Cybersecurity i regulerede brancher

Introduktion

Et cyberangreb på en medicinalvirksomhed er ikke bare irriterende nedetid eller datatab. Det kan betyde:

• Kompromitteret patientdata med GDPR-bøder i millionklassen

• Sabotage af produktionsprocesser med potentiel patientrisiko

• Tyveri af intellektuel ejendom til milliarder af kroner

• Tab af overholdelse af krav og produktionsstop

I Hyperbolic arbejder vi med cybersikkerhed både i medicinalindustrien og generel softwareudvikling. Regulerede brancher har unikke udfordringer: Sikkerhed skal balanceres med overholdelse af krav, ældre systemer er ofte sårbare, og konsekvenserne af brud er katastrofale.

Det regulatoriske landskab

GxP og cybersikkerhed: FDA har gjort det klart, at dataintegritet inkluderer beskyttelse mod cybertrusler. EU GMP Annex 11 kræver eksplicit, at computeriserede systemer beskyttes mod uautoriseret adgang.

GDPR: Medicinalindustrien håndterer enorme mængder persondata fra kliniske forsøg og patientprogrammer. GDPR-bøder kan nå op på 4% af global omsætning.

NIS2-direktivet: EU's netværks- og informationssikkerhedsdirektiv 2 klassificerer medicinalindustrien som "væsentlig enhed" med skærpede cybersikkerhedskrav fra 2024.

Unikke udfordringer i regulerede brancher

Udfordring 1: Ældre systemer

Produktionslinjer i medicinalindustrien kan køre i over 20 år. Udstyr og software fra 1990'erne er ikke ualmindeligt.

Problemet:

• Windows XP eller ældre operativsystemer uden sikkerhedsopdateringer

• Indlejrede controllere med fastkodet adgangskoder

• Proprietære protokoller uden kryptering

• Ingen netværksisolering

Løsningen:

• Netværksopdeling: Isoler ældre systemer på separate VLAN'er

• Springbrætter: Begrænset adgang gennem hærdede mellemliggende systemer

• Hvidlistning af programmer: Tillad kun godkendte programmer at køre

• Kompenserende kontroller: Når direkte opdatering ikke er mulig

I Hyperbolic implementerede vi netværksopdeling for en produktionsfacilitet: Ældre SCADA-systemer isoleret på luftgap-netværk, data overført via envejsdiode til virksomhedsnetværk til rapportering.

Udfordring 2: Validering kontra opdatering

Traditionel IT: "Opdater hurtigt, spørg bagefter." GxP IT: "Er denne opdatering valideret?"

Problemet: Sikkerhedsopdateringer kan ændre systemets opførsel. I GxP kræver det potentielt genvalidering. Men at vente med opdatering øger sikkerhedsrisikoen.

Bedste praksis:

Kritiske opdateringer (aktiv udnyttelse):

• Nødændringsproces

• Risikovurdering: Større risiko ved IKKE at opdatere

• Forkortet test fokuseret på kritiske funktioner

• Implementering inden for dage

Vigtige opdateringer:

• Standard ændringsproces

• Regressionstestning af GxP-funktioner

• Implementering inden for 30 dage

Rutine opdateringer:

• Samlet i planlagte vedligeholdelsesperioder

• Fuld regressionstestning

• Kvartalsvis eller halvårlig implementering

Udfordring 3: Tredjepartsadgang

Medicinalindustrien er afhængig af leverandører til udstyrvedligeholdelse, ofte via fjernadgang.

