We hebben een schriftelijk Cyberbeveiligingsbeleid gepubliceerd waarin de rollen en verantwoordelijkheden op het gebied van cyberbeveiliging binnen de organisatie zijn vastgelegd.

Ons beveiligingsteam richt zich op informatiebeveiliging, wereldwijde beveiligingsaudits en naleving, alsmede het definiëren van de beveiligingscontroles voor de bescherming van de hardware en infrastructuur van Fresenius Kabi. Het beveiligingsteam ontvangt regelmatig meldingen over de beveiliging van informatiesystemen en verspreidt routinematig informatie over beveiligingswaarschuwingen en -adviezen naar de organisatie.

Wij hebben een Information Security Capability Model aangenomen op basis van de Critical Security Controls (CIS 18), dat wordt aangevuld met andere beveiligingsmaatregelen op basis van beste praktijken in de sector. Dit stelt ons in staat een holistische benadering van compliance met betrekking tot beveiliging te handhaven. Ook worden regelmatig maturiteitsbeoordelingen van onze beveiligingscapaciteiten uitgevoerd, waarvan de resultaten worden gerapporteerd aan het management van Fresenius Kabi.

Wij zijn bezig met de ontwikkeling van een reeks regels die zijn afgestemd op de basisvereisten van de Fresenius Groep, een interne controlecatalogus voor de hele Fresenius Groep die in overeenstemming is met de beste praktijken in de sector.

Fresenius Kabi heeft een formeel intern auditprogramma ingevoerd om de naleving van ons interne beleid en de relevante wet- en regelgeving op het gebied van cyberbeveiliging te waarborgen.

Wij hebben een proces ingesteld voor het classificeren van gegevens om passende beveiligingsmaatregelen toe te passen ter bescherming van de gegevens van onze klanten, patiënten en zakenpartners.

Wij versleutelen gevoelige gegevens in transitie en in rust waar dat mogelijk en praktisch is.

We hebben vereisten voor toegangsbeheer opgesteld voor het toekennen, beheren en intrekken van gebruikerstoegang. Voor de toegang tot de informatiesystemen van Fresenius Kabi zijn rolgebaseerde toegangscontroles ingevoerd.

De toegangscontrole tot gevoelige gegevens in onze databanken, systemen en omgevingen is gebaseerd op het need-to-know-beginsel. Voorts verlenen wij alleen toegangsrechten volgens het beginsel van de minimale rechten.

Gebruikers van informatiesystemen krijgen unieke gebruikersaccounts en wachtwoorden, de wachtwoordvereisten worden gedefinieerd en gehandhaafd.

Wij beperken de beheerdersrechten tot speciale beheerdersaccounts.

Onze gebruikers beschikken over VPN-software (Virtual Private Network) voor veilige toegang op afstand via internet tot de belangrijkste systemen. Wij eisen ook multi-factor authenticatie voor netwerktoegang op afstand.

Wij streven ernaar de nieuwste beveiligingspatches en -updates toe te passen op besturingssystemen, endpoints en netwerkinfrastructuur om de blootstelling aan kwetsbaarheden te beperken.

Er is een patchmanagementproces om beveiligingspatchupdates te implementeren wanneer deze door leveranciers worden uitgebracht.

Wij voeren periodieke scans uit van extern blootgestelde en intern blootgestelde activa.

Wij hebben processen ingesteld om kwetsbaarheden die worden ontdekt tijdens tweejaarlijkse penetratietests door onze gekwalificeerde en onafhankelijke partner Cobalt Labs Inc. te beoordelen en te corrigeren.

Wij beschikken over een geformaliseerd incident response plan en bijbehorende procedures die in werking treden in geval van een beveiligingsincident. Het incidentenplan omschrijft de verantwoordelijkheden van key medewerkers en identificeert processen en procedures voor kennisgeving en escalatie. Het incidentenbestrijdingspersoneel wordt opgeleid en de uitvoering van het incidentenbestrijdingsplan wordt periodiek getest. 

