Szpital Specjalistyczny im. Henryka Klimontowicza w Gorlicach (zwany dalej „Szpitalem”) zgodnie z decyzją Ministra Zdrowia został ustanowiony Operatorem Usługi Kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560), w zakresie:
- udzielanie świadczenia opieki zdrowotnej przez podmiot leczniczy,
- obrót i dystrybucja produktów leczniczych.
Usługa kluczowa to udzielenie świadczenia opieki zdrowotnej przez podmiot leczniczy.
Za Operatora Usługi Kluczowej uznaje się podmiot, jeżeli:
- świadczy usługę kluczową,
- świadczenie tej usługi zależy od systemów informacyjnych,
- incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Jednym z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania
na stronie internetowej podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa.
Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.
Operator Usługi Kluczowej ma podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.
W Szpitalu wdrożono Politykę Bezpieczeństwa Informacji oraz wdrożono System Zarządzania Bezpieczeństwem Informacji zgodnego z ISO 27001 w zakresie ustawy
o KSC (Krajowy System Cyberbezpieczeństwa).
Na System Zarządzania Bezpieczeństwem Informacji (SZBI) składają się: polityka, procedury, instrukcje, wytyczne, związane zasoby i działania, wspólnie zarządzane przez Szpital dążące do ochrony jego aktywów informacyjnych.
SZBI jest systematycznym podejściem do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia bezpieczeństwa informacji
w Szpitalu w celu osiągnięcia celów biznesowych.
W Szpitalu egzekwowane jest stosowanie wewnętrznych procedur i instrukcji. Każda osoba (pracownik/ firma zewnętrzna współpracująca ze szpitalem) mająca dostęp do informacji zobowiązana jest do zapoznania się z Polityką Bezpieczeństwa Informacji i stosowania jej postanowień w zakresie adekwatnym do pełnionej roli.
Szpital zobowiązany jest do szacowania ryzyka dla swoich usług kluczowych, zbierania informacji o zagrożeniach i podatnościach, stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłaszania incydentów poważnych do Centrum Nadzoru CSIRT/NASK.
Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Szpitala, których realizacja ma bezpośredni wpływ na świadczenie usługi kluczowej w rozumieniu ustawy
z dnia 5 lipca 2018 r. o KSC, a tym samym na określenie poziomu akceptowalności ryzyka.
W celu powiązania i skoordynowania działań w zakresie bezpieczeństwa informacji oraz skutecznego osiągania założonych celów, powołano:
- Pełnomocnika Dyrektora ds. Cyberbezpieczeństwa
- Zespół ds. Cyberbezpieczeństwa i ochrony danych
W celu zapewnienia ciągłego monitoringu skuteczności wdrożonych zabezpieczeń organizacyjnych, technicznych, zmian w otoczeniu prawnym i technologii,
Szpital stworzył podstawowe grupy celów ochrony.
- Bezpieczeństwo fizyczne
- Bezpieczeństwo dostaw niezbędnych mediów
- Bezpieczeństwo współpracy z dostawcami towarów i usług
- Bezpieczeństwo technologiczne
- Bezpieczeństwo osobowe
- Bezpieczeństwo komunikacji
Takie podejście ma zapewnić możliwość przypisania zadań do odpowiednich ról w szpitalu, przy jednoczesnym uwzględnieniu wpływu podmiotów zewnętrznych
na poziom bezpieczeństwa. Dla powyższych celów bezpieczeństwa Operator Usługi Kluczowej prowadzi systematyczne analizy podatności, incydentów,
które mogą zakłócić ciągłość usługi lub wpłynąć na utratę podstawowych atrybutów bezpieczeństwa przetwarzanych informacji.
|
Bezpieczeństwo fizyczne
Oddziały Szpitala mieszczą się w kilku lokalizacjach, dla których ustalono spójne, proceduralne zasady ochrony pomieszczeń istotnych z punktu widzenia bezpieczeństwa procesu świadczenia usługi kluczowej. Ochronę fizyczną zapewniają w szczególności systemy kontroli dostępu (zamki mechaniczne i elektroniczne), system monitoringu wizyjnego budynków szpitala i terenów wokół szpitala oraz system przeciwpożarowy. Ponadto w Szpitalu obowiązują procedury alarmowe
na wypadek zagrożeń różnego rodzaju.