Risici:

• Leverandørens sikkerhed kan være svag

• Fjernadgang kan misbruges

• Manglende synlighed i leverandørhandlinger

Løsning - Styring af leverandøradgang:

• Just-in-time adgang: Konti aktiveres kun ved behov

• Privilegeret adgangsstyring: Alle leverandørsessioner overvåges og optages

• Netværksisolering: Leverandører kan kun få adgang til deres eget udstyr

• Tofaktorgodkendelse: Påkrævet for al fjernadgang

• Sessionsoptagelse: Video af al leverandøraktivitet til revision

Praktisk sikkerhedsramme

Lag 1: Netværkssikkerhed

Opdeling: Opdel netværk i zoner baseret på GxP-påvirkning og tillidsniveau:

• Produktionszone: GxP-kritiske systemer, høj isolering

• Laboratoriezone: LIMS, analytiske instrumenter

• Virksomhedszone: Email, fildeling, ERP

• DMZ: Systemer tilgængelige fra internettet

Firewallregler: Standard afvis, tillad eksplicit kun nødvendig trafik mellem zoner.

Implementering: Ved en facilitetsmigrering implementerede vi mikrosegmentering med Palo Alto firewalls. Hver produktionslinje på separat VLAN. Lateral bevægelse mellem linjer ikke mulig.

Lag 2: Identitet og adgangsstyring

Princippet om mindste privilegium: Brugere får kun den adgang, de har brug for til deres job.

Rollebaseret adgangskontrol:

• Definer roller baseret på jobfunktioner

• Tildel rettigheder til roller, ikke individuelle brugere

• Regelmæssige adgangsgennemgange (minimum kvartalsvist)

Tofaktorgodkendelse:

• Påkrævet for al fjernadgang

• Påkrævet for privilegerede konti

• Implementer for alle brugere når muligt

Adgangskodepolitik:

• Minimum 12 tegn (14+ bedre)

• Kompleksitetskrav

• 90 dages udløb for standardkonti, 60 dage for privilegerede

• Ingen genbrug af adgangskode (sidste 12 adgangskoder)

• Kontolåsning efter 5 mislykkede forsøg

Lag 3: Beskyttelse af slutpunkter

Antimalware: Virksomhedsklasse, centralt styret. Men udfordring i GxP: Kan ikke automatisk opdatere definitioner uden validering.

Løsning:

• Separat opdateringsplan for GxP kontra ikke-GxP

• Test opdateringer i valideringsmiljø først

• Hurtig implementeringsproces for kritiske trusler

Registrering og reaktion på slutpunkter: Ud over traditionel antivirus overvåger denne løsning adfærd og kan opdage zero-day angreb.

Hvidlistning af programmer: På kritiske systemer, tillad kun godkendte programmer. Blokerer ukendt malware som standard.

Lag 4: Databeskyttelse

Kryptering:

• I hvile: Alle databaser og filsystemer med følsomme data

• Under overførsel: TLS 1.2+ for al netværkskommunikation

• Sikkerhedskopier: Krypteret før ekstern lagring

Forebyggelse af datatab: Overvåg og bloker forsøg på at fjerne følsomme data via email, USB, cloud-lagring.

Sikkerhedskopiering og gendannelse:

• 3-2-1 reglen: 3 kopier, 2 forskellige medietyper, 1 eksternt

• Uforanderlige sikkerhedskopier: Kan ikke ændres eller slettes, beskytter mod ransomware

• Regelmæssig testning: Kvartalsvis genoprettelsestest, årlig katastrofeøvelse

Lag 5: Overvågning og hændelseshåndtering

Sikkerhedsinformation og hændelsesstyring: Centraliseret logning og korrelation af hændelser på tværs af alle systemer.

Centrale anvendelser:

• Mislykkede loginforsøg (potentiel brute force)

• Privilegieeskalering

• Adgang uden for normal arbejdstid til kritiske systemer

• Mønstre for datafjernelse

• Malware-registreringer

Sikkerhedsdriftscenter: For større organisationer, døgnåben overvågning.

