Górnośląskie Centrum Zdrowia Dziecka im. św. Jana Pawła II w Katowicach decyzją Ministra Zdrowia ustanowione zostało operatorem usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560).
Za operatora usługi kluczowej uznaje się podmiot, jeżeli:
- świadczy usługę kluczową,
- świadczenie tej usługi zależy od systemów informacyjnych,
- incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Usługa kluczowa to udzielenie świadczenia opieki zdrowotnej przez podmiot leczniczy oraz obrót i dystrybucja produktów leczniczych.
Realizując obowiązek operatora kluczowego wynikający z ustawy przedstawiamy Państwu podstawowe informacje, które przybliżą i pozwolą zrozumieć zagrożenia związane z cyberbezpieczeństwem.
Cyberbezpieczeństwo, to zgodnie z obowiązującymi przepisami “odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560).
Nieodłącznymi elementami definicji cyberbezpieczeństwa są pojęcia ściśle związane z charakterystyką dobrze działających systemów informacyjnych, tj.:
- poufność danych – chroni informacje przed nieautoryzowanym dostępem,
- integralność danych – gwarantuje dokładność i kompletność danych,
- dostępność danych – zapewnia dostęp do przechowywanych danych w zależności od potrzeb,
- autentyczność danych –zapewnienia, że przetwarzane dane są prawdziwe, tj. są tymi danymi, które w sposób autoryzowany zostały wprowadzone do systemu.
Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:
- Ataki z użycie szkodliwego oprogramowania,
- Kradzieże tożsamości,
- Ataki mające na celu wyłudzenie lub zniszczenie danych,
- Blokada dostępu do usług,
- Niechciana poczta (SPAM),
- Socjotechnika,
- Phishing.
W celu ochrony przed zagrożeniami należy stosować zabezpieczenia:
- Zabezpiecz dostęp do swojego komputera/urządzenia mobilnego hasłem lub innym bezpiecznym sposobem (np. odciskiem palca),
- Korzystaj z wbudowanej zapory sieciowej (firewall) oraz oprogramowania antywirusowego, które chroni sprzęt przed szkodliwymi programami, ale także zwiększa ochronę sieci oraz pozwala na filtrowanie stron internetowych pod kątem ich szkodliwości,
- Dbaj o regularne aktualizacje systemu operacyjnego i wszystkich zainstalowanych programów – to może Cię ustrzec przed szkodliwym oprogramowaniem i innymi zagrożeniami w sieci,
- Skanuj oprogramowaniem antywirusowym wszystkie urządzenia podłączane do komputera – pendrive, płyty, karty pamięci,
- Aktualizuj system operacyjny i posiadane oprogramowanie,
- Nie otwieraj plików nieznanego pochodzenia,
- Wszystkie pobrane pliki skanuj programem antywirusowym,
- Nie korzystaj ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa,
- Nie korzystaj ze stron internetowych (zwłaszcza stron banków, poczty elektronicznej), które nie mają ważnego certyfikatu (np. brak protokołu https) chyba, że masz pewność z innego źródła, że strona taka jest bezpieczna,
- Nie podawaj swoich danych osobowych na stronach internetowych, co do których nie masz pewności, że nie są one widoczne dla osób trzecich,
- Zawsze weryfikuj adres nadawcy wiadomości e-mail,
- Zawsze zabezpieczaj hasłem lub szyfruj wiadomości e-mail zawierające poufne dane – hasło przekazuj innym sposobem komunikacji,
- Cyklicznie wykonuj kopie zapasowe ważnych danych,
- Zwracaj uwagę na komunikaty pojawiające się na ekranie i nigdy nie ignoruj ostrzeżeń dotyczących bezpieczeństwa.
Pamiętaj, że żaden bank czy urząd nie wysyła e-maili do swoich klientów z prośbą o podanie hasła lub loginu w celu ich weryfikacji.
Więcej porad w zakresie bezpieczeństwa dla użytkowników komputerów mogą Państwo znaleźć pod adresami:
Reakcja na niepożądane zdarzenia (incydenty) lub podatności:
1. Każdy pracownik, współpracownik, pacjent, osoba odwiedzająca pacjentów Szpitala w przypadku zauważenia:
- próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;
- powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;
- innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług,
proszony jest o zgłoszenia niezwłocznie zaobserwowanej sytuacji na adres e-mail: incydent.cyberbezpieczenstwa@gczd.katowice.pl
2. Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem.
Ponadto dostrzegający:
- zdarzenie, incydent bezpieczeństwa informacji,
- nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,
- próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
- inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,
jest zobowiązany zaobserwowaną sytuację niezwłocznie zgłosić na adres e-mail: incydent.cyberbezpieczenstwa@gczd.katowice.pl