Ze względu na dostęp pacjentów, odwiedzających, dostawców i podwykonawców usług na teren Szpitala konieczne jest podejmowanie środków ostrożności,
w tym weryfikacja osób próbujących uzyskać dostęp do pomieszczeń i obszarów o ograniczonym dostępie.
Wszystkie osoby korzystające z usług Szpitala lub odwiedzające pacjentów uprasza się o szczególny nadzór nad bagażami (torby, walizki).
Pozostawienie, bez opieki, bagażu może wywołać po stronie pracowników szpitala nadmiarowe działania i narazić na niepotrzebny stres pacjentów i osoby przebywające na terenie Szpitala.
W przypadku zauważenia próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia do obszarów o ograniczonym dostępie proszę o pilny kontakt: Pełnomocnik Dyrektora ds. Cyberbezpieczeństwa, tel.: (18) 35-38-539, cyberbezpieczenstwo@szpital.gorlice.pl
|
Bezpieczeństwo dostaw niezbędnych mediów
Ze względu na krytyczność systemów informacyjnych, urządzeń i narzędzi warunkujących proces świadczenia usługi kluczowej, Szpital został wyposażony
w redundantne zabezpieczenia na wypadek zakłóceń lub utraty zasilania. W Szpitalu funkcjonuje system zgłaszania awarii odpowiednim służbom technicznym
i serwisowym. Priorytetowym zadaniem jest informowanie na wczesnym etapie o zdarzeniach mogących mieć wpływ na ciągłość zasilania, tras kablowych telekomunikacyjnych i sieciowych.
W przypadku zauważenia powyżej opisanego zagrożenia, proszę o niezwłoczne poinformowanie: Pełnomocnik Dyrektora ds. cyberbezpieczeństwa, tel.: (18) 35-38-539, cyberbezpieczenstwo@szpital.gorlice.pl
|
Bezpieczeństwo współpracy z dostawcami towarów i usług
Kontrahent, w tym dostawca towarów i usług, ze względu na możliwe powiązanie z procesem świadczenia usługi kluczowej jest badany pod kątem zaufania i zgodności prawnej. Przed udzieleniem informacji na temat infrastruktury Szpitala, obowiązkiem obu stron jest podpisanie umowy poufności, zobowiązującej obie strony
do zachowania, bezterminowo, wiedzy o zabezpieczeniach organizacyjnych, technicznych, infrastrukturze Szpitala.
Kontrahent dostrzegający zdarzenie, incydent bezpieczeństwa informacji jest zobowiązany do zgłoszenia niezwłocznie zaobserwowanej sytuacji do: Pełnomocnik Dyrektora ds. cyberbezpieczeństwa, tel.: (18) 35-38-539, cyberbezpieczenstwo@szpital.gorlice.pl
|
Bezpieczeństwo technologiczne
Świadczenie usługi kluczowej ściśle zależy od systemów informatycznych. Szpital wypełniając obowiązki Operatora Usługi Kluczowej dokonał identyfikacji stosowanych systemów informatycznych oraz związanych z nimi ryzyk. Stosuje się rozwiązania zapewniające redundantność krytycznych elementów infrastruktury, a także poufność, integralność, dostępność, autentyczność, niezaprzeczalność i rozliczalność w korzystaniu z systemów przechowywania i przetwarzania informacji.
Każdy współpracownik dostrzegający nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji jest zobowiązany do zgłoszenia niezwłocznie zaobserwowanej sytuacji do: Pełnomocnik Dyrektora ds. cyberbezpieczeństwa, tel.: (18) 35-38-539, cyberbezpieczenstwo@szpital.gorlice.pl
|
Bezpieczeństwo osobowe
Każdy pracownik oraz tam gdzie zasadne współpracownik Szpitala jest świadomy zapisów Polityki Bezpieczeństwa Informacji oraz swoich obowiązków w tym zakresie. W odniesieniu do zagrożeń wynikających z braku przestrzegania zapisów Polityki Bezpieczeństwa Informacji i dobrych praktyk w zakresie bezpiecznego przetwarzania informacji Szpital podejmuje działania uświadamiające zagrożenia, informując pracowników Szpitala jak i współpracowników o wszelakich próbach naruszeń i ataków na zasoby informacyjne Szpitala.
Bezpieczeństwo w tym obszarze również zależy od naszych Pacjentów, stąd wprowadziliśmy zabezpieczenia organizacyjne w celu zachowania kontroli nad procesem przetwarzania danych naszych pacjentów. Ze względu na próby wyłudzeń informacji, podawania się za krewnych, bliskie osoby, Szpital stosuje zabezpieczenia minimalizujące ryzyko pozyskania przez osoby niepowołane informacji odnośnie danych o zdrowiu pacjentów.