Alternativer for mindre organisationer:

• Styret sikkerhedstjenesteudbyder: Udliciteret sikkerhedsdriftscenter

• Deltidsovervågning: Daglig gennemgang af alarmer

• Automatiseret alarmering: Kritiske hændelser udløser øjeblikkelig reaktion

Hændelseshåndteringsplan:

1. Registrering: Hvordan identificeres hændelser?

2. Inddæmning: Isoler berørte systemer

3. Udryddelse: Fjern trussel

4. Gendannelse: Gendan systemer

5. Erfaringer: Gennemgang efter hændelse

GxP-specifikke tilføjelser:

• Konsekvensanalyse: Påvirker hændelsen dataintegritet?

• Myndighedsunderretning: Hvornår skal FDA/EMA informeres?

• Afvigelse: Er hændelsen en GxP-afvigelse?

Almindelige angrebsvektorer i medicinalindustrien

Phishing og social engineering

Taktik: Emails der ligner legitime fra leverandører, kolleger eller ledere.

Forsvar:

• Sikkerhedsbevidsthedstræning: Kvartalsvis for alle medarbejdere, phishing-simuleringer

• Email-filtrering: Bloker kendte ondsindede afsendere, mistænkelige vedhæftninger

• DMARC/SPF/DKIM: Email-godkendelse for at forhindre forfalskning

• Rapporteringsmekanisme: Nem måde for brugere at rapportere mistænkelige emails

Ransomware

Konsekvens: Kryptering af kritiske data med krav om løsesum. Kan stoppe produktion i dage eller uger.

Forsvar:

• Uforanderlige sikkerhedskopier: Primær forsvar, kan gendanne uden at betale

• Netværksopdeling: Begrænser spredning

• Hvidlistning af programmer: Blokerer ukendt ransomware

• Brugeruddannelse: Åbn ikke mistænkelige vedhæftninger

Eksempel: En kunde blev ramt af ransomware. Takket være daglige uforanderlige sikkerhedskopier var de operationelle igen på 36 timer uden at betale. Estimeret omkostning ved at betale løsesum plus nedetid under gendannelse: 1,5 millioner kroner. Faktisk omkostning: 400.000 kroner (primært IT-overarbejde).

Forsyningskædeangreb

Taktik: Kompromitter software fra betroede leverandører.

Eksempel: SolarWinds-hacket (2020) hvor hackere infiltrerede softwareopdateringer fra større leverandør.

Forsvar:

• Leverandørsikkerhedsvurdering: Due diligence før onboarding

• Analyse af softwaresammensætning: Scan for kendte sårbarheder i tredjepartskomponenter

• Isoleret opdateringstest: Test opdateringer i sandkasse-miljø før implementering

Interne trusler

Typer:

• Ondsindede: Utilfreds medarbejder saboterer eller stjæler data

• Uagtsomme: Skødesløse handlinger skaber sårbarheder

Forsvar:

• Mindste privilegium: Begræns skade en insider kan gøre

• Analyse af brugeradfærd: Registrer unormal aktivitet

• Adskillelse af opgaver: Ingen enkelt person har fuld kontrol

• Fratrædelsesprocedurer: Øjeblikkelig tilbagekaldelse af adgang ved opsigelse

Overholdelse af krav og revisioner

Hvad inspektører kigger efter:

Politikker og procedurer:

• IT-sikkerhedspolitik

• Adgangskontrolprocedurer

• Hændelseshåndteringsplan

• Plan for forretningskontinuitet

• Procedurer for sikkerhedskopiering og gendannelse

Tekniske kontroller:

• Demonstrer adgangskontroller (vis brugerklargøring)

• Gennemgang af revisionsspor (hvem fik adgang til hvad hvornår)

• Opdateringsstyringsproces

• Status for malwarebeskyttelse

Testning og øvelser:

• Resultater af penetrationstest

• Sårbarhedsscanninger

• Dokumentation for katastrofeøvelse

• Hændelseshåndteringsøvelser

Træningsregistre: Alle brugere trænet i sikkerhedsbevidsthed.

