Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kępnie zgodnie z decyzją Ministra Zdrowia z dnia 04.07.22 r. został ustanowiony operatorem usługi kluczowej, o którym mowa w art. 5 ust. 2, art.41 oraz art. 42 ust. 1 pkt 2 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z późn. zm.). Usługa kluczowa to udzielenie świadczenia opieki zdrowotnej przez podmiot leczniczy oraz obrót i dystrybucja produktów leczniczych.
Za operatora usługi kluczowej uznaje się podmiot, jeżeli:
- świadczy usługę kluczową,
- świadczenie tej usługi zależy od systemów informacyjnych,
- incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Operator usługi kluczowej ma podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.
W Szpitalu wdrożono Politykę Bezpieczeństwa Informacji oraz System Zarządzania Bezpieczeństwem Informacji. Szpital wdrożył i wykorzystuje system zarządzania bezpieczeństwem informacji, celem wyeliminowania zagrożeń mogących mieć niekorzystny wpływ na proces świadczenia usługi kluczowej.
Na System Zarządzania Bezpieczeństwem Informacji (SZBI) składają się: polityka, procedury, instrukcje, wytyczne, związane zasoby i działania, wspólnie zarządzane przez Szpital dążący do ochrony jego aktywów informacyjnych. SZBI jest systematycznym podejściem do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia bezpieczeństwa informacji w Szpitalu w celu osiągnięcia celów biznesowych. Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kępnie egzekwuje stosowanie wewnętrznych procedur i instrukcji. Każda osoba mająca dostęp do informacji zobowiązana, jest zgodnie z posiadanymi uprawnieniami do zapoznania się z Polityką Bezpieczeństwa Informacyjnego oraz złożenia stosownego oświadczenie, potwierdzającego znajomość jej treści oraz przestrzegania jej zapisów.
Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kępnie zobowiązany jest do szacowania ryzyka dla swoich usług kluczowych, zbierania informacji o zagrożeniach i podatnościach, stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłaszania incydentów poważnych do CSIRT NASK. Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kępnie, których realizacja ma bezpośredni wpływ na świadczenie usługi cyfrowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a tym samym na określenie poziomu akceptowalności ryzyka.
Reakcja na niepożądane zdarzenia (incydenty) lub podatności:
Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Szpitala:
- w przypadku zauważenia:
- próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;
- powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;
- innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług,
proszony jest o zgłoszenia niezwłocznie zaobserwowanej sytuacji pod nr tel. +48 62 78 27 409 lub przesłanie jej opisu na adres e-mail: informatyk@szpital.kepno.pl. Wybór środka przekazu zgłoszenia powinien być adekwatny do zaistniałej sytuacji. Wyboru dokonuje zgłaszający.
- w przypadku zauważenia próby pozyskania w sposób nielegalny danych o innej osobie, proszony jest o zgłoszenie zaobserwowanej sytuacji do Inspektora Ochrony Danych, e-mail: iodo@szpital.kepno.pl
Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem.
Ponadto dostrzegający:
- zdarzenie, incydent bezpieczeństwa informacji,
- nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,
- próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
- inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,
jest zobowiązany zaobserwowaną sytuację niezwłocznie pod nr tel. +48 62 78 27 409 lub przesłanie jej opisu na adres e-mail: informatyk@szpital.kepno.pl. Wybór środka przekazu zgłoszenia powinien być adekwatny do zaistniałej sytuacji. Wyboru dokonuje zgłaszający.
Zabrania się użytkownikowi zgłaszającemu problem lub naruszenie bezpieczeństwa wykonywania jakichkolwiek działań „na własną rękę” rozwiązujących problem, z wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju. Za szybką reakcję na pojawiające się incydenty z góry dziękujemy.
Do jednych z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania na stronie internetowej Szpitala podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa. Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.
Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z późn. zm.).
Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:
- Phishing
- Przestępcy tworzą fałszywe strony Internetowe, żeby wyłudzić Twoje dane (loginy i hasła). Najczęściej wysyłają maile zawierające odnośniki do tych stron.
- Jak się chronić?
Dokładnie weryfikuj adres witryny zanim się na niej zalogujesz. Nie wpisuj swojego loginu i hasła na podejrzanych stronach internetowych.
- Malware / ransomware
- Często stosowane są ataki z użyciem szkodliwego oprogramowania (malware, ransomware itp.), hakerzy mogą wysyłać złośliwe oprogramowanie za pośrednictwem e-mail, dołączonego do e-mail załącznika.
- Jak się chronić?
Nie otwieraj podejrzanych wiadomości oraz załączników, ponieważ w przypadku instalacji złośliwego oprogramowania na Twoim urządzeniu, hakerzy mogą przejąć dostęp np. do konta w Twoim banku.
- Vishing
- Przestępcy mogą do Ciebie zadzwonić i podawać się za pracownika Szpitala, instytucji np. SANEPID, Policji, Twojego przełożonego i prosić Cię o przekazanie Twojego loginu, hasła, nr PESEL, nr dowodu osobistego. Podanie tych danych może skutkować kradzieżą Twojej tożsamości, umożliwieniem przestępcy zalogowania się do Systemu.
