Miejski Szpital Zespolony w Częstochowie zgodnie z decyzją Ministra Zdrowia został ustanowiony operatorem usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560). Usługa kluczowa to udzielenie świadczenia opieki zdrowotnej przez podmiot leczniczy oraz obrót i dystrybucja produktów leczniczych.
Za operatora usługi kluczowej uznaje się podmiot, jeżeli:
świadczy usługę kluczową, świadczenie tej usługi zależy od systemów informacyjnych, incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Operator usługi kluczowej ma podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.
W Szpitalu wdrożono Politykę Bezpieczeństwa Informacji oraz System Zarządzania Bezpieczeństwem Informacji.
Szpital wdrożył i wykorzystuje system zarządzania bezpieczeństwem informacji w oparciu o wymagania międzynarodowego standardu ISO/IEC 27001, celem wyeliminowania zagrożeń mogących mieć niekorzystny wpływ na proces świadczenia usługi kluczowej.
Na System Zarządzania Bezpieczeństwem Informacji (SZBI) składają się: polityka, procedury, instrukcje, wytyczne, związane zasoby i działania, wspólnie zarządzane przez Szpital dążący do ochrony jego aktywów informacyjnych.
SZBI jest systematycznym podejściem do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia bezpieczeństwa informacji w Szpitalu w celu osiągnięcia celów biznesowych.
Miejski Szpital Zespolony egzekwuje stosowanie wewnętrznych procedur i instrukcji. Każda osoba mająca dostęp do informacji zobowiązana, jest zgodnie z posiadanymi uprawnieniami do zapoznania się z Polityką Bezpieczeństwa Informacyjnego oraz złożenia stosownego oświadczenie, potwierdzającego znajomość jej treści oraz przestrzegania jej zapisów.
Miejski Szpital Zespolony zobowiązany jest do szacowania ryzyka dla swoich usług kluczowych, zbierania informacji o zagrożeniach i podatnościach, stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłaszania incydentów poważnych do CSIRT GOV.
Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Miejskiego Szpitala Zespolonego, których realizacja ma bezpośredni wpływ na świadczenie usługi cyfrowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a tym samym na określenie poziomu akceptowalności ryzyka.
Reakcja na niepożądane zdarzenia (incydenty) lub podatności:
Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Szpitala w przypadku zauważenia:
próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;
powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;
innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług, proszony jest o zgłoszenia niezwłocznie zaobserwowanej sytuacji na adres e-mail: cyberbezpieczenstwo@zsm.czest.pl.
Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem.
Ponadto dostrzegający:
zdarzenie, incydent bezpieczeństwa informacji, nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji, próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala, inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,jest zobowiązany zaobserwowaną sytuację niezwłocznie zgłosić na adres e-mail: cyberbezpieczenstwo@zsm.czest.pl.
Zabrania się użytkownikowi zgłaszającemu problem lub naruszenie bezpieczeństwa wykonywania jakichkolwiek działań „na własną rękę” rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju. Za szybką reakcję na pojawiające się incydenty z góry dziękujemy.
Do jednych z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania na stronie internetowej Szpitala podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa. Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.
Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560).
Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:
Ataki z użyciem szkodliwego oprogramowania,
– Kradzieże tożsamości,
– Ataki mające na celu wyłudzenie lub zniszczenie danych,
– Blokada dostępu do usług,
– Niechciana poczta (SPAM),
– Socjotechnika,
– Phishing.
W celu ochrony przed zagrożeniami należy stosować zabezpieczenia:
Używaj aktualnego oprogramowania antywirusowego – stosuj ochronę w czasie rzeczywistym, włącz aktualizacje automatyczne,
– Skanuj oprogramowaniem antywirusowym wszystkie urządzenia podłączane do komputera – pendrivy, płyty, karty pamięci,
– Aktualizuj system operacyjny i posiadane oprogramowanie,
– Nie otwieraj plików nieznanego pochodzenia,
– Wszystkie pobrane pliki skanuj programem antywirusowym,
– Nie korzystaj ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa,
– Cyklicznie skanuj komputer oprogramowaniem antywirusowym i sprawdzaj procesy sieciowe,
– Nie odwiedzaj stron oferujących darmowe filmy, muzykę albo łatwe pieniądze – najczęściej na takich stronach znajduje się złośliwe oprogramowanie,
– Nie podawaj swoich danych osobowych na stronach internetowych, co do których nie masz pewności, że nie są one widoczne dla osób trzecich,
– Zawsze weryfikuj adres nadawcy wiadomości e-mail,
– Zawsze zabezpieczaj hasłem lub szyfruj wiadomości e-mail zawierające poufne dane – hasło przekazuj innym sposobem komunikacji,
– Cyklicznie wykonuj kopie zapasowe ważnych danych,
– Zawsze miej włączoną – zaporę sieciową „firewall”
– Zwracaj uwagę na komunikaty wyświetlane na ekranie komputera,