Forberedelse:

• Prøverevisioner: Interne eller eksterne

• Gab-analyse: Sammenlign nuværende tilstand med regulatoriske krav

• Afhjælpningssporing: Dokumenterede handlingsplaner for huller

Eksempel: Omfattende sikkerhedsmodernisering

Baggrund: Mellemstor biotekvirksomhed, hurtig vækst, sikkerhed var ad-hoc. FDA præ-godkendelsesinspection forestående.

Fund fra indledende vurdering:

• Ingen netværksopdeling (fladt netværk)

• Svag adgangskodepolitik (ingen kompleksitetskrav)

• Ingen tofaktorgodkendelse

• Inkonsekvent opdatering

• Begrænset logning

• Ingen hændelseshåndteringsplan

18-måneders transformation:

Fase 1 (Måned 1-6) - Fundament:

• Implementerede netværksopdeling

• Udrullede virksomhedsantivirus og slutpunktsbeskyttelse

• Håndhævede stærk adgangskodepolitik

• Udrullede tofaktorgodkendelse for al fjernadgang

• Etablerede sikkerhedsinformationsstyring med grundlæggende anvendelser

Fase 2 (Måned 7-12) - Modning:

• Implementerede privilegeret adgangsstyring

• Etablerede formel opdateringsstyringsproces

• Udviklede hændelseshåndteringsplan

• Gennemførte øvelse ved bordet

• Udvidede anvendelser til sikkerhedsinformationsstyring

Fase 3 (Måned 13-18) - Optimering:

• Tredjeparts penetrationstest

• Afhjælpede fund

• Katastrofeøvelse

• Træningsprogram i sikkerhedsbevidsthed

• Færdiggjorte politikker og procedurer

Resultat af FDA-inspektion: Nul sikkerhedsrelaterede fund. Inspektør roste moden sikkerhedsholdning.

Omkostning kontra brud

Investering i sikkerhed: 3,5 millioner kroner over 18 måneder (værktøjer, rådgivning, medarbejdertid).

Omkostning ved potentielt brud:

• Gennemsnitligt databrud i medicinalindustrien: 35 millioner kroner (IBM Security rapport)

• Potentiel GDPR-bøde: Op til 400 millioner kroner+ (4% af omsætning)

• Produktionsnedetid: 750.000 kroner+ om dagen

• Omdømmeskade: Umålelig

Afkast: Selv uden brud, forbedringer i oppetid og effektivitet retfærdiggør ofte investeringen.

Nye trusler

AI-drevne angreb: Sofistikeret phishing med AI-genereret indhold, automatiseret udnyttelse af sårbarheder.

Forsvar: AI-drevet forsvar, adfærdsbaseret registrering.

IoT-sårbarheder: Medicinsk udstyr, sensorer, tilsluttet udstyr har ofte svag sikkerhed.

Forsvar: Netværksisolering, regelmæssige firmwareopdateringer, krav til leverandørsikkerhed.

Cloud-fejlkonfigurationer: Efterhånden som medicinalindustrien flytter til cloud, skaber fejlkonfigurationer eksponering.

Forsvar: Værktøjer til cloud-sikkerhedsholdning, infrastruktur-som-kode med indbygget sikkerhed.

Konklusion

Cybersikkerhed i regulerede brancher kræver balance mellem beskyttelse og operationel effektivitet, mellem hurtig reaktion og validerede ændringer.

Nøgleprincipper:

1. Forsvar i dybden: Flere lag af sikkerhed

2. Risikobaseret tilgang: Fokuser ressourcer hvor risikoen er størst

3. Integration af overholdelse: Sikkerhed og GxP hånd i hånd

4. Kontinuerlig forbedring: Trusler udvikler sig, dit forsvar skal også

I Hyperbolic hjælper vi virksomheder med at bygge sikkerhedsprogrammer, der både beskytter og muliggør forretningen.

Kontakt os for en cybersikkerhedsvurdering.