- Jak się chronić?
Nigdy nie podawaj swoich danych, dopóki nie upewnisz się z kim rozmawiasz.
Podstawowym elementem bezpieczeństwa w sieci Internet jest zastosowanie zasady ograniczonego zaufania i podwyższonej ostrożności.
- Używaj oprogramowania antywirusowego i zapory sieciowej (firewall).
- Korzystaj wyłącznie z legalnego oprogramowania.
- Staraj się nie korzystać z sieci publicznych, jeżeli logujesz się do systemu.
- Regularnie aktualizuj oprogramowanie oraz bazy danych wirusów.
- Nie otwieraj podejrzanych e-maili oraz załączników. Zwracaj szczególną uwagę na załączniki posiadające kilka rozszerzeń plików jednocześnie np. faktura.pdf.zip, dokument.jar.doc.
- Nie korzystaj ze stron, które nie mają ważnego certyfikatu (np. brak protokołu https) chyba, że masz stuprocentową pewność z innego źródła, że strona taka jest bezpieczna.
- Nie zostawiaj swoich danych osobowych w niesprawdzonych serwisach i na stronach, zawsze czytaj dokładnie Regulaminy i Polityki, weryfikuj na co wyrażasz zgodę.
- Nie wysyłaj e-mailem poufnych danych bez ich szyfrowania.
- Pamiętaj, że Szpital, bank czy urząd nie wysyła e-maili do swoich pacjentów/klientów/interesantów z prośbą o podanie hasła lub loginu do jakichkolwiek systemów w celu ich weryfikacji.
- Regularnie aktualizuj system operacyjny na Twoim komputerze.
- Aplikacje i programy pobieraj wyłącznie z oficjalnych źródeł.
W celu ochrony przed zagrożeniami należy stosować zabezpieczenia:
- Blokuj ekran swojego urządzenia (np. hasło, PIN).
- Włącz ustawienia blokady ekranu Twojego urządzenia.
- Wpisując swoje hasło, pin, login zweryfikuj, czy nikt Cię nie nagrywa lub nie widzi tego, co wpisujesz.
- Nie udostępniaj nikomu swojego loginu i hasła do systemu.
- Unikaj stosowania haseł, które można łatwo z Tobą powiązać.
- Hasło powinno mieć co najmniej 8 znaków w tym litery, cyfry i znaki specjalne.
- Nie zapisuj haseł na kartkach, w notatniku
- Stosuj różne hasła w różnych systemach.
- Unikaj logowania do systemów z cudzych urządzeń.
- Staraj się nie zapisywać haseł w pamięci przeglądarki.
- Przed sprzedażą / oddaniem urządzenia innej osobie, usuń z niego wszystkie dane.
- Jeżeli masz taką możliwość korzystaj z nakładek prywatyzujących na monitor (również w urządzeniu mobilnym) w miejscach publicznych.
- Smartfony i tablety coraz częściej zastępują inne urządzenia osobiste. Pamiętaj, że podobnie jak domowe komputery, nasze urządzenia mobilne wymagają odpowiedniej ochrony.
- Instaluj aktualizacje aplikacji i systemu operacyjnego w swoim urządzeniu mobilnym.
- Pobieraj i instaluj aplikacje wyłącznie z oficjalnych sklepów z aplikacjami.
- Nie uruchamiaj linków z wiadomości SMS lub e-mail, jeśli nie masz pewności, że pochodzą z bezpiecznego i zaufanego źródła.
- Jeżeli nie korzystasz w danej chwili z Wi-Fi lub Bluetooth, wyłącz je.
- Używaj aktualnego oprogramowania antywirusowego – stosuj ochronę w czasie rzeczywistym, włącz aktualizacje automatyczne,
- Skanuj oprogramowaniem antywirusowym wszystkie urządzenia podłączane do komputera – pendrivy, płyty, karty pamięci,
- Aktualizuj system operacyjny i posiadane oprogramowanie,
- Nie otwieraj plików nieznanego pochodzenia,
- Wszystkie pobrane pliki skanuj programem antywirusowym,
- Nie korzystaj ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa,
- Cyklicznie skanuj komputer oprogramowaniem antywirusowym i sprawdzaj procesy sieciowe,
- Nie odwiedzaj stron oferujących darmowe filmy, muzykę albo łatwe pieniądze – najczęściej na takich stronach znajduje się złośliwe oprogramowanie,
- Nie podawaj swoich danych osobowych na stronach internetowych, co do których nie masz pewności, że nie są one widoczne dla osób trzecich,
- Zawsze weryfikuj adres nadawcy wiadomości e-mail,
- Zawsze zabezpieczaj hasłem lub szyfruj wiadomości e-mail zawierające poufne dane – hasło przekazuj innym sposobem komunikacji,
- Cyklicznie wykonuj kopie zapasowe ważnych danych,
- Zawsze miej włączoną – zaporę sieciową „firewall”
- Zwracaj uwagę na komunikaty wyświetlane na ekranie komputera.