Każdy Pacjent lub współpracownik Szpitala, który będzie świadkiem próby pozyskania w sposób nielegalny danych o innej osobie, proszony jest o zgłoszenie zaobserwowanej sytuacji do Inspektora Ochrony Danych, tel.: (18) 20-26-110, rodo@szpital.gorlice.pl
|
Bezpieczeństwo komunikacji
Kierownictwo Szpitala, personel z najwyższą uwagą traktuje informacje wymieniane z pacjentami, wykonawcami. W celu ich właściwiej ochrony cała komunikacja elektroniczna realizowana w sieciach publicznych, nie będących pod nadzorem Szpitala, jest szyfrowana aby zmniejszyć prawdopodobieństwo nieuprawnionego dostępu do informacji.
Połączenia pomiędzy poszczególnymi budynkami Szpitala realizowane są poprzez redundancję przesyłanych danych.
Szpital korzysta z usług zaufanych dostawców Internetu celem zmniejszenia prawdopodobieństwa błędów po stronie dostawcy, które mogłyby wpłynąć na ciągłość usług szpitala, utratę komunikacji lub bezpieczeństwa transmitowanych informacji.
Ustanowienie nowej ścieżki komunikacji, istotne zmiany w istniejących kanałach komunikacji wymagają formalnej zgody właściwych osób, odpowiadających bezpośrednio przed Dyrekcją Szpitala za właściwe ich funkcjonowanie i bezpieczeństwo.
Wszelkie próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala należy zgłaszać do: Pełnomocnik Dyrektora ds. cyberbezpieczeństwa, tel.: (18) 35-38-539, cyberbezpieczenstwo@szpital.gorlice.pl
w celu zapobiegania incydentom na wczesnym etapie ich rozwoju.
Pacjent, współpracownik Szpitala, który w procesie komunikacji elektronicznej nie będzie w stanie udowodnić swojej tożsamości nie będzie obsłużony.
W takich przypadkach wskazany będzie kontakt osobisty lub inny właściwy dla przedmiotu kontaktu, kanał komunikacyjny.
|
Reakcja na niepożądane zdarzenia (incydenty) lub podatności:
Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Szpitala dostrzegający:
- zdarzenie, incydent bezpieczeństwa informacji,
- nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,
- próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
- inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji.
jest zobowiązany zaobserwowaną sytuację niezwłocznie zgłosić do: Pełnomocnik Dyrektora ds. cyberbezpieczeństwa tel.: (18) 35-38-539, cyberbezpieczenstwo@szpital.gorlice.pl
.
Zabrania się użytkownikowi zgłaszającemu problem lub naruszenie bezpieczeństwa wykonywania jakichkolwiek działań „na własną rękę” rozwiązujących problem,
za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju.
Za szybką reakcję na pojawiające się incydenty z góry dziękujemy.
|
Główne zagrożenie spowodowane przez ataki zewnętrzne i wewnętrzne:
Emisja ujawniająca - polega na ulotności informacji poprzez emisję elektromagnetyczną w systemach informatycznych.
Luki w zabezpieczeniach, np.:
- łatwe do odgadnięcia hasła,
- zapisywanie hasła oraz loginu w miejscach łatwo dostępnych,
- nieaktualne oprogramowanie,
- złe obchodzenie się z informacjami poufnymi,
- słaba świadomość personelu,
- brak ostrożności w obchodzeniu się oprogramowaniem z nieznanych źródeł,
- nieodpowiedzialność producenta.
|
Maskarada – inaczej podszycie (ang. Spoofing). Może mieć katastrofalne skutki, ponieważ omija związki zaufania stworzone na potrzeby autoryzowanego dostępu do systemu. Polega na takim sposobie okazywania informacji w sieci, aby pozostali użytkownicy myśleli, że jest on autoryzowanym użytkownikiem, choć w rzeczywistości jest kimś innym.
|
Nieautoryzowany dostęp – polega na uzyskaniu dostępu do zasobów sieci oraz ich manipulacja przez nieautoryzowanego osobnika.
|
Odmowa świadczenia usługi – jest procesem uniemożliwiającym dostarczenie usług uprawnionym użytkownikom, z powodu chwilowej niedostępności obiektu w sieci lub zniszczenie systemu.
