Cyberbezpieczeństwo

Wojewódzki Szpital Specjalistyczny we Wrocławiu jako operator usługi kluczowej zgodnie z decyzją Ministra Zdrowia o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560). Usługa kluczowa to udzielenie świadczenia opieki zdrowotnej przez podmiot leczniczy oraz obrót i dystrybucja produktów leczniczych.

Za operatora usługi kluczowej uznaje się podmiot, jeżeli:

• świadczy usługę kluczową,

• świadczenie tej usługi zależy od systemów informacyjnych,

• incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Operator usługi kluczowej ma podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.

W Szpitalu wdrożono Politykę Bezpieczeństwa Informacji oraz System Zarządzania Bezpieczeństwem Informacji.

Szpital wdrożył i wykorzystuje system zarządzania bezpieczeństwem informacji w oparciu o wymagania międzynarodowego standardu ISO/IEC 27001, celem wyeliminowania zagrożeń mogących mieć niekorzystny wpływ na proces świadczenia usługi kluczowej.

Na System Zarządzania Bezpieczeństwem Informacji (SZBI) składają się: polityka, procedury, instrukcje, wytyczne, związane zasoby i działania, wspólnie zarządzane przez Szpital dążący do ochrony jego aktywów informacyjnych. SZBI jest systematycznym podejściem do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia bezpieczeństwa informacji w Szpitalu w celu osiągnięcia celów biznesowych.

Szpital egzekwuje stosowanie wewnętrznych procedur i instrukcji. Każda osoba mająca dostęp do informacji zobowiązana, jest zgodnie z posiadanymi uprawnieniami do zapoznania się z Polityką Bezpieczeństwa Informacyjnego oraz złożenia stosownego oświadczenie, potwierdzającego znajomość jej treści oraz przestrzegania jej zapisów. Szpital zobowiązany jest do szacowania ryzyka dla swoich usług kluczowych, zbierania informacji o zagrożeniach i podatnościach, stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłaszania incydentów poważnych do CSIRT GOV.

Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Szpitala, których realizacja ma bezpośredni wpływ na świadczenie usługi cyfrowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a tym samym na określenie poziomu akceptowalności ryzyka.

Reakcja na niepożądane zdarzenia (incydenty) lub podatności:

1. Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Szpitala w przypadku zauważenia:

   • próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;

   • powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;

   • innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług, proszony jest o zgłoszenia niezwłocznie zaobserwowanej sytuacji na adres e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..

2. Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem.

Ponadto dostrzegający:

• zdarzenie, incydent bezpieczeństwa informacji,

• nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,

• próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,

• inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji, jest zobowiązany zaobserwowaną sytuację niezwłocznie zgłosić na adres e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..

Zabrania się użytkownikowi zgłaszającemu problem lub naruszenie bezpieczeństwa wykonywania jakichkolwiek działań „na własną rękę” rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju. Za szybką reakcję na pojawiające się incydenty z góry dziękujemy.

Do jednych z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania na stronie internetowej Szpitala podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa. Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.

Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560).

Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:

• Ataki z użyciem szkodliwego oprogramowania,

• Kradzieże tożsamości,

• Ataki mające na celu wyłudzenie lub zniszczenie danych,

• Blokada dostępu do usług,

• Niechciana poczta (SPAM),

• Socjotechnika,

• Phishing.

W celu ochrony przed zagrożeniami należy stosować zabezpieczenia:

• Nie udostępniaj nikomu swojego loginu i hasła do systemu,

• Unikaj stosowania haseł, które można łatwo z Tobą powiązać,

• Unikaj logowania się do systemów z cudzych urządzeń i publicznych, nieznanych sieci,

• Używaj aktualnego oprogramowania antywirusowego – stosuj ochronę w czasie rzeczywistym, włącz aktualizacje automatyczne,

• Skanuj oprogramowaniem antywirusowym wszystkie urządzenia podłączane do komputera – pendrivy, płyty, karty pamięci,

• Aktualizuj system operacyjny i posiadane oprogramowanie,

• Nie otwieraj plików nieznanego pochodzenia,

• Wszystkie pobrane pliki skanuj programem antywirusowym,

• Nie korzystaj ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa,

• Cyklicznie skanuj komputer oprogramowaniem antywirusowym i sprawdzaj procesy sieciowe,

• Nie odwiedzaj stron oferujących darmowe filmy, muzykę albo łatwe pieniądze – najczęściej na takich stronach znajduje się złośliwe oprogramowanie,

• Nie podawaj swoich danych osobowych na stronach internetowych, co do których nie masz pewności, że nie są one widoczne dla osób trzecich,

• Zawsze weryfikuj adres nadawcy wiadomości e-mail,

• Zawsze zabezpieczaj hasłem lub szyfruj wiadomości e-mail zawierające poufne dane – hasło przekazuj innym sposobem komunikacji,

• Cyklicznie wykonuj kopie zapasowe ważnych danych,

• Zawsze miej włączoną – zaporę sieciową „firewall”,

• Nie uruchamiaj linków w wiadomościach SMS lub e-mail, jeżeli nie masz pewności, że pochodzą z bezpiecznego źródła,

• Zwracaj uwagę na komunikaty wyświetlane na ekranie komputera.

Więcej porad w zakresie bezpieczeństwa dla użytkowników komputerów.