Cyberbezpieczeństwo

Cyberbezpieczeństwo  to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”, definicja pochodzi z art. 2 pkt 4 Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560) i w dalszej części artykułu nazwaną w skrócie ustawą o KSC.

• poufność danych – zapewnia, że przetwarzane dane są chronione przed nieuprawnionym dostępem, tj. przed ujawnianiem lub udostępnianiem nieuprawnionym osobom lub innym podmiotom,
• integralność danych (spójność danych) - zapewnia, że dane nie zostaną celowo lub przypadkowo zmodyfikowane, sfałszowane, zniekształcone, usunięte lub zmienione w nieautoryzowany sposób,
• dostępność danych – zapewnia, że dane są dostępne dla upoważnionych osób w miejscu i czasie w jakim są potrzebne,
• autentyczność danych – zapewnia, że przetwarzane dane są prawdziwe, tj. są danymi, które w sposób autoryzowany zostały wprowadzone do systemu.

 

Usługa kluczowa

Usługa kluczowa – to usługa wymieniona w wykazie usług kluczowych, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Za operatora usługi kluczowej o którym mowa w art. 5 ustawy o KSC uznaje się podmiot, jeżeli:

• świadczy usługę kluczową,
• świadczenie tej usługi zależy od systemów informacyjnych,
• incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

 

Decyzją Ministra Zdrowia Szpital Powiatowy w Zawierciu został ustanowiony operatorem usługi kluczowej w zakresie:

• udzielania świadczeń opieki zdrowotnej przez podmiot leczniczy,
• obrotu i dystrybucji produktów leczniczych.

 

Wśród wielu obowiązków operatorzy usług kluczowych są zobowiązani m.in. do:

• prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem,
• wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy,
• zbierania informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
• zarządzania incydentami,
• stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
• stosowania środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

 

Dyrekcja Szpitala Powiatowego w Zawierciu przywiązuje ogromną wagę do zapewnienia bezpieczeństwa zgromadzonych i przetwarzanych w Szpitalu informacji, mając świadomość zagrożeń, na jakie narażone są sieci, usługi oraz systemy informatyczne Szpitala. W celu zapewnienia wysokiego poziomu ochrony informacji i usystematyzowania zagadnień dotyczących cyberbezpieczeństwa w Szpitalu został ustanowiony System Zarządzania Bezpieczeństwem Informacji (SZBI), na który składają się: Polityka Bezpieczeństwa Informacji, Polityka Bezpieczeństwa Danych Osobowych, procedury, wytyczne i instrukcje. SZBI został wdrożony na podstawie międzynarodowego standardu ISO/IEC 27001.

W Szpitalu regularnie prowadzony jest proces szacowania ryzyka wystąpienia incydentu bezpieczeństwa informacji. Podstawę do identyfikacji ryzyka stanowią aktywa Szpitala oraz procesy, których działanie ma bezpośredni wpływ na świadczenie usług kluczowych w rozumieniu ustawy o KSC. Z myślą o zapewnieniu ciągłości działania usług kluczowych Szpitala wdrażane są odpowiednie i proporcjonalne środki techniczne i organizacyjne, które mają na celu zarządzanie zidentyfikowanym ryzykiem i zapobieganie wystąpienia incydentów. Ponieważ usługi kluczowe Szpitala ściśle zależą od działania systemów informatycznych, wszystkie obecne rozwiązania są projektowane tak, aby zapewnić redundantność krytycznych elementów infrastruktury informatycznej.

Zapewnienie bezpieczeństwa osobowego jest realizowane poprzez rygorystyczne egzekwowanie stosowania Systemu Zarządzania Bezpieczeństwem Informacji. Każda osoba mająca dostęp do informacji zobowiązana jest do zapoznania się i stosowania postanowień SZBI, w zakresie adekwatnym do pełnionej przez nią roli. Dostęp do informacji udzielany jest zgodnie z zasadą nadawania minimalnych uprawnień. Podejmowane są działania edukacyjne dla personelu na temat procedur bezpiecznego przetwarzania informacji oraz przekazywane są informacje o aktualnych zagrożeniach, na jakie jest on narażony.

W Szpitalu został powołany Zespół ds. Monitorowania Poziomu Cyberbezpieczeństwa, którego zadaniem jest stałe monitorowanie bezpieczeństwa środowiska teleinformatycznego Szpitala. Zespół pozyskuje informacje na temat pojawiających się zagrożeń z ogólnodostępnych źródeł w sieci Internet, a także wymienia wszelkie niezbędne informacje w tym zakresie z krajowymi zespołami CERT, CSIRT i innymi podmiotami wchodzącymi w skład Krajowego Systemu Cyberbezpieczeństwa. Uzyskane w ten sposób informacje są niezwłocznie weryfikowane a zidentyfikowane zagrożenia mitygowane. Szpital jako operator usług kluczowych zobowiązany jest do zgłaszania incydentów poważnych do CSIRT CEZ/NASK (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego na poziomie krajowym) oraz współpracy z tymi zespołami przy obsłudze zgłoszonych incydentów.

 

Reakcja na incydenty i niepożądane zdarzenia w obszarze bezpieczeństwa informacji

1. Każda osoba (pracownik, współpracownik Szpitala, pacjent lub osoba odwiedzająca pacjenta) w przypadku zauważenia:

• próby przełamania zabezpieczeń lub próby nieautoryzowanego wejścia na chroniony obszar,
• wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe,
• innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług,

proszona jest o zgłoszenie niezwłocznie zaobserwowanej sytuacji na adres e-mail: incydent@szpitalzawiercie.pl.

 

2. Każdy użytkownik (pracownik Szpitala lub pracownik firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem:

• zgłoszenie w zakresie danych przetwarzanych w systemach informatycznych: Dział Informatyki tel. (032) 67-40-370, 885-999-138, adres e-mail: it@szpitalzawiercie.pl lub na adres e-mail: incydent@szpitalzawiercie.pl.
• zgłoszenia w zakresie danych przetwarzanych papierowo i bezpieczeństwa fizycznego: Inspektor Ochrony Danych tel. 502-185-693, adres e-mail: iod@szpitalzawiercie.pl lub na adres e-mail: incydent@szpitalzawiercie.pl.

 

3. Ponadto każda osoba, która dostrzega:

• zdarzenie, incydent bezpieczeństwa informacji lub naruszenie ochrony danych,
• nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,
• próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala lub fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
• inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,

proszona jest o zgłoszenie niezwłocznie zaobserwowanej sytuacji na adres e-mail: incydent@szpitalzawiercie.pl.

Informacje o zagrożeniach cyberbezpieczeństwa

Jednym z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania na stronie internetowej podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa. Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.

 

Podstawowym elementem bezpieczeństwa w sieci Internet jest zastosowanie zasady ograniczonego zaufania i podwyższonej ostrożności !!!

 

Isnieje wiele metod którymi posługują się przestępcy w cyberprzestrzeni, do najczęściej spotykanych można zaliczyć:

• Phishing to metoda, która polega na tym, że atakujący próbuje oszukać ofiarę poprzez odpowiednio przygotowaną „przynętę” i spowodować, aby podjęła działania zgodnie z jego zamierzeniami. W tym celu podszywając się pod urzędy administracji, operatorów telekomunikacyjnych, firmy kurierskie czy znajomych przekazują sfałszowane  SMS-y, e-maile lub wiadomości w komunikatorach i portalach społecznościowych.
• Spoofing to metoda, w której cyberprzestępcy podszywają się pod banki, instytucje i firmy, ale robią to z większym nakładem pracy niż w przypadku phishingu np.: dzwoniąc z numeru należącego do banku lub podszywając się pod adres e-mail instytucji.
• Pharming to metoda, która polega na modyfikacji zawartości adresu strony internetowej w celu przekierowania użytkownika na fałszywą stronę. Ma to na celu przejęcie wpisywanych przez użytkownika haseł do zaufanych witryn, numerów kart kredytowych i innych poufnych danych.
• Ataki z użyciem szkodliwego oprogramowania takiego jak: wirusy, ransomware, robaki, oprogramowanie szpiegujące, trojany, adware i inne.
• Kradzieże tożsamości czyli podszywanie się pod inną osobę.
• Blokada dostępu do usług (ang. DoS) to metoda ataku na system komputerowy lub usługę sieciową w celu uniemożliwienia ich działania.
• Socjotechnika to metoda której celem jest uzyskanie poufnych informacji poprzez wywieranie wpływu na osobę za pomocą mechanizmów psychologicznych.

 

Podstawowe zasady ochrony przed zagrożeniami:

• nie udostępniać nikomu swoich loginów i haseł do logowania,
• używać oprogramowania antywirusowego z włączoną automatyczną aktualizacją i ochroną w czasie rzeczywistym oraz cyklicznie wykonywać skanowanie dysków swoich urządzeń,
• aktualizować system operacyjny i posiadane oprogramowanie,
• podczas korzystania z otwartych sieci WI-FI (hot spoty, kawiarnie itp) nie logować się na swoje konto bankowe lub pocztę,
• ustawiać mocne i różnorodne hasła nie zawierające danych które łatwo można powiązać z właścicielem. Nie zapamiętywać tych haseł w przeglądarce.
• nigdy nie otwierać podejrzanych maili ani przesłanych w nich załączników i odnośników do stron internetowych,
• wszystkie pobrane pliki skanować programem antywirusowym,
• nie podawać zbyt dużej ilości informacji osobistych w serwisach społecznościowych,
• zawsze sprawdzać poprawność adresów stron przed zalogowaniem. Nie korzystać ze stron (banków, poczty elektronicznej i innych), które nie mają ważnego certyfikatu bezpieczeństwa (np. brak protokołu https w adresie),
• nie klikać w linki do podejrzanych reklam gdyż można w ten sposób zainfekować urządzenie złośliwym oprogramowaniem,
• skanować wszystkie zewnętrzne nośniki danych przed otwarciem ich zawartości na swoim urządzeniu,
• maile zawierające dane osobowe zawsze wysyłać w postaci zaszyfrowanej a hasło zabezpieczające przekazać innym kanałem np. SMS-em,
• regularnie wykonywać kopie zapasowe ważnych danych na zewnętrzny dysk i zaszyfrować go np. poprzez funkcję BitLocker,
• zapora sieciowa „firewall” powinna być stale włączona,
• zwracać uwagę na komunikaty wyświetlane na ekranie urządzenia,
• każdorazowo po zakończeniu pracy wylogować się z używanych aplikacji, kont bankowych, poczty,
• blokować ekran urządzenia gdy nie jest ono używane.