|
Podszywanie się, wprowadzanie w błąd – atak wykorzystujący błąd użytkownika, tak aby uważał, że ma do czynienia np. z właściwą osobą lub zasobem.
|
Tylne wejście – jest nieudokumentowanym wejściem do legalnych programów. Programiści celowo konstruują furtki-alternatywne wejścia w czasie testowania aplikacji. Po wejściu napastnik przejmuje kontrole nad aplikacją.
|
Wirusy komputerowe, programy kryjące aplikacje stworzone w celu wyrządzenia szkody w systemie informatycznym; zalicza się do nich np.:
- Bakteria (ang. Bacteria) – program, którego zadaniem jest wielokrotne uruchomienie swojego kodu w celu pochłonięcia całkowitych zasobów komputera (np. czasu procesora, pamięci operacyjnej, przestrzeni dyskowej) co prowadzi do upadku systemu.
- Bomba czasowa (ang. Time Bomb) – złośliwa aplikacja, która uruchamia się tylko w określonym czasie (nie w czasie zainfekowania), np. ważna data, lub w momencie spełnienia określonych warunków.
- Bot – program (w tej klasyfikacji szkodliwy) symulujący i wykonujący pewne czynności w zastępstwie człowieka. Jego funkcje mogą być wykorzystywane do rozprzestrzeniania szkodliwego oprogramowania.
- Fileless malware – „Bezplikowe” szkodliwe oprogramowanie, jest odmianą oprogramowania związanego z komputerami, które można zidentyfikować jako artefakt w pamięci RAM. Najczęściej wykorzystywany w ataku z użyciem oprogramowania już zainstalowanego na stacji użytkownika np. z użyciem skryptów PowerShella.
- Keylogger – to rodzaj oprogramowania szpiegującego, które w sposób niezauważalny dla użytkownika rejestruje naciśnięcia klawiszy, pozwalając atakującemu na przejęcie informacji lub danych wrażliwych.
- Koń trojański – określenie oprogramowania, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje implementuje, uruchamia niepożądane funkcje np. oprogramowanie szpiegujące, bomby logiczne, furtki – backdor pozwalające na przejcie kontroli nad systemem.
- Robak – samoreplikujący się program komputerowy – szkodliwy, rozprzestrzeniający się w systemach teleinformatycznych poprzez wykorzystanie luk lub brak ostrożności i niewłaściwe zachowanie użytkownika. Najczęstszą formą dystrybucji jest email.
- Rootkit – narzędzie wykorzystywane do ataków pozwalające na ukrycie niebezpiecznych plików i procesów przed operatorem – administratorem systemu. Pozwala atakującemu na utrzymanie i kontrole nad systemem bez wywołania alarmów. Rootkit może zostać przesłany do systemu za pośrednictwem „konia trojańskiego”.
- Ransomware – typ szkodliwego oprogramowania, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych a następnie żąda od zaatakowanego okupu za przywrócenie stanu pierwotnego.
- Spyware – to rodzaj szkodliwego oprogramowania wykorzystywanego przez atakującego do pozyskania wrażliwych informacji pozwalających na dalszą eskalację ataku lub wykorzystanie ich w celach przestępczych np. oszustwa.
- Wirus – program (szkodliwy) komputerowy posiadający zdolność powielania się, rozprzestrzeniający się w systemach poprzez plik – nosiciela. Wirus może wywoływać w systemie różne skutki w zależności od jego przeznaczenia.
|
Włamanie do sieci – jest jednym z głównych zagrożeń systemu; mogą być od wewnątrz i od zewnątrz, typowe włamania mają na celu uzyskanie dostępu do konta innego użytkownika.
Działania hakerskie – przechytrzenie lub wykorzystanie niewiedzy osób zajmujących się bezpieczeństwem w danej firmie lub instytucji poprzez:
- użycie odgadniętego lub wykradzionego hasła;
- wtargnięcie do sieci poprzez dziurę w zaporze ogniowej;
- wykorzystanie pozostawionych i niebezpiecznych usług np. FTP (ang. File Transfer Protocol) i inne,
- wykorzystywanie wiedzy na temat błędów programowych:
- doprowadzenie do przepełnienia bufora uruchamiając złośliwy kod;
- użycie furtek programowych w oprogramowaniu bez poprawek;
- łamanie oraz szukanie plików zawierających informacje na temat haseł systemowych,
- podrzucenie ofierze złośliwego oprogramowania w postaci konia trojańskiego pod przykrywka nowej gry, aplikacji itp.,
- wykorzystywanie różnych narzędzi hakerskich, drobne programy mogą wiele zdziałać w niepoprawnie zabezpieczonej sieci.
