Klient

Prywatna sieć placówek medycznych (szpitale i centra diagnostyczne) działająca w kilku krajach UE. Organizacja przetwarzała wrażliwe dane medyczne pacjentów oraz integrowała systemy HIS, RIS, platformy e-rejestracji i rozwiązania chmurowe wykorzystywane do archiwizacji badań.

Wyzwanie 

Wraz z rozwojem usług cyfrowych (telemedycyna, e-wyniki, integracje z laboratoriami) znacząco wzrosła powierzchnia ataku. Audyt bezpieczeństwa wykazał:

• brak dedykowanej osoby odpowiedzialnej za bezpieczeństwo aplikacyjne i infrastrukturę,
• niespójne zarządzanie dostępami do systemów medycznych,
• ograniczony monitoring zdarzeń bezpieczeństwa,
• ryzyko niezgodności z RODO i lokalnymi regulacjami dot. danych medycznych.

Organizacja nie była gotowa na budowę pełnego zespołu security, ale potrzebowała szybkiego wzmocnienia kompetencji operacyjnych.

Rozwiązanie 

W modelu staff augmentation dostarczyliśmy jednego Senior Cybersecurity Specialist, który został włączony do zespołu IT klienta jako ekspert odpowiedzialny za obszar bezpieczeństwa.

Zakres działań obejmował:

• przegląd architektury bezpieczeństwa systemów medycznych (HIS, systemy obrazowe, platformy chmurowe),
• uporządkowanie modelu zarządzania dostępem (role, uprawnienia, przeglądy cykliczne),
• wdrożenie centralnego monitoringu logów i podstawowych use case’ów detekcyjnych,
• wsparcie w analizie podatności i koordynację działań naprawczych,
• aktualizację polityk bezpieczeństwa oraz procedur reagowania na incydenty,
• współpracę z działem prawnym w zakresie zgodności z RODO.

Ekspert pełnił rolę operacyjną i doradczą, raportując bezpośrednio do IT Managera.

Wnioski

• Zwiększona kontrola nad dostępem do danych medycznych i systemów krytycznych
• Skrócenie czasu reakcji na incydenty bezpieczeństwa
• Uporządkowane procesy zarządzania podatnościami
• Zmniejszenie ryzyka naruszeń danych wrażliwych

Klient szybko zabezpieczył kluczową kompetencję cyberbezpieczeństwa, podnosząc poziom ochrony danych pacjentów bez konieczności tworzenia rozbudowanego działu security.