Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kraśniku zgodnie z decyzją Ministerstwa Zdrowia został ustanowiony operatorem usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa.
Usługa kluczowa to:
udzielanie świadczeń opieki zdrowotnej przez podmiot leczniczy,
obrót i dystrybucja produktów leczniczych.
Szpital, jako operator usługi kluczowej, realizuje zadania zgodnie z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa poprzez m.in. zapewnienie pacjentom oraz podmiotom współpracującym dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.
DOBRE PRAKTYKI W ZAKRESIE BEZPIECZEŃSTWA TELEINFORMATYCZNEGO:
BEZPIECZNE KORZYSTANIE Z SIECI INTERNET
Podstawowym elementem bezpieczeństwa w sieci Internet jest zastosowanie zasady ograniczonego zaufania i podwyższonej ostrożności
Pamiętajmy o zainstalowaniu i aktualizowaniu programu ochrony przed złośliwym oprogramowaniem. Program powinien chronić przed wirusami i phishingiem
Na bieżąco aktualizujemy system operacyjny i aplikacje użytkowe
Nie odwiedzamy stron powszechnie uznawanych za niebezpieczne
Nie klikamy na linki do nieznanych stron internetowych
Zwracamy uwagę na komunikaty programu antywirusowego i przeglądarek internetowych
Ograniczamy do minimum podawanie swoich danych osobowych
Nie podawaj swoich danych osobowych na stronach internetowych, co do których nie masz pewności, że nie są one widoczne dla osób trzecich
Nie korzystaj ze stron, które nie mają ważnego certyfikatu (np. brak protokołu https)
Nie zostawiaj swoich danych osobowych w niesprawdzonych serwisach i na stronach
zawsze czytaj dokładnie Regulaminy i Polityki, weryfikuj na co wyrażasz zgodę
Nie wysyłaj e-mailem poufnych danych bez ich szyfrowania
Pamiętaj, że Szpital, bank, czy urząd nie wysyła e-maili do swoich pacjentów/klientów/interesantów z prośbą o podanie hasła lub loginu do jakichkolwiek systemów w celu ich weryfikacji
BEZPIECZNE KORZYSTANIE Z POCZTY ELEKTRONICZNEJ
Zwracamy szczególna uwagę na nadawcę wiadomości
Zwracamy szczególną uwagę na poprawność adresata (adresatów) poczty elektronicznej
Nie klikamy na linki umieszczone w załączniku poczty
Nie wysyłanie danych osobowych, logowania, karty kredytowej w niezabezpieczonej treści wiadomości e-mail; żaden bank czy urząd nie wysyła do swoich klientów e-maili z prośbą o podanie hasła czy loginu w celu ich weryfikacji
W przypadku przesyłania ważnych (wrażliwych) wiadomości stosujemy mechanizmy szyfrowania (np. zabezpieczony hasłem plik *.zip, niekomercyjne aplikacje szyfrujące)
BEZPIECZNE KORZYSTANIE Z URZĄDZEŃ MOBILNYCH
Zabezpieczamy bezpiecznym hasłem dostęp do urządzenia :
▪ Laptop – zakładamy hasło do BIOS/UEFI, oraz hasło do systemu operacyjnego
▪ Smartphone – hasło do PIN, drugi poziom zabezpieczeń (hasło obrazkowe, biometryka)
Na bieżąco aktualizujemy system operacyjny urządzenia oraz aplikacje użytkowe
Uruchamiany firewalla jeżeli jest wyłączony
Instalujemy oprogramowanie antywirusowe, używamy i na bieżąco aktualizujemy
Korzystamy z możliwości szyfrowania plików, katalogów lub całego dysku, dysków usb pendrive
Skanujemy oprogramowaniem antywirusowym wszystkie urządzenia podłączane do komputera – pendrive, płyty, karty pamięci
Wszystkie pobrane pliki skanuj programem antywirusowym
Nie otwieraj plików nieznanego pochodzenia
Nie korzystaj ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa
W przypadku aplikacji na smartphone sprawdzamy do jakich usług aplikacja będzie miała dostęp oraz jaka jest wiarygodność producenta aplikacji
Regularnie tworzymy kopie zapasowe ważnych danych
