Sigurnost podataka u tvrtki Fresenius Kabi

U tvrtki Fresenius Kabi znamo da je sigurnost podataka važna našim klijentima, bolesnicima i poslovnim partnerima. Predani smo održavanju sigurnosti podataka putem odgovornog upravljanja, pravilnog korištenja i zaštite u skladu sa zakonskim i regulatornim zahtjevima.

Organizacija sigurnosti podataka

Objavili smo pismenu Politiku kibernetičke sigurnosti, u kojoj su opisane uloge i odgovornosti u području kibernetičke sigurnosti (cyber sigurnosti) koje su definirane unutar naše organizacije.

Naš sigurnosni tim fokusira se na sigurnost podataka, globalnu sigurnosnu reviziju i usklađenost, kao i na definiranje sigurnosnih kontrola za zaštitu hardvera i infrastrukture tvrtke Fresenius Kabi. Sigurnosni tim redovito prima sigurnosne obavijesti iz informacijskog sustava te rutinski šalje sigurnosna upozorenja i savjete organizaciji.

Model sposobnosti sigurnosti podataka

Usvojili smo Model sposobnosti sigurnosti podataka temeljen na sustavu Critical Security Controls (CIS 18), koji je dopunjen drugim sigurnosnim mjerama na temelju najbolje industrijske prakse. To nam omogućuje da holistički pristupamo usklađenosti u vezi sa sigurnošću. Također, redovito provodimo periodične procjene zrelosti naših sigurnosnih sposobnosti, a o rezultatima izvještavamo Upravu tvrtke Fresenius Kabi.

Upravljanje usklađenošću sigurnosti

U procesu smo razvijanja skupa pravila usklađenih s osnovnim zahtjevima Fresenius grupe, velikim katalogom interne kontrole Fresenius grupe usklađenim s najboljom industrijskom praksom.

Fresenius Kabi ima implementiran formalni program interne revizije koji osigurava usklađenost s našim internim politikama te primjenjivim zakonima i propisima o kibernetičkoj sigurnosti. 

Sigurno upravljanje podacima

Utvrdili smo proces klasifikacije podataka kako bismo primijenili odgovarajuće mjere sigurnosti za zaštitu podataka naših klijenata, bolesnika i poslovnih partnera.

Kad god je to moguće i izvedivo, kriptiramo osjetljive podatke i u tranzitu i u mirovanju.

Upravljanje kontrolom pristupa

Utvrdili smo zahtjeve za upravljanje kontrolom pristupa za odobravanje, upravljanje i ukidanje korisničkog pristupa. Za pristupanje informacijskim sustavima tvrtke Fresenius Kabi uvedene su kontrole pristupa na temelju uloga.

Kontrole pristupa osjetljivim podacima u našim bazama podataka, sustavima i okolinama uređene su po načelu nužne razine znanja („need-to-know“). Uz to, dajemo dozvolu pristupa samo po načelu najmanje ovlasti („least privilege“).

Korisnici informacijskih sustava dobivaju jedinstvene korisničke račune i lozinke, a zahtjevi za lozinku su definirani i obavezno se provode.

Administratorske ovlasti ograničavamo na posebne administratorske račune.

Svojim korisnicima osiguravamo softver VPN (virtualna privatna mreža) koji omogućuje siguran udaljeni pristup ključnim sustavima putem interneta. Za udaljeni pristup mreži također zahtijevamo višefaktorsku autentifikaciju.

Ranjivost i upravljanje zakrpama

Strogo primjenjujemo najnovije sigurnosne zakrpe i ažuriramo operativne sustave, krajnje točke („endpoints“) i mrežnu infrastrukturu kako bismo minimizirali izloženost ranjivostima.

Uveden je proces upravljanja zakrpama kako bismo implementirali sigurnosne zakrpe i ažuriranja čim ih dobavljači objave.

Provodimo periodička skeniranja eksterno izložene IT imovine i interne IT imovine. 

Penetracijsko testiranje

Imamo utvrđene procese za ispitivanje i korigiranje ranjivosti na napade otkrivene tijekom penetracijskog testiranja koje svakih šest mjeseci provodi naš kvalificirani i nezavisni partner za penetracijsko testiranje, Cobalt Labs Inc.

Upravljanje odgovorom na incidente

Imamo službeni plan odgovora na incidente s odgovarajućim postupcima koji se pokreću u slučaju sigurnosnog incidenta. Plan odgovora na incidente definira odgovornosti ključnog osoblja i utvrđuje procese i postupke za obavještavanje i eskalaciju. Osoblje za odgovor na incidente prolazi obuku, a provođenje plana odgovora na incidente periodički se testira.  

Slijedimo SANS Incident Response Process, okvir za odgovaranje na incidente koji je standard u našoj industriji, koji nam pomaže pripremiti se, prepoznati, spriječiti, otkriti i odgovoriti na sigurnosne incidente. U tome nas podržava Fresenius tim za hitne intervencije u kibernetičkoj sigurnosti (CERT). 

Zaštita krajnjih točaka

Naše krajnje točke opremljene su antivirusnim rješenjem kojim se upravlja centralno, kako bi se osiguralo da su najnovije definicije virusa uvijek raspoložive na krajnjim točkama i da se u svim krajnjim točkama provodi dosljedna politika sigurnosti. 

Sva prijenosna računala imaju kriptiran cijeli disk (FDE), a ključevima se upravlja s pomoću sigurnosnog trezora („vault“).

Konfigurirali smo automatsko zaključavanje sesije na imovini poduzeća nakon definiranog perioda neaktivnosti.

Za mobilne uređaje postoji sustav upravljanja mobilnim uređajima, a pristup je dozvoljen samo s uređaja konfiguriranih u skladu s našom politikom sigurnosti. Ova politika sigurnosti zahtijeva unos koda za pristup uređaju te omogućuje udaljeno brisanje u slučaju prijave izgubljenog ili ukradenog uređaja.

Sigurnost mreže i elektroničke pošte

Filtriramo promet između segmenata mreže.

Unutar naše okoline dozvoljene su samo bežične mreže kojima upravlja Fresenius Kabi. Sigurnosne kontrole bežičnog pristupa uključuju razdvajanje korporativnog pristupa od pristupa gosta i rotaciju bežičnih ključeva.

Uveli smo rješenje koje redovito ažurira softver za filtriranje URL-ova i blokira pristup neprimjerenim internetskim stranicama iz ove mreže.

Naši pristupnici („gateways“) elektroničke pošte ponašaju se kao barijere koje filtriraju zlonamjerni promet i zaustavljaju phishing napade te omogućuju samo autentične poruke.

Prijava i nadzor

Sistemski zapisi („system logs“) aplikacija i infrastrukture pohranjuju se u svrhu otklanjanja problema, sigurnosnih pregleda i analize ovlaštenog osoblja. Zapisi se čuvaju u skladu s regulatornim zahtjevima.

Implementiran je sustav centraliziranih upozorenja na sigurnosne događaje za svu IT imovinu poduzeća za korelaciju i analizu zapisa. Platforma za analitiku zapisa konfigurirana s upozorenjima na korelacije bitne za sigurnost također ispunjava ovu sigurnosnu mjeru.

Obuka i osviještenost zaposlenika

Zaposlenici tvrtke Fresenius Kabi obvezni su sudjelovati u edukacijama za osvještavanje o kibernetičkoj sigurnosti. U tu svrhu omogućujemo različite formate za prezentiranje teme kibernetičke sigurnosti te njezino lakše razumijevanje. Naš slogan je „Kibernetička sigurnost je timski sport“ i u tom duhu redovito nastojimo nadahnuti svoje zaposlenike raznim kampanjama za osvještavanje, novim člancima i objavama na blogu na temu sigurnosti, kako bi postali aktivni sudionici u strategiji obrane naše tvrtke.

Osim našeg programa osvještavanja o sigurnosti, sve osobe s pristupom našim IT sustavima svaka tri mjeseca dobivaju testove koji simuliraju phishing napade. Ove kvartalne kampanje podržavaju osviještenost o sigurnosti te šire znanje i oprez u vezi s elektroničkom poštom koja sadrži phishing.

Fizička sigurnost

U našim uredima uvedene su kontrole fizičkog pristupa. Kontrole uključuju zaštitu zgrade i zaštitu pristupa objektima tvrtke Fresenius Kabi. Za pristup uredima i proizvodnim postrojenjima tvrtke Fresenius Kabi potrebna je proximity kartica. Postoje definirani postupci za kontrolu pristupa posjetitelja, koji od svih posjetitelja zahtijevaju da se prijave na recepciji.