Wij volgen het SANS Incident Response Process, een industrieel standaardkader voor incident response, om beveiligingsincidenten te helpen voorbereiden, identificeren, voorkomen, detecteren en beantwoorden. Wij worden hierbij ondersteund door het Fresenius Cybersecurity Emergency Response Team (CERT).

Onze endpoints zijn uitgerust met een centraal beheerde antivirusoplossing om ervoor te zorgen dat de nieuwste virusdefinities altijd beschikbaar zijn op de endpoints en dat een consistent beveiligingsbeleid wordt afgedwongen op alle endpoints.

Alle laptops zijn volledig gecodeerd en de sleutels worden beheerd met behulp van een beveiligingskluis.

Wij hebben automatische sessievergrendeling op bedrijfsmiddelen geconfigureerd na een bepaalde periode van inactiviteit.

Mobiele apparaten zijn onderworpen aan een beheersysteem voor mobiele apparaten en toegang is alleen toegestaan vanaf apparaten die zijn geconfigureerd in overeenstemming met ons beveiligingsbeleid. Dit veiligheidsbeleid vereist dat een code wordt ingevoerd om toegang te krijgen tot het apparaat en maakt het mogelijk het apparaat op afstand te wissen als het als verloren of gestolen wordt gemeld.

Wij filteren het verkeer tussen netwerksegmenten.

Alleen door Fresenius Kabi beheerde draadloze netwerken zijn toegestaan binnen onze omgeving. Beveiligingsmaatregelen voor draadloze toegang omvatten scheiding van bedrijfs- en gasttoegang en rotatie van draadloze sleutels.

Wij hebben een oplossing geïmplementeerd die regelmatig URL-filtersoftware bijwerkt die de toegang tot ongepaste websites vanaf het netwerk blokkeert.

Onze e-mail gateways fungeren als barrières die kwaadaardig verkeer filteren en phishing tegenhouden en alleen authentieke communicatie toelaten.

Toepassings- en infrastructuurlogs worden opgeslagen voor probleemoplossing, beveiligingsbeoordelingen en analyse door bevoegd personeel. Logs worden bewaard in overeenstemming met de wettelijke vereisten.

Gecentraliseerde waarschuwingen voor beveiligingsgebeurtenissen in alle bedrijfsmiddelen voor logboekcorrelatie en -analyse worden geïmplementeerd. Een platform voor logboekanalyse dat is geconfigureerd met veiligheidsrelevante correlatie-waarschuwingen voldoet ook aan deze waarborg.

Medewerkers van Fresenius Kabi zijn verplicht om deel te nemen aan een cyberbewustzijnstraining. Voor dit doel bieden we verschillende formats om het onderwerp cyberbeveiliging te presenteren en eenvoudig te begrijpen. Onze slogan is "Cybersecurity is een teamsport" en in deze geest streven wij er regelmatig naar onze medewerkers te inspireren met diverse bewustmakingscampagnes, met nieuwsartikelen en blogposts over het onderwerp beveiliging om een actief lid te worden in de verdedigingsstrategie van ons bedrijf.

Ter begeleiding van ons beveiligingsbewustzijnsprogramma krijgt elke persoon met toegang tot onze IT-systemen elk kwartaal phishing-simulatietests. De driemaandelijkse campagnes ondersteunen het beveiligingsbewustzijn, omdat ze ieders kennis en waakzaamheid voor phishing-e-mails vergroten.

In onze kantoren worden fysieke toegangscontroles uitgevoerd. De controles omvatten gebouwbeveiliging en beveiligde toegang tot de gebouwen van Fresenius Kabi. Een toegangsbadge is vereist om de Fresenius Kabi kantoren en productiefaciliteiten te betreden. Er zijn procedures voor de toegangscontrole van bezoekers, waarbij alle bezoekers zich bij de receptie moeten (aan)melden.