GILAI ist ein IT-Unternehmen mit Sitz in Vevey. Als Verein organisiert, betreibt GILAI die IT der Invalidenversicherungsstellen (IV) für neunzehn Schweizer Kantone und das Fürstentum Liechtenstein. GILAI unterstützt ihre Mitglieder durch einheitliche IT-Lösungen, mit dem Ziel, die Effizienz zu steigern und die Kosten nachhaltig zu verwalten. Um dies zu erreichen, legen GILAI und ihre Führungskräfte sehr grossen Wert auf die Informationssicherheit und den Datenschutz.
GILAI initiierte im Jahr 2017 das Projekt «Weiterentwicklung Web@AI 3.0». Dieses Projekt hatte zum Ziel, die von den IV-Stellen verwendete Fachanwendung grundlegend zu überdenken und weiterzuentwickeln. Dieses Vorgehen, inklusive dem Einbezug von neuen technologischen Möglichkeiten, erlaubte es, allfällig benötigte Anpassungsbedürfnisse sowie interne und externe Rahmenbedingungen, die sich auf die Anwendung Web@AI auswirken können, zu antizipieren.
Die besagte Anwendung enthält zudem eine grosse Anzahl von Informationen von Versicherten der IV-Stellen. Aus diesem Grund sind die Informationssicherheit und der Datenschutz zentrale Elemente dieser Weiterentwicklung und wurden daher von Anfang an in den Prozess integriert (Security by Design).
Die notwendigen Elemente im Zusammenhang mit der Informationssicherheit und dem Datenschutz wurden in zwei Phasen erarbeitet. Im Jahr 2017 zeigte die Schutzbedarfsanalyse, dass die Anwendung in mehreren Bereichen einen erhöhten Schutzbedarf aufweist. Auf dieser Grundlage organisierte Redguard AG zusammen mit ihrem Kunden GILAI und deren Lieferanten bzw. Entwickler Globaz SA einen gemeinsamen Workshop, in dem potenzielle Sicherheitsrisiken definiert und bewertet wurden (Risikoanalyse).
Ziel des Workshops war es, ein gemeinsames Verständnis der Risiken zu erlangen und vom Wissenstransfer zu profitieren. Ein weiteres Ziel bestand darin, die Entwickler für die Relevanz der Informationssicherheit und des Datenschutzes, über den gesamten Lebenszyklus der Software-Entwicklung hinweg, zu sensibilisieren.
In den besagten Workshops wurden mögliche Gegenmassnahmen identifiziert, analysiert und anschliessend in gemeinsamen Entscheidungen bezüglich Schutzmassnahmen festgehalten. Insgesamt wurden so ca. 200 Schutzmassnahmen während der Entwicklungsphase implementiert. Darunter auch Massnahmen aus dem von Redguard entwickelten OWASP-Container Security Verification Standard.
In der zweiten Projektphase 2018/2019 führte Redguard eine regelmässige Überprüfung des Umsetzungsstandes dieser Schutzmassnahmen durch. Dabei wurde jeweils auf den Projektfortschritt sowie den Themenbereich Rücksicht genommen. Die rund 200 Sicherheitsmassnahmen wurden einer der sechs Überprüfungsetappen zugeordnet.
Darüber hinaus wurden während des Projekts vier Penetrationtests durchgeführt, die zur technischen Überprüfung der umgesetzten Massnahmen sowie der Identifikation von Schwachstellen dienten.
Parallel dazu wurde ein Konzept zur Informationssicherheit und zum Datenschutz erstellt. Darin wurden fortlaufend die Erkenntnisse zur Informationssicherheit und zum Datenschutz sowie die verbleibenden und akzeptierten Risiken dokumentiert.
Sandro Lensi, Direktor von GILAI
«Die Informationssicherheit und der Datenschutz stellen ein zentrales Element dar. Redguard hat uns bei diesem wichtigen Bedürfnis begleitet.» Sandro Lensi, Direktor von GILAI
Sind Sie auch mit Fragen im Bereich Informationssicherheit und Datenschutz konfrontiert, die Sie nicht alleine beantworten können oder wollen? Wir stellen Ihrer Organisation gerne unsere Spezialisten zur Verfügung und begleiten Sie bei der Suche nach Ihren Antworten.
Cet article de blog est également disponible en français :
Sécurisation des données à l'AI – dès le développement du logiciel