Informationssäkerhet hos Fresenius Kabi

På Fresenius Kabi vet vi att informationssäkerhet är viktigt för våra kunder, patienter och affärspartners. Vi har åtagit oss att upprätthålla informationssäkerhet genom ansvarsfull hantering, lämplig användning och skydd i enlighet med lagar och regler.

Organisation av informationssäkerhet

Vi publicerade en skriftlig cybersäkerhetspolicy som beskriver cybersäkerhetsroller och -ansvar som definieras inom organisationen.

Vårt säkerhetsteam fokuserar på informationssäkerhet, global säkerhetsrevision och efterlevnad, samt definierar säkerhetskontrollerna för skydd av Fresenius Kabis hårdvara och infrastruktur. Säkerhetsteamet får regelbundet informationssystemssäkerhetsmeddelanden och distribuerar säkerhetsvarningar och rådgivande information till organisationen på en rutinmässig basis.

Modell för informationssäkerhet

Vi har antagit en modell för informationssäkerhetskapacitet baserad på Critical Security Controls (CIS 18), som kompletteras med andra säkerhetsåtgärder baserade på branschpraxis. Detta gör att vi kan upprätthålla ett holistiskt synsätt på efterlevnad med avseende på säkerhet. Dessutom görs regelbundet mognadsbedömningar av våra säkerhetsfunktioner och resultaten rapporteras till Fresenius Kabi-ledningen.

Hantering av säkerhetsefterlevnad

Vi håller på att utveckla en uppsättning regler som är anpassade till Fresenius Groups baslinjekrav, en Fresenius Group-omfattande intern kontrollkatalog i linje med branschens bästa praxis.

Fresenius Kabi har ett formellt internrevisionsprogram​​​implementerat för att säkerställa efterlevnad av våra interna policyer, relevanta cybersäkerhetslagar och förordningar.

Säker datahantering

Vi har etablerat en process för att klassificera data för att tillämpa lämpliga säkerhetsåtgärder för att skydda data från våra kunder, patienter och affärspartners.

Vi krypterar känslig data under överföring och vila där det är möjligt och praktiskt.

Hantering av åtkomstkontroll

Vi har fastställt krav på åtkomsthantering för att bevilja, hantera och återkalla användaråtkomst. Rollbaserade åtkomstkontroller implementeras för åtkomst till Fresenius Kabi informationssystem.

Åtkomstkontroller för känsliga data i våra databaser, system och miljöer är inställda på en "need-to-know"-princip. Dessutom ger vi åtkomstbehörigheter endast på principen om minsta privilegium.

Användare av informationssystem får unika användarkonton och lösenord, lösenordskraven definieras och upprätthålls.

Vi begränsar administratörsbehörigheter till dedikerade administratörskonton.

Programvara för virtuellt privat nätverk (VPN) tillhandahålls våra användare för att möjliggöra säker, internetbaserad fjärråtkomst till nyckelsystem. Vi kräver också multifaktorautentisering för fjärråtkomst till nätverk.

Sårbarhet och patchhantering

Vi strävar efter att tillämpa de senaste säkerhetskorrigeringarna och uppdateringarna till operativsystem, slutpunkter och nätverksinfrastruktur för att minska exponeringen för sårbarheter.

En patchhanteringsprocess är på plats för att implementera säkerhetsuppdateringar när de släpps av leverantörer.

Vi utför periodiska skanningar av externt exponerade och internt exponerade tillgångar.

Penetrationstestning

Vi har etablerade processer för att bedöma och korrigera sårbarheter som upptäckts under tvååriga penetrationstester av vår kvalificerade och oberoende penetrerande partner Cobalt Labs Inc.

Incident Response Management

Vi har en formaliserad incidentresponsplan och tillhörande rutiner som utlöses vid en säkerhetsincident. Incidentresponsplanen definierar nyckelpersonalens ansvar och identifierar processer och procedurer för underrättelse och eskalering. Incidentresponspersonal utbildas och genomförandet av incidentresponsplanen testas regelbundet.

Vi följer SANS Incident Response Process, ett industristandardramverk för incidentrespons, för att hjälpa till att förbereda, identifiera, förebygga, upptäcka och svara på säkerhetsincidenter. Vi får stöd i detta av Fresenius Cybersecurity Emergency Response Team (CERT).

Endpoint Protection

Våra slutpunkter är utrustade med en centralt hanterad antiviruslösning för att säkerställa att de senaste virusdefinitionerna alltid är tillgängliga på slutpunkterna och att konsekventa säkerhetspolicyer tillämpas på alla slutpunkter.

Alla bärbara datorer är fulldiskkrypterade med nycklarna som hanteras med hjälp av ett säkerhetsvalv.

Vi har konfigurerat automatisk sessionslåsning på företagstillgångar efter en definierad period av inaktivitet.

Mobila enheter är föremål för ett hanteringssystem för mobila enheter och åtkomst är endast tillåten från enheter som är konfigurerade i enlighet med vår säkerhetspolicy. Denna säkerhetspolicy kräver att en kod anges för att komma åt enheten och tillåter fjärrradering om den rapporteras förlorad eller stulen.

Nätverks- och e-postsäkerhet

Vi utför trafikfiltrering mellan nätverkssegment.

Endast Fresenius Kabi-hanterade trådlösa nätverk är tillåtna i vår miljö. Säkerhetskontroller för trådlös åtkomst inkluderar segregatipå företags- och gäståtkomst och rotation av trådlösa nycklar.

Vi har implementerat en lösning som regelbundet uppdaterar programvara för webbadressfiltrering som blockerar åtkomst till olämpliga webbplatser från dess nätverk.

Våra e-postgateways fungerar som barriärer som filtrerar skadlig trafik och stoppar nätfiske och tillåter endast autentisk kommunikation.

Loggning & övervakning

Applikations- och infrastruktursystemsloggar lagras för felsökning, säkerhetsgranskning och analys av auktoriserad personal. Loggar bevaras i enlighet med myndighetskrav.

Centraliserad säkerhetshändelsevarning över företagstillgångar för loggkorrelation och analys implementeras. En logganalysplattform konfigurerad med säkerhetsrelevanta korrelationsvarningar uppfyller också detta skydd.

Personalutbildning och medvetenhet

Fresenius Kabi-anställda måste delta i utbildning om cybersäkerhet. För detta ändamål tillhandahåller vi olika format för att presentera ämnet cybersäkerhet och göra det enkelt att förstå. Vår slogan är "Cybersäkerhet är en lagsport" och i denna anda strävar vi regelbundet efter att inspirera våra anställda med olika upplysningskampanjer, med nyhetsartiklar och blogginlägg på temat säkerhet för att bli en aktiv medlem i försvarsstrategin för vårt företag.

Tillsammans med vårt program för säkerhetsmedvetenhet förses varje person med tillgång till våra IT-system kvartalsvis med nätfiske-simuleringstester. De kvartalsvisa kampanjerna stödjer säkerhetsmedvetenhet eftersom de ökar allas kunskap och vaksamhet kring nätfiske-e-post.

Fysisk säkerhet

Fysiska åtkomstkontroller implementeras på våra kontor. Kontrollerna inkluderar byggnadssäkerhet och säker tillgång till Fresenius Kabi-lokaler. Närhetskortsåtkomst krävs för att komma in på Fresenius Kabi-kontor och produktionsanläggningar. Det finns definierade rutiner för besökskontroll som kräver att alla besökare rapporterar till receptionen.