Hur ska svensk sjukvård nå upp till den informationssäkerhetsnivå som krävs?

Relevanta dokument
Producentansvar ut ett redovisningsperspektiv När ska en skuld kopplad till WEEE-direktivet redovisas?

Skapa handlingsfrihet och värde inför en kommande exit

Koll på kostnaderna OPS och livscykeltänk

Energiskattefrågor vid vindkraftsproduktion 22 mars 2012

Öppna data Nytta och utmaningar för verksamheten

Öppna data Offentlighetsprincipen för det 21:a århundradet

E-förvaltning under lupp Offentlig sektors högsta chefers syn på e-förvaltning

Sollefteå kommun. Kontroll, insyn och tillsyn av externa utförare - Övergripande granskning. Anneth Nyqvist Certifierad kommunal revisor

Kunskapsdagen 2018 Civilrätt för dig som företagare och privatperson

Framtida skattesystem för biodrivmedel?

Offertförslag Vårdreformen i Finland (SOTE) konsekvenser för Ålands kommuner

Vilhelmina kommun. Förstudie Beredskap för ökat flyktingmottagande Anneth Nyqvist - projektledare Robert Bergman - projektmedarbetare

Ombildning av enskild näringsverksamhet till AB

Sundsvalls kommun. Förstudie Beredskap för ökat flyktingmottagande Anneth Nyqvist - projektledare Robert Bergman - projektmedarbetare

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Skattefrågor m.m. vid vindkraftsproduktion 31 mars 2015

Ombildning av enskild näringsverksamhet till AB

Granskning av intern IT - säkerhet. Juni 2017

Risker för korruption och oegentligheter vid stora investeringar

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

- Vad du behöver veta om NIS

Omvärlden tränger sig på - Hot och trender november 2018

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Utredningen om genomförande av NIS-direktivet

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

IFRS 16 Leases IFRS Symposium

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Utvärdering av Caught by Umeå Kulturhuvudstadsåret mars 2014

Informationssäkerhet för samhällsviktiga och digitala tjänster

Svensk författningssamling

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

KPMG Stockholm, 2 juni 2016

Nya krav på systematiskt informationssäkerhets arbete

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Granskning av IT. Sunne kommun

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Programmet för säkerhet i industriella informations- och styrsystem

Förändrade förväntningar

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Granskning av integrationoch flykting-mottagande. Sunne kommun

Verksamhetsplan Informationssäkerhet

Svensk författningssamling

Utvärdering av Förskola i förändring. Slutrapport, oktober 2012

Strategiska hot- och risker i ett totalförsvarsperspektiv - Presentation på konferensen Digitaliseringen förändrar energisektorn- 17 maj 2018

NIS-reglering.

IFRS 16 moms respektive fastighetsskatt för leasetagaren

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Gräns för utkontraktering av skyddsvärd information

Översyn av IT-verksamheten

Västervik Miljö & Energi AB. 18 augusti Torbjörn Bengtsson & Sofia Josefsson

Privattandläkarna. Erbjudande till medlemmar Redovisningstjänster. För mer information kontakta

Din personlig cybersäkerhet

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

Sammanfattning. Revisionsfråga Har kommunstyrelsen och tekniska nämnden en tillfredställande intern kontroll av att upphandlade ramavtal följs.

3. IFRS 16 - Leases Kunskapsdagen Malmö 21 november 2017

Samhällets funktionalitet nuläge och utmaningar

KPMG Secure File Transfer Handledning

Innebörden av det ekonomiska arbetsgivarbegreppet. Stora Skattedagen Stockholm, 9:e november, 2017

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Lagförslag om obligatorisk hållbarhetsredovisning CSR Öresund 19 maj 2016

Utvärdering Tillväxtprogram för Örebroregionens näringslivsutveckling

Skattejurist för en dag på Deloitte i Malmö! 26 april 2016

Upplands-Bro kommun. Uppföljning av projekt inom lekmannarevisionen Mats Lundberg

Intäkter inom äldreomsorgen Habo kommun

Incitamentsprogram svenska börsnoterade bolag Studie genomförd 2015 KPMG i Sverige

Leksands kommun Kommunrevisionen. Kommunstyrelsen. Revisionsrapport

EUs Anti Tax Avoidance Directive och framtida svenska ränteavdragsregler. Stora Skattedagen Stockholm, 9 november, 2016

Att rekrytera internationella experter - så här fungerar expertskatten

Skattepliktig förmån eller muta - vad är vad, och var går gränsen? Stora Skattedagen Stockholm, 9:e november, 2016

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Studie skatt och hållbarhet. September 2016