Zachowujemy szczególną ostrożność przy korzystaniu z otwartych, publicznych sieci wifi
Szczególna uwagę zwracamy na podejrzane SMS lub MMS
Zwracaj uwagę na komunikaty wyświetlane na ekranie komputera
Nieotwieranie plików nieznanego pochodzenia
BEZPIECZNE HASŁA
Przy tworzeniu hasła wykorzystujemy cztery typy znaków (wielkie i małe litery, cyfry i znaki specjalne)
Nie tworzymy haseł składających się z charakterystycznych cech jak np. imię, nazwisko, data urodzenia itp
Nie zapisujemy haseł w widocznym miejscu na karteczkach dostępnych dla osób postronnych
Nie należny udostępniać nikomu swojego loginu i hasła do systemu
Nie przesyłamy SMS lub za pomocą poczty elektronicznej haseł do systemów bankowości elektronicznej. Banki nigdy nie proszą o przesłanie hasła
Najważniejsze informacje dotyczące najczęściej występujących cyberzagrożeń oraz sposoby ochrony przed nimi:
Na co uważać?
Phishing
Przestępcy tworzą fałszywe strony Internetowe, żeby wyłudzić Twoje dane (loginy i hasła). Najczęściej wysyłają maile zawierające odnośniki do tych stron.
Jak się chronić? Dokładnie weryfikuj adres witryny zanim się na niej zalogujesz. Nie wpisuj swojego loginu i hasła na podejrzanych stronach internetowych.
Malware/ransomware
Często stosowane są ataki z użyciem szkodliwego oprogramowania (malware, ransomware itp.), hakerzy mogą wysyłać złośliwe oprogramowanie za pośrednictwem e-mail, dołączonego do e-mail załącznika.
Jak się chronić? Nie otwieraj podejrzanych wiadomości oraz załączników, ponieważ w przypadku instalacji złośliwego oprogramowania na Twoim urządzeniu, hakerzy mogą przejąć dostęp np. do konta w Twoim banku.
Vishing
Przestępcy mogą do Ciebie zadzwonić i podawać się za pracownika Szpitala, instytucji np. SANEPID, Policji, Twojego przełożonego i prosić Cię o przekazanie Twojego loginu, hasła, nr PESEL, nr dowodu osobistego. Podanie tych danych może skutkować kradzieżą Twojej tożsamości, umożliwieniem przestępcy zalogowania się do Systemu.
Jak się chronić? Nigdy nie podawaj swoich danych dopóki nie upewnisz się z kim rozmawiasz.
PODSTAWOWE POJĘCIA:
1) cyberbezpieczeństwo – odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy
2) usługa kluczowa – usługa, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych
3) zagrożenie cyberbezpieczeństwa – potencjalna przyczyna wystąpienia incydentu
4) zarządzanie incydentem – obsługa incydentu, wyszukiwanie powiązań między
incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków
wynikających z obsługi incydentu
5) zarządzanie ryzykiem – skoordynowane działania w zakresie zarządzania
cyberbezpieczeństwem w odniesieniu do oszacowanego ryzyka
6) incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo
7) obsługa incydentu – czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu
Rodzaje incydentów:
Incydent krytyczny - incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi;
Incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej;
Incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej;
Incydent o podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;
Incydent zwykły - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo.
Wszelkie próby podszywania się pod Pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala należy zgłaszać na poniższy adres e-mail:
ouk@spzoz.krasnik.pl w celu zapobiegania incydentom na wczesnym etapie ich rozwoju.
PORADNIKI:
Artykuły z cyberbezpieczeństwa: www.cert.pl
Porady z cyberbezpieczeństwa: www.cert.pl/ouch
Cyberhigiena: www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo