Cyberbezpieczeństwo
Szpital Powiatowy im. dr Tytusa Chałubińskiego w Zakopanem, jako operator usługi kluczowej, realizuje zadania zgodnie z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U z 2018 r, poz. 1560) poprzez m.in. zapewnienie pacjentom oraz podmiotom współpracującym dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.
Szpital wdrożył i eksploatuje system zarządzania bezpieczeństwem informacji, celem minimalizowania ryzyka zmaterializowania się zagrożeń mających niekorzystny wpływ na proces świadczenia usługi kluczowej. W celu zapewnienia ciągłego monitoringu skuteczności wdrożonych zabezpieczeń organizacyjnych, technicznych, zmian w otoczeniu prawnym i technologii, Szpital stworzył podstawowe grupy celów ochrony:
- Bezpieczeństwo fizyczne
- Bezpieczeństwo dostaw niezbędnych mediów
- Bezpieczeństwo współpracy z dostawcami towarów i usług
- Bezpieczeństwo teleinformatyczne
- Bezpieczeństwo osobowe
- Bezpieczeństwo komunikacji
Takie podejście ma zapewnić możliwość przypisania zadań do odpowiednich ról w szpitalu, przy jednoczesnym uwzględnieniu wpływu podmiotów zewnętrznych na poziom bezpieczeństwa. Dla powyższych celów bezpieczeństwa operator usługi kluczowej prowadzi systematyczne analizy podatności, incydentów, które mogą zakłócić ciągłość usługi lub wpłynąć na utratę podstawowych atrybutów bezpieczeństwa przetwarzanych informacji.
Bezpieczeństwo fizyczne
Ustalono spójne, proceduralne zasady ochrony pomieszczeń istotnych z punktu widzenia bezpieczeństwa procesu świadczenia usługi kluczowej. W Szpitalu ochronę fizyczną zapewniają w szczególności systemy kontroli dostępu (zamki mechaniczne i elektroniczne), system monitoringu, system identyfikacji pracowników oraz system przeciwpożarowy (dla ochrony przed ogniem). Ponadto w Szpitalu obowiązują procedury alarmowe na wypadek zagrożeń różnego rodzaju.
Ze względu na dostęp osób trzecich (pacjenci, odwiedzający, dostawcy i podwykonawcy usług) na teren Szpitala w trybie 24 h, służby ochrony muszą podejmować specjalne środki wobec osób próbujących uzyskać dostęp do pomieszczeń i obszarów o ograniczonym dostępie. Wszystkie osoby korzystające z usług Szpitala lub odwiedzające pacjentów uprasza się o szczególny nadzór nad bagażami (torby, walizki).
Bezwzględnie na terenie szpitala obowiązuje zakaz palenia wyrobów tytoniowych (w tym papierosów elektronicznych). Złamanie niniejszego zakazu może wywołać uruchomienie systemu przeciwpożarowego, przyjazd służb straży pożarnej i narazić na niepotrzebny stres pacjentów i osoby przebywające na terenie Szpitala. Naruszenie tego zakazu zagrożone jest karą grzywny.
Bezpieczeństwo dostaw niezbędnych mediów
Szpital został wyposażony w redundantne zabezpieczenia na wypadek zakłóceń lub utraty zasilania, ze względu na krytyczność systemów informacyjnych, urządzeń i narzędzi wspomagających proces utrzymania pacjenta przy życiu. Ponadto, podpisane zostały stosowne umowy serwisowe oraz przyjęto jednolity system zgłaszania awarii odpowiednim służbom technicznym i serwisowym. Priorytetowym zadaniem jest informowanie na wczesnym etapie o zdarzeniach mogących mieć wpływ na ciągłość zasilania, tras kablowych telekomunikacyjnych i sieciowych.
Bezpieczeństwo współpracy z dostawcami towarów i usług
Każdy współpracownik, w tym dostawca towarów i usług, ze względu na możliwe powiązanie z procesem świadczenia usługi kluczowej jest badany pod kątem zaufania i zgodności prawnej. Przed udzieleniem informacji na temat infrastruktury Szpitala, obowiązkiem obu stron jest podpisanie umowy poufności, zobowiązującej obie strony do zachowania, bezterminowo, wiedzy o zabezpieczeniach organizacyjnych, technicznych, infrastrukturze Szpitala.
Szpital wdrożył system zarządzania bezpieczeństwem informacji i egzekwuje stosowanie wewnętrznych procedur i instrukcji. Zagrożeniem dla aktywów Szpitala może być dostawca, który nie wdrożył w swojej organizacji systemowego podejścia do ochrony informacji. Wobec takich podmiotów Szpital, w umowach, zastrzega sobie prawo audytu drugiej strony w celu zbadania stanu bezpieczeństwa w obszarze dotyczącym przedmiotu umowy.
Bezpieczeństwo teleinformatyczne
Usługa kluczowa Szpitala ściśle zależy od systemów informacyjnych. Wszystkie obecne rozwiązania projektuje się tak aby zapewnić redundantność krytycznych elementów infrastruktury, a także poufność, integralność, dostępność, autentyczność, niezaprzeczalność i rozliczalność w korzystaniu z systemów przechowywania i przetwarzania informacji. Szpital wdrożył i skutecznie wykorzystuje zaawansowane technologie sieciowe i systemowe w tym firewalle, systemy nadzoru, systemu backup (kopii zapasowej).
Bezpieczeństwo osobowe
Każdy pracownik oraz tam gdzie zasadne współpracownik Szpitala jest świadomy zapisów Polityki Bezpieczeństwa Informacji oraz swoich obowiązków w tym zakresie. W odniesieniu do zagrożeń wynikających z braku przestrzegania zapisów Polityki Bezpieczeństwa Informacji i dobrych praktyk w zakresie bezpiecznego przetwarzania informacji Szpital podejmuje działania uświadamiające zagrożenia, informując pracowników Szpitala jak i współpracowników o wszelakich próbach ataków środowisk przestępczych na zasoby informacyjne Szpitala.
Bezpieczeństwo w tym obszarze również zależy od naszych Pacjentów, stąd wprowadziliśmy zabezpieczenia organizacyjne w celu zachowania kontroli nad procesem przetwarzania danych naszych pacjentów od chwili ich pozyskania aż do wydania pacjentowi. Ze względu na próby wyłudzeń informacji, podawania się za krewnych, bliskie osoby, Szpital wdrożył zabezpieczenia minimalizujące ryzyko pozyskania przez osoby niepowołane informacji o zdrowiu swoich pacjentów.
Bezpieczeństwo komunikacji
Kierownictwo Szpitala, personel z najwyższą uwagą traktuje informacje wymieniane z pacjentami, wykonawcami. W celu ich właściwiej ochrony cała komunikacja elektroniczna realizowana w sieciach publicznych, nie będących pod nadzorem Szpitala, jest szyfrowana aby zmniejszyć prawdopodobieństwo nieuprawnionego dostępu do informacji.
Połączenie pomiędzy poszczególnymi jednostkami Szpitala zbudowano tak aby zapewnić redundancję oraz bezpieczeństwo przesyłanych danych. Szpital korzysta z usług zaufanych dostawców Internetu celem zmniejszenia prawdopodobieństwa błędów po stronie dostawcy, które mogłyby wpłynąć na ciągłość usług szpitala, utratę komunikacji lub bezpieczeństwa transmitowanych informacji.
Pacjent, współpracownik Szpitala, który w procesie komunikacji elektronicznej nie będzie w stanie udowodnić swojej tożsamości nie będzie obsłużony. W takich przypadkach wskazany będzie kontakt osobisty lub inny właściwy dla przedmiotu kontaktu, kanał komunikacyjny.
Dodatkowe materiały
Realizując zadania wynikające z ustawy o krajowym systemie cyberbezpieczeństwa przekazujemy Państwu dostęp do informacji pozwalających na zrozumienie zagrożeń wynikających z cyberbezpieczeństwa oraz jak stosować sposoby zabezpieczenia się przed tymi zagrożeniami.
Niektóre sposoby na uniknięcie zagrożeń:
- instalacja, użytkowanie i bieżące aktualizowanie oprogramowania antywirusowego i spyware;
- aktualizowanie systemu operacyjnego urządzenia oraz aplikacji na nim zainstalowanych;
- sprawdzanie plików pobranych z Internetu za pomocą programu antywirusowego;
- nieotwieranie plików nieznanego pochodzenia;
- korzystanie ze stron internetowych posiadających ważny certyfikat bezpieczeństwa;
- regularne skanowanie komputera i sprawdzanie procesów sieciowych;
- uruchomienie firewalla;
- każdorazowa weryfikacja adresu nadawcy wiadomości e-mail;
- niewysyłanie danych osobowych, logowania, karty kredytowej w niezabezpieczonej treści wiadomości e-mail; żaden bank czy urząd nie wysyła do swoich klientów e-maili z prośbą o podanie hasła czy loginu w celu ich weryfikacji;
- unikanie odwiedzin stron zawierających darmowe pliki muzyczne, obrazy, filmy;
- regularne tworzenie kopii zapasowych ważnych danych;
- baczne obserwowanie i czytanie komunikatów pojawiających się na ekranie komputera.
Poradniki:
Portal, którego celem jest podnoszenie poziomu świadomości społecznej i promowanie bezpieczeństwa w cyberprzestrzeni: www.stojpomyslpolacz.pl
Biuletyn Ouch! – darmowy zestaw porad bezpieczeństwa dla użytkowników komputerów: www.cert.pl/ouch
Artykuły z zakresu cyberbezpieczeństwa: www.cert.pl
Cyberhigiena dla każdego – serwis RP
Poradnik bezpieczny pracownik w sieci – poradnik Ministerstwa Cyfryzacji