Beveiliging van smartphones in de zorg Spitsseminar Nictiz Pieter Ceelen
Agenda Welke maatregelen kan een zorgorganisatie nemen om veilig met smartphones en tablets om te gaan? Beveiligingsrisico s Beveiligingsoplossingen Hoe nu verder? 1
Beveiligings Risico s
Waar zitten de risico s? CORPORATE EXCHANGE SERVICES Mobile Device Management INTERNET WIFI / UMTS / GPRS DEVICES 3
Waar zitten de risico s? CORPORATE EXCHANGE SERVICES Mobile Device Management SERVICES INTERNET LOCAL SERVICES NETWORK WIFI / USB USB Bluetooth WIFI / UMTS / GPRS INTERNET SERVICES WEB CORPORATE / PRIVATE PERIPHERALS DEVICES CLOUD 4
Welke data staat er op het toestel? Lokale data? Patientdata? Wachtwoorden voor de AD? 5
Nog veel meer dreigingen Jailbreaking remote wipe werkt niet Software updates & oude versies van Android Juridische aspecten Privacy 6
Beveiligingsoplossingen
3 beveiligingsarchitecturen voor mobile device management (MDM) Operating system Operating system Operating system 8
Er zijn er nog andere oplossingen Virtualizatie Netwerk encryptie en VPN s Specifieke apps voor uitwisseling van documenten (e.g. board books ) Specifieke apps voor patientendossiers... 9
Hoe nu verder?
Hoe nu verder? 1: Verkrijg inzicht in mobiele ecosysteem 2: Bepaal hoe gevoelig de data is en waar deze data zich bevind 3: Verkrijg inzicht in de risico s 4. Selecteer technische architectuur en beheersmaatregelen Geen technische architectuur die alle risico s wegneemt, beheermaatregelen nodig op gebied van mensen, processen én techniek. 5. Implementeer een POC en voer tests uit 11
Bedankt Pieter Ceelen MSc. CISSP Ceelen.pieter@kpmg.nl +31 6 515 72696
Discussie onderwerpen Validatie van medische apps geen issue voor app-store. CE-keur? Keurmekerken en auditstandaarden voor mobiele devices zijn in ontwikkeling. Belangrijk is om hierbij dat generieke auditstandaarden en keurmerken niet altijd de technische diepgang hebben die e n beveiligingstest/penetratietest wel heeft. Het zou een goede ontwikkeling zijn als leveranciers transparanter zouden zijn welke data zich waar bevind (op het apparaat, in de cloud of in de ITomgeving van de zorverlener). Mobiele ontsluiting van informatie. De balans tussen veiligheid en werkbaarheid? Zoals ook blijkt uit sheet 8 is er op mobiele devices een duidelijke balans tussen gebruiksvriendelijkheid en veiligheid. Belangrijkste vraag is hoe gevoelig data is en waar deze data zich bevind. Hoe bruikbaar is RDP/Citrix op iphone/ipad? Moet je daarvoor de (GUI van de) applicatie aanpassen? RDP/Citrix is in zijn algemeenheid minder gebruiksvriendelijk als native apps, aanpassingen in de applicatie kunnen bijdragen aan meer gebruiksvriendelijkheid. Bijvoorbeeld door grotere knoppen en invoervelden te gebruiken. Wissen; kunnen zaken niet na een bepaalde tijd 'verwijderen'? Er zijn mobile device management oplossingen die automatisch wissen als er een aantal dagen niet verbonden is met het netwerk. Belangrijkse discussie punt is welke data er uberhaupt op het apparaat mag staan. Verschil in gebruik en beveiliging bij bedrijfseigendom mobile devices en door medewerker meegebrachte mobile device. Er zijn zeker verschillen, twee belangrijke verschillen zijn: Homogeniteit in toestellen: welke platformen en toestellen sta je toe om door de medewerkers aan te sluiten? Hoe ga je service verlenen en deze diverse platformen adequaat beveiligen? Juridische en organisationele verschillen, bijv mag je een prive toestel wissen als een medewerker ontslagen is Is toegang door de patient tot zijn bij de zorgverlener geregistreerde zorginformatie op dit moment veilig mogelijk zonder additionele hardware zoals calculator, e.d.? Indien er alleen op wachtwoorden gesteund wordt voor de authenticatie dan zijn er diverse aanvalsmogelijkheden (bijv raden van zwakke wachtwoorden en virussen op de PC van de eindgebruiker). Afhankelijk van de gevoeligheid van de data die ingezien wordt zullen passende maatregelen genomen moeten worden. Bij Digi-D zien we een duidelijk onderscheid tussen de verschillende vertrouwensniveaus (alleen wachtwoord of wachtwoord+sms). Belangrijk is om niet alleen te kijken naar het authenticatiemiddel maar ook naar het registratie en uitgifte proces (IAM) en de juridische eisen uit oa WBP. 13
2012 KPMG Advisory N.V., registered with the trade register in the Netherlands under number 33263682, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. Printed in the Netherlands. The KPMG name, logo and cutting through complexity are registered trademarks of KPMG International.