Fresenius Kabi ja tietoturva

Me tiedämme, että tietoturva on tärkeää asiakkaille, potilaille ja liikekumppaneille. Olemme sitoutuneet pitämään huolta tietoturvasta tietojen vastuullisella hallinnalla sekä asianmukaisella käytöllä ja suojelulla lakien ja säädösten vaatimusten mukaisesti.

 

Tietoturvaorganisaatio

Julkaistussa kyberturvallisuuspolitiikassamme kuvataan organisaatiossa määritellyt kyberturvallisuuden roolit ja vastuut.

Turvallisuustiimimme keskittyy tietoturvaan, globaaliin turvallisuusarviointiin ja vaatimustenmukaisuuteen. Lisäksi Fresenius Kabin laitteistojen ja infrastruktuurin turvaksi on määritelty turvavalvontatoimet. Turvallisuustiimi saa säännöllisesti tietojärjestelmää koskevia turvallisuusilmoituksia ja välittää turvallisuutta koskevia varoituksia ja tietoa organisaatiossa.

Tietoturvavalmiuksien malli

Käytössä on tietoturvavalmiuksien malli, joka perustuu kriittisiin turvavalvontatoimiin (CIS 18). Sitä täydennetään muilla alan parhaisiin käytäntöihin perustuvilla turvallisuustoimilla. Näin pystymme jatkuvasti toimimaan kokonaisvaltaisesti turvallisuusvaatimusten noudattamisessa. Lisäksi tietoturvavalmiuksien kehitystaso arvioidaan säännöllisesti ja tulokset raportoidaan Fresenius Kabin johdolle.

Tietoturvavaatimusten noudattamisen hallinta

Laadimme parhaillaan sääntöjä, jotka ovat linjassa Fresenius-konsernin perusvaatimusten kanssa. Kyseessä on koko Fresenius-konsernia koskeva sisäisten turvatoimien luettelo, joka vastaa alan parhaita käytäntöjä.

Fresenius Kabilla on virallinen sisäinen tarkastusohjelma, jolla varmistetaan, että sisäisiä käytäntöjä sekä asianmukaisia kyberturvallisuuslakeja ja -säädöksiä noudatetaan.

Turvallinen tiedonhallinta

Käytössä on prosessi, jolla tiedot luokitellaan ja asiakkaiden, potilaiden ja liikekumppaneiden tietojen suojaamiseen sovelletaan asianmukaisia turvatoimia.

Arkaluonteiset tiedot salataan siirron aikana ja lepotilassa aina, kun se on mahdollista ja käytännöllistä. 

Pääsynvalvonnan hallinta

Pääsynvalvontaa hallitaan pääsylupien myöntämistä, ylläpitoa ja epäämistä koskevilla vaatimuksilla. Pääsyä Fresenius Kabin tietojärjestelmiin valvotaan tehtäväkohtaisilla pääsyoikeuksilla.

Henkilöstö pääsee käsiksi tietokannoissa, järjestelmissä ja ympäristöissä oleviin arkaluonteisiin tietoihin tarpeellisuusperiaatteen mukaisesti. Lisäksi pääsyoikeuksia myönnetään vain vähimpien oikeuksien periaatteen mukaisesti. 

Tietojärjestelmien käyttäjille annetaan yksilölliset käyttäjätilit ja salasanat, ja salasanavaatimukset määritetään ja niitä valvotaan.

Pääkäyttäjäoikeudet on rajoitettu vain nimetyille pääkäyttäjätileille.

Käyttäjillä on ohjelmisto, jolla voi muodostaa virtuaalisen yksityisverkon (VPN). Näin saadaan turvallinen internetpohjainen etäyhteys avainjärjestelmiin. Etäverkkoyhteys edellyttää myös monivaiheista todentamista.

Haavoittuvuus ja korjaustiedostojen hallinta

Pyrimme ehkäisemään altistumista haavoittuvuuksille soveltamalla uusimpia tietoturvakorjauksia ja päivityksiä käyttöjärjestelmiin, päätepisteisiin ja verkkoinfrastruktuuriin.

Käytössä on korjaustiedostojen hallinta, ja tietoturvakorjausten päivitykset asennetaan sitä mukaa kuin niitä julkaistaan.

Resurssit, joihin on pääsy ulkopuolelta, ja sisäiset resurssit skannataan ajoittain. 

Tunkeutumisen testaus

Pätevä ja riippumaton kumppanimme Cobalt Labs Inc. testaa tunkeutumista kaksi kertaa vuodessa, ja meillä on käytännöt, joilla havaitut haavoittuneisuudet arvioidaan ja korjataan.

