Cyberbezpieczeństwo

Cyberbezpieczeństwo  to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”, definicja pochodzi z art. 2 pkt 4 Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560) i w dalszej części artykułu nazwaną w skrócie ustawą o KSC.

• poufność danych – zapewnia, że przetwarzane dane są chronione przed nieuprawnionym dostępem, tj. przed ujawnianiem lub udostępnianiem nieuprawnionym osobom lub innym podmiotom,
• integralność danych (spójność danych) - zapewnia, że dane nie zostaną celowo lub przypadkowo zmodyfikowane, sfałszowane, zniekształcone, usunięte lub zmienione w nieautoryzowany sposób,
• dostępność danych – zapewnia, że dane są dostępne dla upoważnionych osób w miejscu i czasie w jakim są potrzebne,
• autentyczność danych – zapewnia, że przetwarzane dane są prawdziwe, tj. są danymi, które w sposób autoryzowany zostały wprowadzone do systemu.

 

Usługa kluczowa

Usługa kluczowa – to usługa wymieniona w wykazie usług kluczowych, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Za operatora usługi kluczowej o którym mowa w art. 5 ustawy o KSC uznaje się podmiot, jeżeli:

• świadczy usługę kluczową,
• świadczenie tej usługi zależy od systemów informacyjnych,
• incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

 

Decyzją Ministra Zdrowia Szpital Powiatowy w Zawierciu został ustanowiony operatorem usługi kluczowej w zakresie:

• udzielania świadczeń opieki zdrowotnej przez podmiot leczniczy,
• obrotu i dystrybucji produktów leczniczych.

 

Wśród wielu obowiązków operatorzy usług kluczowych są zobowiązani m.in. do:

• prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem,
• wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy,
• zbierania informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
• zarządzania incydentami,
• stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
• stosowania środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

 

Szpital Powiatowy w Zawierciu przywiązuje ogromną wagę do bezpieczeństwa informacji. W tym celu Szpital wdrożył i utrzymuje System Zarządzania Bezpieczeństwem Informacji który zawiera usystematyzowane podejście do: ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia bezpieczeństwa informacji w Szpitalu, zarówno bezpieczeństwa fizycznego, jak i bezpieczeństwa teleinformatycznego danych przetwarzanych w systemach informatycznych. Szpital prowadzi szacowanie ryzyka wystąpienia incydentu oraz podejmuje odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania tym ryzykiem. Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Szpitala, których realizacja ma bezpośredni wpływ na świadczenie usługi kluczowej w rozumieniu ustawy o KSC, a tym samym na określenie poziomu akceptowalności ryzyka z myślą o zapewnieniu ciągłości działania usługi kluczowej. Szpital jest świadomy zagrożeń na jakie są narażone wykorzystywane przez niego sieci i systemy informatyczne i dlatego stosuje odpowiednie środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego.  Każda osoba mająca dostęp do informacji zobowiązana jest do zapoznania się z Polityką Bezpieczeństwa Informacji i stosowania jej postanowień w zakresie adekwatnym do pełnionej roli. Dostęp do informacji udzielany jest zgodnie z zasadą minimalnych uprawnień. Szpital posiada: urządzenia zabezpieczające sieć wewnętrzną Szpitala przed zagrożeniami z sieci Internet, system ochrony poczty elektronicznej, redundantne systemy zasilania, redundancje głównych zasobów i połączeń sieciowych w tym dostępu do sieci Internet, kontrolę dostępu do pomieszczeń, monitoring wizyjny a także zbiera informacje o zagrożeniach i podatnościach które to po zidentyfikowaniu są niezwłocznie mitygowane. Szpital zobowiązany jest do zgłaszania incydentów poważnych do CSIRT CEZ/NASK (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) oraz współpracy z tymi zespołami przy obsłudze zgłoszonych incydentów.

 

Reakcja na incydenty i niepożądane zdarzenia w obszarze bezpieczeństwa informacji

1. Każda osoba (pracownik, współpracownik Szpitala, pacjent lub osoba odwiedzająca pacjenta) w przypadku zauważenia:

• próby przełamania zabezpieczeń lub próby nieautoryzowanego wejścia na chroniony obszar,
• wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe,
• innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług,

proszona jest o zgłoszenie niezwłocznie zaobserwowanej sytuacji na adres e-mail: incydent@szpitalzawiercie.pl.

 

2. Każdy użytkownik (pracownik Szpitala lub pracownik firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem:

• zgłoszenie w zakresie danych przetwarzanych w systemach informatycznych: Dział Informatyki tel. (032) 67-40-370, 885-999-138, adres e-mail: it@szpitalzawiercie.pl lub na adres e-mail: incydent@szpitalzawiercie.pl.
• zgłoszenia w zakresie danych przetwarzanych papierowo i bezpieczeństwa fizycznego: Inspektor Ochrony Danych tel. 502-185-693, adres e-mail: iod@szpitalzawiercie.pl lub na adres e-mail: incydent@szpitalzawiercie.pl.