INFORMATIONSSÄKERHET OCH DATASKYDD

Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster enligt NIS-regleringen

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy. Linköpings kommun

Ansvarsfördelning mellan bosättningskommun och vistelsekommun prop 2010/11:49

Solvens II ur ett IR-perspektiv

Säkerhet, krisberedskap och höjd beredskap. Christina Goede Programansvarig Skydd av samhällsviktig verksamhet och kritisk infrastruktur, MSB

GDPR efter 25e maj Vad händer nu? 28 november 2018

Säker åtkomst till ehälsomyndighetens nationella tjänster

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Informationssäkerhetspolicy för Ånge kommun

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Nationell risk- och förmågebedömning 2017

Kunskapsdagen Nya ränteavdragsbegränsningsregler vad innebär den nya lagstiftningen i praktiken? Andreas Paulsson och Ingemar Ritseson

Lagkrav om hållbarhetsrapportering november 2017

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Kontinuitetshantering

Ändrade regler inom fastighetsområdet? Stora Skattedagen Stockholm, 9:e november, 2016

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Kontinuitetshantering i samhällsviktig verksamhet

Kommunal revision. Johan Osbeck 20 januari 2015

Välkomna till KPMG:s seminarium Årsredovisning grundläggande nivå

Transkript:

Hur ska svensk sjukvård nå upp till den informationssäkerhetsnivå som krävs? David Dymmel Sweden Vitalis 23 Maj 2019

We follow developments in Swedish healthcare from various perspectives 2015 2016 2017 2018 2019 How can prevention contribute towards a healthier society? ( Hur kan prevention bidra till ett hälsosammare samhälle? ) 1 034 respondents from the general public between 18-75 years old 1 076 healthcare professionals (doctors, nurses, midwives) Workshops and interviews with various stakeholders ~12 000 respondents from 12 countries 1 008 respondents from Sweden Citizen appetites towards digital health 2015 and now 1 071 respondents from the general public between 18-84 years old How Swedish counties are working strategically with ehealth 1 009 respondents from the general public between 18-84 years old Workshops with various stakeholders 2

Innehåll 1. Informationssäkerhet behövs det? 2. NIS-direktivet 3. Efterlevnad 4. Hur kan hälso- och sjukvården anpassas? 5. Avslutande tankar 3

Informationssäkerhet 1 behövs det?

Känslig information behöver skyddas Viss information i samhället är känslig och behöver skyddas. Om känslig information förloras, stjäls, manipuleras eller sprids till obehöriga kan det få allvarliga följder. Det finns stora mängder information som är av avgörande betydelse för samhällets funktionalitet eller som innehåller integritetskänsliga uppgifter. Vidare bygger många verksamheter i samhället på fungerande digitala informations- och styrsystem, vilket innebär att stora mängder känslig information kontinuerligt hanteras i syfte att styra t.ex. eldistribution, vattenförsörjning, transporter och transportinfrastruktur eller sjukhusutrustning. Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019 5

Vi är alla informationsberoende Var finns vår information? Servrar Molntjänster IT-system Lagringsenheter Mobiltelefoner Ofta lagras stora mängder information utanför organisationen Konfidentialitet Riktighet Tillgänglighet Kritisk information Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019 6

Kritiska IT-system Kritiska IT-system Mediastorm Infosäk inte på agendan Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019

Norsk Hydro Lockergoga Ransomware 40 länder drabbade Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019

Personuppgifter är extra känsliga Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019

NIS-direktivet 2

NIS är ett EU-direktiv om cybersäkerhet Nationell kapacitet inom cybersäkerhet Samarbete på EU-nivå Riskhantering och incidentrapportering Samhällsviktig verksamhet Digital infrastruktur Energi Finanssektorn Dricksvatten införlivas i nationell lag Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster Hälso- och sjukvård Transport Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019 11

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster Uppnå hög nivå av säkerhet i nätverk och informationssystem Systematiskt och riskbaserat informationssäkerhetsarbete Identifiera och anmäla till tillsynsmyndighet om organisationen omfattas av lagstiftningen Incidentrapportering Sanktionsavgift

Förhållandet mellan olika författningar Rikets säkerhet (Säkerhetskänslig vht.) Samhällsviktiga och digitala tjänster Alla statliga myndigheter Hela samhället NISdirektivet Säkerhetsskyddslag MSBFS 2016:1 Statliga myndigheters informationssäkerhet Dataskyddsförordningen (GDPR) Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019 13

Efterlevnad 3

Omfattning och implementering i Sverige Energi Transport Digital infra & tjänst Bank & Fi-infra Hälso & sjukvård Dricksvatten Flyg Domännamn Betaltjänster Vårdgivare Järnväg DNS-tjänst Handelsplatser 50PAX Sjöfart Marknadsplatser 20 000 Exp Väg Sökmotorer Molntjänster Elöverföring Eldistribution Elproduktion Elhandel Olja, lager, depåer Gas 20 000 personer akutsjukhus STEM Transportstyrelsen PTS Finansinspektionen IVO Livsmedelsverket 403 aktörer 614 aktörer? aktörer 12 + 3 aktörer 176 anmälda men få antal sjukhus 230 aktörer Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019

4 Hur kan hälso- och sjukvården anpassas?

Förbättrad informationssäkerhet men hur? IT-arkitektur säkra nätverk och informationssystem Awareness öka medvetande kring frågorna Naturlig del av verksamheten Belysa externa och interna risker Systematiskt och inkludera informationssäkerhet i riskhanteringsprocessen konfidentialitet, riktighet och tillgänglighet vårdsäkerhet, patientsäkerhet, personuppgifter

18 Anpassning av hälso- & sjukvården 1. Styrning 2. Definition 3. Mapping 4. Integrering 5. IT-kontinuitet Utgångspunkt, målsättning, kriterier, inkludera personal, säkerställ Mgmt buy-in Definiera samhällsviktig verksamhet, grovsortera Kartlägg verksamhet och incidentrapportering Integrera incidentrapportering, infosäkarbete, Infoklassning etc. Säkerställ kontinuitet i kritiska system Can healthcare Vitalis keep up with Hur the ska digital svensk citizen? sjukvård nå den informationssäkerhet som krävs 23 Maj 2019 22 May 2019

Lär känna din organisation Steg 1 Produkter och tjänster (Strategisk nivå) Identifiera kritiska produkter och tjänster och avbrottens konsekvenser över tid Utgå från oacceptabla konsekvenser (riskaptit) i riskkriterium och definiera maximalt tolerabel avbrottstid (MTPD) Steg 2 Processer och aktiviteter (Taktisk nivå) Identifiera vilka processer, aktiviteter som stödjer tillhandahållandet av kritiska produkter och tjänster Utifrån MTPD, definiera tidsgränser (RTO) för att återuppta kritiska aktiviteter. Steg 3 Resurser och beroenden (Operativ nivå) Identifiera beroenden och stödjande resurser och komponenter, inklusive leverantörer och partners Definiera tidsgränser för återställning (RTO och RPO) Produkt Pr oc es s <4 ti m m ar 1 dy gn 5 dy gn 2 ve ck or 2 m ån ad er L1 A 0 0 1 2 3 2 v L2 AB 0 1 2 3 3 5 d L3 C 1 3 3 3 3 4 t Maximal tolerabe l avbrotts tid Process L1 L2 L3 Maximal tolerabel avbrottsti d A X X 5 d 3 d B X X 5 d 3 d C X 4 t 2 t Mål för återställni ng, RTO Resurs/ beroende A 1 Proc A Proc B A 2 A 3 Mål för återstäl lning, RTO System X X X X 3 d 1 d B 1 B 2 Person A X X X 3 d ISP 2 X X 3 d Beroendeanalys Mål för återstäl lning, RPO Konsekvenser ackumuleras över tid Produkter och tjänster Processer Aktiviteter A1 L1 A A2 A3 Processer Aktiviteter Tillgångar och resurser Leverantörer och partners A1 System X A A2 ISP 2 A3 Person A Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019 19

Integrera NIS-incidenter i IT-incidenthantering/rapportering NIS-incidenter. It-incidenthanteringsprocess vid CERT-SE (MSB) Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019

IT-kontinuitet Kontinuitetshantering för att reducera effekt av incidenter och avbrottstid. Dra nytta av NIS-anpassningen för att se över hur kontinuitetskrav i er verksamhet synkar mot era verksamhetsmål, när ni ändå ser över hur de synkar mot målen för samhällsviktiga och digitala tjänster. Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019 21

Avslutande tankar 5

Varför infosäk 1. Förtroende 2. Förmåga 3. Funktion Hur Öka medvetenheten Tydliggör incidenthantering Lär känna din organisation Säkrare IT-arkitektur Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019

Hur ska svensk sjukvård nå upp till den informationssäkerhetsnivå som krävs? Skydda känslig och kritisk information Skapa medvetenhet om infosäk Samarbeta och inte uppfinna hjulet på nytt Analysera NIS-direktivet tillsammans med annan lagstiftning och arbeta med kontinuiteten i era tjänster Vitalis Hur ska svensk sjukvård nå den informationssäkerhet som krävs 23 Maj 2019

Tack! David Dymmel Expert NIS Cyber Security Sweden +46 728 80 99 21 pwc.com David.dymmel@pwc.com 2019. All rights reserved. Not for further distribution without the permission of. refers to the network of member firms of PricewaterhouseCoopers International Limited (IL), or, as the context requires, individual member firms of the network. Each member firm is a separate legal entity and does not act as agent of IL or any other member firm. IL does not provide any services to clients. IL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm s professional judgment or bind another member firm or IL in any way.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss