Cyberbezpieczeństwo

Cyberbezpieczeństwo

Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kępnie zgodnie z decyzją Ministra Zdrowia z dnia 04.07.22 r. został ustanowiony operatorem usługi kluczowej, o którym mowa w art. 5 ust. 2, art.41 oraz art. 42 ust. 1 pkt 2 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z późn. zm.). Usługa kluczowa to udzielenie świadczenia opieki zdrowotnej przez podmiot leczniczy oraz obrót i dystrybucja produktów leczniczych.

Za operatora usługi kluczowej uznaje się podmiot, jeżeli:

  1. świadczy usługę kluczową,
  2. świadczenie tej usługi zależy od systemów informacyjnych,
  3. incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Operator usługi kluczowej ma podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.

W Szpitalu wdrożono Politykę Bezpieczeństwa Informacji oraz System Zarządzania Bezpieczeństwem Informacji. Szpital wdrożył i wykorzystuje system zarządzania bezpieczeństwem informacji, celem wyeliminowania zagrożeń mogących mieć niekorzystny wpływ na proces świadczenia usługi kluczowej.

Na System Zarządzania Bezpieczeństwem Informacji (SZBI) składają się: polityka, procedury, instrukcje, wytyczne, związane zasoby i działania, wspólnie zarządzane przez Szpital dążący do ochrony jego aktywów informacyjnych. SZBI jest systematycznym podejściem do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia bezpieczeństwa informacji w Szpitalu w celu osiągnięcia celów biznesowych. Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kępnie egzekwuje stosowanie wewnętrznych procedur i instrukcji. Każda osoba mająca dostęp do informacji zobowiązana, jest zgodnie z posiadanymi uprawnieniami do zapoznania się z Polityką Bezpieczeństwa Informacyjnego oraz złożenia stosownego oświadczenie, potwierdzającego znajomość jej treści oraz przestrzegania jej zapisów.

Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kępnie zobowiązany jest do szacowania ryzyka dla swoich usług kluczowych, zbierania informacji o zagrożeniach i podatnościach, stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłaszania incydentów poważnych do CSIRT NASK. Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kępnie, których realizacja ma bezpośredni wpływ na świadczenie usługi cyfrowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a tym samym na określenie poziomu akceptowalności ryzyka.

Reakcja na niepożądane zdarzenia (incydenty) lub podatności:

Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Szpitala:
1) w przypadku zauważenia:

  1. a) próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;
    b) powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;
    c) innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług, proszony jest o zgłoszenia niezwłocznie zaobserwowanej sytuacji pod nr tel. 62 78 27 409 lub przesłanie jej opisu na adres e-mail: informatyk@szpital.kepno.pl. Wybór środka przekazu zgłoszenia powinien być adekwatny do zaistniałej sytuacji. Wyboru dokonuje zgłaszający.

2) w przypadku zauważenia próby pozyskania w sposób nielegalny danych o innej osobie, proszony jest o zgłoszenie zaobserwowanej sytuacji do Inspektora Ochrony Danych, e-mail: iodo@szpital.kepno.pl

  1. Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem.

Ponadto dostrzegający:

1) zdarzenie, incydent bezpieczeństwa informacji,
2) nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,
3) próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
4) inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,

jest zobowiązany zaobserwowaną sytuację niezwłocznie pod nr tel. 62 78 27 409 lub przesłanie jej opisu na adres e-mail: informatyk@szpital.kepno.pl. Wybór środka przekazu zgłoszenia powinien być adekwatny do zaistniałej sytuacji. Wyboru dokonuje zgłaszający.

Zabrania się użytkownikowi zgłaszającemu problem lub naruszenie bezpieczeństwa wykonywania jakichkolwiek działań „na własną rękę” rozwiązujących problem, z wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju. Za szybką reakcję na pojawiające się incydenty z góry dziękujemy.

Do jednych z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania na stronie internetowej Szpitala podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa. Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.

Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z późn. zm.).

  • Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:

Phishing - Przestępcy tworzą fałszywe strony Internetowe, żeby wyłudzić Twoje dane (loginy i hasła). Najczęściej wysyłają maile zawierające odnośniki do tych stron. 

Jak się chronić? 
Dokładnie weryfikuj adres witryny zanim się na niej zalogujesz. Nie wpisuj swojego loginu i hasła na podejrzanych stronach internetowych. 

Malware / ransomware - Często stosowane są ataki z użyciem szkodliwego oprogramowania (malware, ransomware itp.), hakerzy mogą wysyłać złośliwe oprogramowanie za pośrednictwem e-mail, dołączonego do e-mail załącznika. 

Jak się chronić? 
Nie otwieraj podejrzanych wiadomości oraz załączników, ponieważ w przypadku instalacji złośliwego oprogramowania na Twoim urządzeniu, hakerzy mogą przejąć dostęp np. do konta w Twoim banku. 

Vishing - Przestępcy mogą do Ciebie zadzwonić i podawać się za pracownika Szpitala, instytucji np. SANEPID, Policji, Twojego przełożonego i prosić Cię o przekazanie Twojego loginu, hasła, nr PESEL, nr dowodu osobistego. Podanie tych danych może skutkować kradzieżą Twojej tożsamości, umożliwieniem przestępcy zalogowania się do Systemu. 

Jak się chronić? 
Nigdy nie podawaj swoich danych, dopóki nie upewnisz się z kim rozmawiasz. 

Podstawowym elementem bezpieczeństwa w sieci Internet jest zastosowanie zasady ograniczonego zaufania i podwyższonej ostrożności. 