Tietoturvapoikkeamatilanteiden hallinta

Fresenius Kabilla on virallinen suunnitelma tietoturvapoikkeamiin reagointia varten, ja siinä määritetyt toimet käynnistetään, jos tietoturvapoikkeamia ilmenee. Suunnitelmassa määritetään avainhenkilöstön vastuut ja tunnistetaan ilmoitus- ja eskalointiprosessit ja -menettelyt. Tietoturvapoikkeamista vastaava henkilöstö koulutetaan ja tietoturvapoikkeamasuunnitelman toimeenpano testataan ajoittain.

Me vastaamme poikkeamiin SANSin Incident Response -prosessissa määritetyllä tavalla. Se on alan standardikehys, jossa määritetään, miten tietoturvaloukkauksiin valmistaudutaan ja reagoidaan ja miten niitä ehkäistään ja tunnistetaan. Tätä työtä tukee Freseniuksen oma kyberturvallisuushäiriöihin reagoinnista vastaava CERT-tiimi. 

Päätepisteiden suojaus

Päätepisteiden keskitetysti hallitulla virustorjuntaratkaisulla varmistetaan, että uusimmat viruskuvaukset ovat aina saatavilla päätepisteissä ja johdonmukaisia turvakäytäntöjä noudatetaan kaikissa päätepisteissä. 

Kaikissa kannettavissa on koko levyn salaus ja käytössä on avainten hallinta.

Yhtiön resursseille on määritetty automaattinen istunnon lukitus, jos ne ovat määritetyn ajan käyttämättä.

Mobiililaitteissa on mobiililaitteiden hallintajärjestelmä ja pääsy on sallittu vain laitteilta, jotka on määritetty Fresenius Kabin turvallisuuskäytännön mukaisesti. Turvallisuuskäytännössä edellytetään, että laitteeseen pääsyyn tarvitaan koodi ja tiedot voi poistaa etänä, jos laite ilmoitetaan kadonneeksi tai varastetuksi.

Verkon ja sähköpostin turvallisuus

Liikennettä suodatetaan verkkolohkojen välillä.

Vain Fresenius Kabin hallinnoimat langattomat verkot ovat sallittuja ympäristössämme. Langattomia yhteyksiä koskeviin turvatoimiin kuuluvat yhtiön ja vieraiden pääsyoikeuksien erottaminen ja langattoman verkon suojausavaimien vaihtaminen.

Käytössä oleva ratkaisu päivittää säännöllisesti URL-suodatusohjelmiston, joka estää pääsyn epäasiallisiin verkkosivustoihin verkosta.

Sähköpostiyhdyskäytävät toimivat esteinä, joilla suodatetaan haittaliikennettä, pysäytetään tietojen kalastelu ja sallitaan vain autenttinen viestintä.

Lokit ja valvonta

Sovellus- ja infrastruktuurilokit tallennetaan valtuutetun henkilöstön tekemää vianmääritystä, turvatarkastusta ja analysointia varten. Lokit säilytetään säännösten mukaisesti.

Yhtiön resurssien tietoturvatapahtumista annetaan keskitetyt hälytykset lokien korrelointia ja analysointia varten. Tähän turvatoimeen liittyy myös lokien analysointialusta, johon on määritetty turvallisuuteen liittyvät korrelointihälytykset.

Henkilöstön koulutus ja tietoisuus

Fresenius Kabin henkilöstöllä on velvollisuus osallistua kyberturvallisuuden tietoisuuskoulutukseen. Meillä on tätä tarkoitusta varten erilaisia formaatteja, joissa esitellään kyberturvallisuutta helposti ymmärrettävällä tavalla. Iskulauseemme on ”Kyberturvallisuus on joukkuelaji”. Tässä hengessä pyrimme inspiroimaan henkilöstöä erilaisilla turvallisuusaiheisilla tiedotuskampanjoilla, uutisartikkeleilla ja blogeilla ja saada työntekijät osallistumaan aktiivisesti yhtiön puolustusstrategiaan.

Turvallisuustietoisuusohjelman lisäksi kaikki, joilla on pääsy IT-järjestelmiimme, osallistuvat tietojen kalastelun simulaatiokokeisiin neljästi vuodessa. Näistä kampanjoista kaikki saavat lisää tietoa ja oppivat olemaan valppaina tietojen kalasteluviestien varalta.

Fyysinen turvallisuus

Toimistoissamme on kulunvalvonta. Rakennusten turvallisuutta valvotaan, samoin pääsyä Fresenius Kabin tiloihin. Fresenius Kabin toimistoihin ja tuotantolaitoksiin pääsee sisään vain avainkortilla. Vierailijoiden kulunvalvontaa varten on määritetty omat menettelyt, ja kaikkien vierailijoiden on ilmoittauduttava aulassa.