Cyberbezpieczeństwo

Operator usługi kluczowej

Wojewódzki Szpital Specjalistyczny w Legnicy zgodnie z decyzją Ministra Zdrowia został ustanowiony operatorem usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2022 r. poz. 1863).

Usługi kluczowe świadczone przez Szpital:

  • Udzielanie świadczeń opieki zdrowotnej przez podmiot leczniczy
  • Obrót i dystrybucja produktów leczniczych

Za operatora usługi kluczowej uznaje się podmiot, jeżeli:

  • Świadczy usługę kluczową
  • Świadczenie tej usługi zależy od systemów informacyjnych
  • Incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora

Szpital jako operator usługi kluczowej podejmuje odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.

Czym jest cyberbezpieczeństwo?

Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa).

Kluczowe elementy cyberbezpieczeństwa:

  • Poufność danych – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom
  • Integralność danych – właściwość polegająca na zapewnieniu dokładności i kompletności danych
  • Dostępność danych – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu
  • Autentyczność danych – właściwość polegająca na zapewnieniu, że przetwarzane dane są prawdziwe

Najpopularniejsze zagrożenia w cyberprzestrzeni

  • Ataki z użyciem szkodliwego oprogramowania (malware, ransomware) – hakerzy mogą wysyłać złośliwe oprogramowanie za pośrednictwem e-mail lub załączników
  • Kradzieże tożsamości – przejęcie danych osobowych w celu podszycia się pod inną osobę
  • Phishing – przestępcy tworzą fałszywe strony internetowe, żeby wyłudzić dane (loginy i hasła)
  • Vishing – wyłudzanie danych przez telefon, podszywanie się pod pracowników instytucji
  • Ataki mające na celu wyłudzenie lub zniszczenie danych
  • Blokada dostępu do usług – ataki DDoS paraliżujące systemy
  • Niechciana poczta (SPAM)
  • Socjotechnika – manipulacja psychologiczna w celu wyłudzenia informacji

Dobre praktyki w zakresie bezpieczeństwa

Bezpieczne korzystanie z Internetu

  • Stosuj zasadę ograniczonego zaufania i podwyższonej ostrożności
  • Zainstaluj i na bieżąco aktualizuj program antywirusowy
  • Aktualizuj system operacyjny i aplikacje użytkowe
  • Nie odwiedzaj stron powszechnie uznawanych za niebezpieczne
  • Nie klikaj na linki do nieznanych stron internetowych
  • Zwracaj uwagę na komunikaty programu antywirusowego i przeglądarek
  • Ograniczaj do minimum podawanie swoich danych osobowych
  • Nie korzystaj ze stron bez ważnego certyfikatu (brak protokołu https://)
  • Zawsze czytaj dokładnie Regulaminy i Polityki prywatności

Bezpieczne korzystanie z poczty elektronicznej

  • Zwracaj szczególną uwagę na nadawcę wiadomości
  • Nie klikaj na linki umieszczone w podejrzanych wiadomościach
  • Nie wysyłaj danych osobowych w niezabezpieczonej treści e-mail
  • Pamiętaj: Szpital, bank czy urząd nie wysyła e-maili z prośbą o podanie hasła lub loginu
  • W przypadku przesyłania ważnych informacji stosuj szyfrowanie
  • Nie otwieraj plików nieznanego pochodzenia
  • Skanuj wszystkie pobrane pliki programem antywirusowym

Bezpieczne hasła

  • Wykorzystuj cztery typy znaków: wielkie i małe litery, cyfry i znaki specjalne
  • Nie twórz haseł składających się z charakterystycznych cech (imię, nazwisko, data urodzenia)
  • Nie zapisuj haseł w widocznym miejscu
  • Nie udostępniaj nikomu swojego loginu i hasła
  • Nie przesyłaj haseł SMS-em ani e-mailem
  • Stosuj różne hasła do różnych kont
  • Włącz uwierzytelnianie wieloskładnikowe (dwuskładnikowe), gdy to możliwe

Bezpieczne korzystanie z urządzeń mobilnych

  • Zabezpiecz urządzenie silnym hasłem lub biometrią
  • Instaluj aplikacje wyłącznie z oficjalnych sklepów (Google Play, App Store)
  • Aktualizuj system operacyjny i aplikacje
  • Używaj oprogramowania antywirusowego
  • Regularnie twórz kopie zapasowe ważnych danych
  • Zachowuj ostrożność przy korzystaniu z publicznych sieci Wi-Fi
  • Zwracaj szczególną uwagę na podejrzane SMS lub MMS

WAŻNE! Pracownicy Szpitala nigdy nie proszą pacjentów o podanie hasła, loginu, numeru PESEL czy innych danych poufnych przez telefon, e-mail lub SMS. W razie wątpliwości, przerwij kontakt i skontaktuj się bezpośrednio ze Szpitalem.

Zgłaszanie incydentów i zagrożeń

Każdy pacjent, osoba odwiedzająca chorych, pracownik lub współpracownik Szpitala w przypadku zauważenia:

  • Próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar
  • Powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych
  • Prób podszywania się pod pacjenta
  • Fałszywych wiadomości mailowych
  • Innych zdarzeń budzących wątpliwości w zakresie bezpieczeństwa informacji

proszony jest o niezwłoczne zgłoszenie zaobserwowanej sytuacji.

Kontakt w sprawie cyberbezpieczeństwa:
E-mail: it@szpital.legnica.pl
Telefon: +48 76 721 11 30

Użytkownik zgłaszający problem nie powinien wykonywać jakichkolwiek działań „na własną rękę” rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. W miarę możliwości należy zabezpieczyć materiał dowodowy.

System Zarządzania Bezpieczeństwem Informacji

Szpital obecnie wdraża System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie z międzynarodowym standardem ISO/IEC 27001. System ten obejmuje:

  • Politykę bezpieczeństwa informacji
  • Procedury i instrukcje w zakresie cyberbezpieczeństwa
  • Szacowanie ryzyka wystąpienia incydentów
  • Środki techniczne i organizacyjne zabezpieczeń
  • Zarządzanie incydentami
  • Regularne audyty bezpieczeństwa
  • Współpracę z CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego)

Dodatkowe źródła informacji