 

3. Ponadto każda osoba, która dostrzega:

• zdarzenie, incydent bezpieczeństwa informacji lub naruszenie ochrony danych,
• nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,
• próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala lub fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
• inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,

proszona jest o zgłoszenie niezwłocznie zaobserwowanej sytuacji na adres e-mail: incydent@szpitalzawiercie.pl.

Informacje o zagrożeniach cyberbezpieczeństwa

Jednym z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania na stronie internetowej podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa. Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.

 

Podstawowym elementem bezpieczeństwa w sieci Internet jest zastosowanie zasady ograniczonego zaufania i podwyższonej ostrożności !!!

 

Isnieje wiele metod którymi posługują się przestępcy w cyberprzestrzeni, do najczęściej spotykanych można zaliczyć:

• Phishing to metoda, która polega na tym, że atakujący próbuje oszukać ofiarę poprzez odpowiednio przygotowaną „przynętę” i spowodować, aby podjęła działania zgodnie z jego zamierzeniami. W tym celu podszywając się pod urzędy administracji, operatorów telekomunikacyjnych, firmy kurierskie czy znajomych przekazują sfałszowane  SMS-y, e-maile lub wiadomości w komunikatorach i portalach społecznościowych.
• Spoofing to metoda, w której cyberprzestępcy podszywają się pod banki, instytucje i firmy, ale robią to z większym nakładem pracy niż w przypadku phishingu np.: dzwoniąc z numeru należącego do banku lub podszywając się pod adres e-mail instytucji.
• Pharming to metoda, która polega na modyfikacji zawartości adresu strony internetowej w celu przekierowania użytkownika na fałszywą stronę. Ma to na celu przejęcie wpisywanych przez użytkownika haseł do zaufanych witryn, numerów kart kredytowych i innych poufnych danych.
• Ataki z użyciem szkodliwego oprogramowania takiego jak: wirusy, ransomware, robaki, oprogramowanie szpiegujące, trojany, adware i inne.
• Kradzieże tożsamości czyli podszywanie się pod inną osobę.
• Blokada dostępu do usług (ang. DoS) to metoda ataku na system komputerowy lub usługę sieciową w celu uniemożliwienia ich działania.
• Socjotechnika to metoda której celem jest uzyskanie poufnych informacji poprzez wywieranie wpływu na osobę za pomocą mechanizmów psychologicznych.

 

Podstawowe zasady ochrony przed zagrożeniami:

• nie udostępniać nikomu swoich loginów i haseł do logowania,
• używać oprogramowania antywirusowego z włączoną automatyczną aktualizacją i ochroną w czasie rzeczywistym oraz cyklicznie wykonywać skanowanie dysków swoich urządzeń,
• aktualizować system operacyjny i posiadane oprogramowanie,
• podczas korzystania z otwartych sieci WI-FI (hot spoty, kawiarnie itp) nie logować się na swoje konto bankowe lub pocztę,
• ustawiać mocne i różnorodne hasła nie zawierające danych które łatwo można powiązać z właścicielem. Nie zapamiętywać tych haseł w przeglądarce.
• nigdy nie otwierać podejrzanych maili ani przesłanych w nich załączników i odnośników do stron internetowych,
• wszystkie pobrane pliki skanować programem antywirusowym,
• nie podawać zbyt dużej ilości informacji osobistych w serwisach społecznościowych,
• zawsze sprawdzać poprawność adresów stron przed zalogowaniem. Nie korzystać ze stron (banków, poczty elektronicznej i innych), które nie mają ważnego certyfikatu bezpieczeństwa (np. brak protokołu https w adresie),
• nie klikać w linki do podejrzanych reklam gdyż można w ten sposób zainfekować urządzenie złośliwym oprogramowaniem,
• skanować wszystkie zewnętrzne nośniki danych przed otwarciem ich zawartości na swoim urządzeniu,
• maile zawierające dane osobowe zawsze wysyłać w postaci zaszyfrowanej a hasło zabezpieczające przekazać innym kanałem np. SMS-em,
• regularnie wykonywać kopie zapasowe ważnych danych na zewnętrzny dysk i zaszyfrować go np. poprzez funkcję BitLocker,
• zapora sieciowa „firewall” powinna być stale włączona,
• zwracać uwagę na komunikaty wyświetlane na ekranie urządzenia,
• każdorazowo po zakończeniu pracy wylogować się z używanych aplikacji, kont bankowych, poczty,
• blokować ekran urządzenia gdy nie jest ono używane.