|
Zagrożenia socjotechniczne – wykorzystywane są przez zaawansowanych napastników, którzy z wielką cierpliwością rozpracowują sposób ataku na sieć, czyhając na błąd administratora lub użytkownika; wyróżnia się tu:
- atak z podszywaniem się, wykorzystywanie fałszywego ubioru, identyfikatora służb porządkowych itp., w celu zdobycia informacji do dostępu;
- atak „na ignoranta”, nakłonienie lub podpuszczenie kogoś, aby wyjaśnił, potwierdził lub zaprzeczył pewne informacje;
- atak z podpuszczeniem, wypowiadanie różnych kłamstw by zdobyć w odpowiedzi informacje;
- atak nieustający, ciągłe nękanie ofiary poczuciem winy, onieśmielanie i inne negatywne oddziaływania w celu zdobycia informacji;
- atak przez obserwację, rejestrowanie aktywności i działań ludzi w określonym czasie;
- atak z przynętą, wykorzystanie atrakcyjności seksualnej w celu zdobycia informacji lub dostępu;
- atak brutalny, atak z użyciem siły, zastraszenie, szantaż;
- atak z help desk, podszycie się pod nowego użytkownika potrzebującego pomocy;
- atak z fałszywą ankietą, obietnica wygrania wycieczki do egzotycznych krajów po udzieleniu odpowiedzi na kilka pytań dotyczących firmowej sieci komputerowej.
|
Podstawowe pojęcia:
- Bezpieczeństwo – stan niezagrożenia, spokoju i pewności.
- Bezpieczeństwo informacyjne – jest podstawą szeroko rozumianego bezpieczeństwa. Obejmuje wszystkie formy wymiany, przechowywania i przetwarzania informacji. Rozpatrywane jest w aspektach: organizacyjnym, technicznym i prawnym.
- Cyberatak – nieuprawnione, ofensywne działanie w cyberprzestrzeni, którego celem jest uzyskanie dostępu do systemu teleinformatycznego, sieci komputerowej
lub stacji komputerowej, celem naruszenia poufności, dostępności, integralności lub autentyczności danych lub informacji.
- Cyberbezpieczeństwo – proces, na który składają się czynności, których celem jest zapewnienie poufności, dostępności, integralności i autentyczności przetwarzanych danych i informacji oraz powiązanych z nimi usług.
- Cyberprzestępca – osoba wykorzystująca systemy komputerowe, sieć internetową do działalności przestępczej, głównie pozyskiwania środków finansowych.
Jego celem oraz narzędziem do dokonania przestępstw mogą być ludzie lub systemy komputerowe.
- Cyberterrorysta – osoba wykorzystująca akt przemocy przy zastosowaniu środków komunikacji elektronicznej, wywołując zagrożenie, grożąc utratą życia
lub zagrożeniem życia w celu osiągnięcia celów ideologicznych lub politycznych.
- Haker – osoba o bardzo dużych praktycznych umiejętnościach informatycznych, z bardzo dobrą orientacją w systemach, sieciach, Internecie,
a także systemach operacyjnych i językach programowania. Funkcjonują różne pod kategorie hakera, z których negatywnym jest „black haker”
działający w celu wyrządzenia szkody, dla zysku. Potocznie określenie używane w odniesieniu do wszystkich atakujących.
- Haktywista – specjalista (haker), który wykorzystuje swoje umiejętności i techniki ataku z powodów politycznych lub szeroko pojętym interesie społecznym.
- Incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo.
- Insider – osoba będąca użytkownikiem systemu teleinformatycznego, posiadająca uprawnienia oraz dostęp do systemów, która z różnych pobudek może dokonywać naruszeń bezpieczeństwa, wpływać na prawidłowe funkcjonowanie systemów powodując incydenty.
- Podatność – słabość lub luka w systemie przetwarzania informacji.
- Reagowanie na incydent – postępowanie będące odpowiedzią na zaistniały incydent.
- Zagrożenie – potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę w systemie lub organizacji.
- Zdarzenie – każde zdarzenie, w którym próbuje się zmienić stan bezpieczeństwa systemu lub naruszyć politykę bezpieczeństwa.
|