  • Używaj oprogramowania antywirusowego i zapory sieciowej (firewall). 
  • Korzystaj wyłącznie z legalnego oprogramowania. 
  • Staraj się nie korzystać z sieci publicznych, jeżeli logujesz się do systemu. 
  • Regularnie aktualizuj oprogramowanie oraz bazy danych wirusów. 
  • Nie otwieraj podejrzanych e-maili oraz załączników. Zwracaj szczególną uwagę na 
    załączniki posiadające kilka rozszerzeń plików jednocześnie np. faktura.pdf.zip, dokument.jar.doc. 
  • Nie korzystaj ze stron, które nie mają ważnego certyfikatu (np. brak protokołu https) 
    chyba, że masz stuprocentową pewność z innego źródła, że strona taka jest bezpieczna. 
  • Nie zostawiaj swoich danych osobowych w niesprawdzonych serwisach i na stronach, 
    zawsze czytaj dokładnie Regulaminy i Polityki, weryfikuj na co wyrażasz zgodę. 
  • Nie wysyłaj e-mailem poufnych danych bez ich szyfrowania. 
  • Pamiętaj, że Szpital, bank czy urząd nie wysyła e-maili do swoich pacjentów/klientów/interesantów z prośbą o podanie hasła lub loginu do jakichkolwiek systemów w celu ich weryfikacji. 
  • Regularnie aktualizuj system operacyjny na Twoim komputerze. 
  • Aplikacje i programy pobieraj wyłącznie z oficjalnych źródeł. 

 

W celu ochrony przed zagrożeniami należy stosować zabezpieczenia:

  • Blokuj ekran swojego urządzenia (np. hasło, PIN). 
  • Włącz ustawienia blokady ekranu Twojego urządzenia. 
  • Wpisując swoje hasło, pin, login zweryfikuj, czy nikt Cię nie nagrywa lub nie widzi tego, co wpisujesz. 
  • Nie udostępniaj nikomu swojego loginu i hasła do systemu. 
  • Unikaj stosowania haseł, które można łatwo z Tobą powiązać. 
  • Hasło powinno mieć co najmniej 8 znaków w tym litery, cyfry i znaki specjalne. 
  • Nie zapisuj haseł na kartkach, w notatniku 
  • Stosuj różne hasła w różnych systemach. 
  • Unikaj logowania do systemów z cudzych urządzeń. 
  • Staraj się nie zapisywać haseł w pamięci przeglądarki. 
  • Przed sprzedażą / oddaniem urządzenia innej osobie, usuń z niego wszystkie dane. 
  • Jeżeli masz taką możliwość korzystaj z nakładek prywatyzujących na monitor (również w urządzeniu mobilnym) w miejscach publicznych. 
  • Smartfony i tablety coraz częściej zastępują inne urządzenia osobiste. Pamiętaj, że podobnie jak domowe komputery, nasze urządzenia mobilne wymagają odpowiedniej ochrony.  
  • Instaluj aktualizacje aplikacji i systemu operacyjnego w swoim urządzeniu mobilnym. 
  • Pobieraj i instaluj aplikacje wyłącznie z oficjalnych sklepów z aplikacjami. 
  • Nie uruchamiaj linków z wiadomości SMS lub e-mail, jeśli nie masz pewności, że pochodzą z bezpiecznego i zaufanego źródła. 
  • Jeżeli nie korzystasz w danej chwili z Wi-Fi lub Bluetooth, wyłącz je.
  • Używaj aktualnego oprogramowania antywirusowego – stosuj ochronę w czasie rzeczywistym, włącz aktualizacje automatyczne,
  • Skanuj oprogramowaniem antywirusowym wszystkie urządzenia podłączane do komputera – pendrivy, płyty, karty pamięci,
  • Aktualizuj system operacyjny i posiadane oprogramowanie,
  • Nie otwieraj plików nieznanego pochodzenia,
  • Wszystkie pobrane pliki skanuj programem antywirusowym,
  • Nie korzystaj ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa,
  • Cyklicznie skanuj komputer oprogramowaniem antywirusowym i sprawdzaj procesy sieciowe,
  • Nie odwiedzaj stron oferujących darmowe filmy, muzykę albo łatwe pieniądze – najczęściej na takich stronach znajduje się złośliwe oprogramowanie,
  • Nie podawaj swoich danych osobowych na stronach internetowych, co do których nie masz pewności, że nie są one widoczne dla osób trzecich,
  • Zawsze weryfikuj adres nadawcy wiadomości e-mail,
  • Zawsze zabezpieczaj hasłem lub szyfruj wiadomości e-mail zawierające poufne dane – hasło przekazuj innym sposobem komunikacji,
  • Cyklicznie wykonuj kopie zapasowe ważnych danych,
  • Zawsze miej włączoną – zaporę sieciową „firewall”
  • Zwracaj uwagę na komunikaty wyświetlane na ekranie komputera.

 

Projekt i wykonanie: STUDIO REKLAMY grabek.net | Script logo
×

Zaproszenie do wzięcia udziału w ankiecie


Zapraszamy do udziału w badaniu ankietowym dotyczącym jakości opieki w naszym szpitalu.
Udział w badaniu pozwoli Państwu mieć realny wpływ na jakość leczenia i rozwój naszej jednostki.
Dziękujemy!
Ankieta jest dostępna poprzez stronę internetową:
https://www.cmj.org.pl/ankiety/kepno

lub po zeskanowaniu poniższego kodu QR.

Badanie realizuje Centrum Monitorowania Jakości w Ochronie Zdrowia.


`