiczna, jednocześnie jedna z najmłodszych jednostek medycznych w kraju, specjalizujących się w rozpoznawaniu i leczeniu schorzeń nowotworowych. Funkcjonujący od 1995 roku specjalistyczny szpital znajduje się w Kielcach, a jego obszar działania obejmuje teren województwa świętokrzyskiego oraz najbliższe okolice. Rokrocznie w Centrum leczonych jest około 165 tysięcy osób, w tym 15 tysięcy pacjentów w szpitalu i 150 tysięcy w poradniach należących do placówki. Centrum współpracuje z międzynarodowymi organizacjami takimi, jak International Agency for Research on Cancer oraz jest członkiem europejskich stowarzyszeń: European Network of Cancer Registries i European Organisation of Cancer Institutes. Rozwiązanie: FortiGate-310B Dzięki wdrożeniu FortiGate-310B osiągnęliśmy większy poziom bezpieczeństwa sieci naszego Centrum, a administratorzy uzyskali dostęp do nowych funkcjonalności zawartych w często wydawanych kolejnych wersjach firmware u. Wybór urządzenia Fortinet był bardzo trafny, natomiast nasze plany na przyszłość, związane z informatyką i organizacją Centrum, to stałe monitorowanie potrzeb bezpieczeństwa i wydajności zintegrowanego szpitalnego systemu informatycznego i wzbogacanie struktury o bardziej zaawansowane urządzenia, Sebastian Czarnecki, zastępca Kierownika Działu Informatyki, Świętokrzyskie Centrum Onkologii. Szpital Specjalistyczny św. Zofii w Warszawie Jeden z najstarszych ośrodków położniczo-ginekologicznych w Warszawie i placówka medyczna, która w ostatnich latach notuje największą liczbę urodzeń w stolicy. Jest pierwszym publicznym szpitalem położniczym w Warszawie, którego początek działalności sięga 1912 roku. Placówka rozwija się bardzo dynamicznie, co ma swoje potwierdzenie w popularności wśród pacjentek. Szpital otrzymał również wiele nagród, w tym wyróżnienie XII Edycji Polskiej Nagrody Jakości w 2006 roku oraz czwarte miejsce w organizowanym przez dziennik Rzeczpospolita Rankingu Szpitali i pierwsze wśród szpitali położniczo-ginekologicznych w Polsce. Placówka zdobyła również tytuł Szpitala Przyjaznego Dziecku. Rozwiązanie: FortiGate-200B, FortiAP-220B Z racji tego, że codziennie pojawiają się coraz nowocześniejsze techniki stosowane przez hakerów do ataków i wyłudzania poufnych informacji, instytucje, zwłaszcza te z sektora publicznego, stoją przed koniecznością ciągłej modernizacji swoich zabezpieczeń. Szpitale muszą zapewniać wysoki poziom ochrony informacji dotyczących przebiegu leczenia pacjentów, które są przechowywane w sieciach komputerowych. Stąd decyzja o zakupie urządzenia klasy UTM wspomagającego bezpieczeństwo sieci. Drugim naszym problemem był brak ciągłego dostępu do sieci dla naszego personelu. Implementacja 14 urządzeń typu Access Point umożliwia korzystanie z zasobów internetowych oraz komunikację na terenie szpitala, co jest koniecznością dla pracowników naszej placówki, Paweł Frączak, kierownik sekcji informatyki w Szpitalu Specjalistycznym Św. Zofii w Warszawie.

8 Centrala światowa Fortinet Incorporated 1090 Kifer Road, Sunnyvale, CA USA Tel.: Fax: Fortinet Oddział w Polsce ul. Złota 59 Złote Tarasy - LUMEN II, 6 piętro Warszawa Autoryzowany Dystrybutor Rozwiązań Fortinet w Polsce Veracomp SA ul. Zawiła 61, Kraków Tel.: Fax: Copyright Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate oraz FortiGuard to zastrzeżone znaki towarowe firmy Fortinet, Inc. Inne nazwy Fortinet użyte w dokumencie mogą również stanowić znaki towarowe firmy Fortinet. Wszelkie pozostałe nazwy produktów lub firm mogą stanowić znaki towarowe należące do odpowiednich właścicieli. Wyniki pomiarów wydajności przytoczone w niniejszym dokumencie zostały uzyskane w wewnętrznych testach laboratoryjnych w warunkach idealnych. Zmienne sieciowe, różne środowiska sieciowe oraz inne warunki mogą wpłynąć na wyniki wydajności. Firma Fortinet wyłącza wszelkie gwarancje, wyrażone wprost lub domyślne, z wyłączeniem przypadków, kiedy firma Fortinet zawiera wiążącą umowę z kupującym, która wyraźnie gwarantuje, że określony produkt będzie funkcjonował w zgodności z wynikami pomiarów wydajności podanymi w niniejszym dokumencie. W celu wyjaśnienia wątpliwości wszelkie takie gwarancje są ograniczone do pracy w takich samych warunkach idealnych jak w momencie wewnętrznych testów laboratoryjnych w firmie Fortinet. Firma Fortinet w pełni wyłącza wszelkie inne gwarancje. Firma Fortinet zastrzega sobie prawo do zmiany, modyfikacji, przeniesienia lub innego przekształcenia niniejszej publikacji bez powiadomienia, a moc obowiązującą będzie posiadać ostatnia wersja publikacji. Wybrane produkty Fortinet są licencjonowane na mocy patentu amerykańskiego nr