Cyberbezpieczeństwo

Górnośląskie Centrum Zdrowia Dziecka im. św. Jana Pawła II w Katowicach decyzją Ministra Zdrowia ustanowione zostało operatorem usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560).

Za operatora usługi kluczowej uznaje się podmiot, jeżeli:

  1. świadczy usługę kluczową,
  2. świadczenie tej usługi zależy od systemów informacyjnych,
  3. incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Usługa kluczowa to udzielenie świadczenia opieki zdrowotnej przez podmiot leczniczy oraz obrót i dystrybucja produktów leczniczych.

Realizując obowiązek operatora kluczowego wynikający z ustawy przedstawiamy Państwu podstawowe informacje, które przybliżą i pozwolą zrozumieć zagrożenia związane z cyberbezpieczeństwem.

Cyberbezpieczeństwo, to zgodnie z obowiązującymi przepisami “odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560).

Nieodłącznymi elementami definicji cyberbezpieczeństwa są pojęcia ściśle związane z charakterystyką dobrze działających systemów informacyjnych, tj.:

  • poufność danych – chroni informacje przed nieautoryzowanym dostępem,
  • integralność danych – gwarantuje dokładność i kompletność danych,
  • dostępność danych – zapewnia dostęp do przechowywanych danych w zależności od potrzeb,
  • autentyczność danych –zapewnienia, że przetwarzane dane są prawdziwe, tj. są tymi danymi, które w sposób autoryzowany zostały wprowadzone do systemu.

Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:

  • Ataki z użycie szkodliwego oprogramowania,
  • Kradzieże tożsamości,
  • Ataki mające na celu wyłudzenie lub zniszczenie danych,
  • Blokada dostępu do usług,
  • Niechciana poczta (SPAM),
  • Socjotechnika,
  • Phishing.

W celu ochrony przed zagrożeniami należy stosować zabezpieczenia:

  • Zabezpiecz dostęp do swojego komputera/urządzenia mobilnego hasłem lub innym bezpiecznym sposobem (np. odciskiem palca),
  • Korzystaj z wbudowanej zapory sieciowej (firewall) oraz oprogramowania antywirusowego, które chroni sprzęt przed szkodliwymi programami, ale także zwiększa ochronę sieci oraz pozwala na filtrowanie stron internetowych pod kątem ich szkodliwości,
  • Dbaj o regularne aktualizacje systemu operacyjnego i wszystkich zainstalowanych programów – to może Cię ustrzec przed szkodliwym oprogramowaniem i innymi zagrożeniami w sieci,
  • Skanuj oprogramowaniem antywirusowym wszystkie urządzenia podłączane do komputera – pendrive, płyty, karty pamięci,
  • Aktualizuj system operacyjny i posiadane oprogramowanie,
  • Nie otwieraj plików nieznanego pochodzenia,
  • Wszystkie pobrane pliki skanuj programem antywirusowym,
  • Nie korzystaj ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa,
  • Nie korzystaj ze stron internetowych (zwłaszcza stron banków, poczty elektronicznej), które nie mają ważnego certyfikatu (np. brak protokołu https) chyba, że masz pewność z innego źródła, że strona taka jest bezpieczna,
  • Nie podawaj swoich danych osobowych na stronach internetowych, co do których nie masz pewności, że nie są one widoczne dla osób trzecich,
  • Zawsze weryfikuj adres nadawcy wiadomości e-mail,
  • Zawsze zabezpieczaj hasłem lub szyfruj wiadomości e-mail zawierające poufne dane – hasło przekazuj innym sposobem komunikacji,
  • Cyklicznie wykonuj kopie zapasowe ważnych danych,
  • Zwracaj uwagę na komunikaty pojawiające się na ekranie i nigdy nie ignoruj ostrzeżeń dotyczących bezpieczeństwa.

Pamiętaj, że żaden bank czy urząd nie wysyła e-maili do swoich klientów z prośbą o podanie hasła lub loginu w celu ich weryfikacji.

Więcej porad w zakresie bezpieczeństwa dla użytkowników komputerów mogą Państwo znaleźć pod adresami:

  1. Darmowy zestaw porad bezpieczeństwa OUCH! CERT Polska
  2. Bezpieczny pracownik w sieci (dokument NASK)

 

Reakcja na niepożądane zdarzenia (incydenty) lub podatności:

1. Każdy pracownik, współpracownik, pacjent, osoba odwiedzająca pacjentów Szpitala w przypadku zauważenia:

  • próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;
  • powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;
  • innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług,

proszony jest o zgłoszenia niezwłocznie zaobserwowanej sytuacji na adres e-mail: incydent.cyberbezpieczenstwa@gczd.katowice.pl

2. Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem.

Ponadto dostrzegający:

  • zdarzenie, incydent bezpieczeństwa informacji,
  • nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,
  • próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
  • inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,

jest zobowiązany zaobserwowaną sytuację niezwłocznie zgłosić na adres e-mail: incydent.cyberbezpieczenstwa@gczd.katowice.pl