CYBERBEZPIECZEŃSTWO W UCK WUM

Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego (UCK WUM) jest operatorem usługi kluczowej w rozumieniu art. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560), zgodnie z decyzją Ministra Zdrowia.

Usługą kluczową jest w szczególności udzielanie świadczeń opieki zdrowotnej przez podmiot leczniczy, a także obrót i dystrybucja produktów leczniczych, których realizacja ma istotne znaczenie dla bezpieczeństwa pacjentów oraz ciągłości funkcjonowania systemu ochrony zdrowia.

Status operatora usługi kluczowej

Podmiot uznaje się za operatora usługi kluczowej, jeżeli spełnia łącznie następujące warunki:

  • świadczy usługę kluczową,

  • świadczenie tej usługi zależy od systemów informacyjnych,

  • potencjalny incydent mógłby wywołać istotny skutek zakłócający ciągłość lub jakość świadczenia usługi kluczowej.

Zarządzanie bezpieczeństwem informacji

UCK WUM podejmuje odpowiednie i proporcjonalne środki techniczne oraz organizacyjne w celu:

  • zarządzania ryzykiem związanym z bezpieczeństwem wykorzystywanych sieci i systemów informatycznych,

  • zapobiegania incydentom bezpieczeństwa informacji,

  • minimalizowania skutków incydentów,

  • zapewnienia ciągłości świadczenia usług kluczowych.

W UCK WUM wdrożono Politykę Bezpieczeństwa Informacji oraz System Zarządzania Bezpieczeństwem Informacji (SZBI), oparty na wymaganiach międzynarodowego standardu ISO/IEC 27001. Celem SZBI jest identyfikacja i eliminacja zagrożeń mogących mieć niekorzystny wpływ na proces realizacji usług kluczowych.

System Zarządzania Bezpieczeństwem Informacji obejmuje w szczególności:

  • polityki, procedury, instrukcje i wytyczne,

  • zasoby techniczne i organizacyjne,

  • działania związane z planowaniem, wdrażaniem, monitorowaniem, przeglądem oraz doskonaleniem bezpieczeństwa informacji.

Obowiązki pracowników i współpracowników

UCK WUM egzekwuje stosowanie wewnętrznych procedur i instrukcji w zakresie bezpieczeństwa informacji. Każda osoba posiadająca dostęp do informacji zobowiązana jest — zgodnie z nadanymi uprawnieniami — do:

  • zapoznania się z Polityką Bezpieczeństwa Informacji,

  • złożenia oświadczenia potwierdzającego znajomość i przestrzeganie jej postanowień.

Szpital prowadzi proces:

  • szacowania ryzyka dla usług kluczowych,

  • identyfikacji zagrożeń i podatności,

  • wdrażania środków zapobiegawczych,

  • ograniczania wpływu incydentów,

  • zgłaszania incydentów poważnych do właściwego CSIRT (CSIRT GOV).

Podstawą identyfikacji ryzyka są procesy i aktywa UCK WUM, których funkcjonowanie ma bezpośredni wpływ na świadczenie usług cyfrowych w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa oraz na określenie poziomu akceptowalnego ryzyka.

Zgłaszanie incydentów i zdarzeń

Każdy pacjent, osoba odwiedzająca, pracownik lub współpracownik UCK WUM, który zauważy m.in.:

  • próbę naruszenia zabezpieczeń lub nieautoryzowanego dostępu do chronionych obszarów,

  • nieprawidłowy stan techniczny urządzeń informatycznych przetwarzających dane,

  • inne zdarzenia mogące mieć wpływ na bezpieczeństwo informacji lub ciągłość świadczenia usług,

zobowiązany jest do niezwłocznego zgłoszenia zaobserwowanej sytuacji do zespołu CSIRT UCK WUM na adres e-mail: csirt@oldsite.uckwum.pl.

Każdy użytkownik systemów informatycznych (pracownik lub osoba z firmy zewnętrznej) ma obowiązek:

  • zgłaszania zauważonych incydentów,

  • przekazywania wszelkich dostępnych informacji i okoliczności związanych z incydentem.

Zabrania się podejmowania działań naprawczych „na własną rękę”, z wyjątkiem czynności niezbędnych do zapewnienia bezpieczeństwa ludzi i mienia. W miarę możliwości należy zabezpieczyć materiał dowodowy.

Informowanie o zagrożeniach cyberbezpieczeństwa

Jednym z obowiązków operatora usługi kluczowej jest publikowanie na stronie internetowej Szpitala podstawowych informacji dotyczących zagrożeń cyberbezpieczeństwa. Celem tych działań jest zwiększenie świadomości pacjentów oraz podmiotów współpracujących w zakresie zagrożeń i skutecznych metod ochrony związanych ze świadczeniem usług kluczowych.

Cyberbezpieczeństwo – definicja

Cyberbezpieczeństwo oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność oraz autentyczność przetwarzanych danych lub powiązanych z nimi usług, zgodnie z art. 2 pkt 4 ustawy o krajowym systemie cyberbezpieczeństwa.

Najczęstsze zagrożenia w cyberprzestrzeni

  • złośliwe oprogramowanie (malware),

  • kradzież tożsamości,

  • ataki na dane (wyłudzenie, uszkodzenie, utrata),

  • blokowanie dostępu do usług,

  • niechciana poczta (SPAM),

  • socjotechnika,

  • phishing.

Zasady ochrony przed zagrożeniami

W celu ograniczenia ryzyka cyberzagrożeń należy w szczególności:

  • nie udostępniać loginów i haseł,

  • stosować silne, unikalne hasła,

  • unikać logowania się z nieznanych urządzeń i sieci publicznych,

  • korzystać z aktualnego oprogramowania antywirusowego,

  • regularnie aktualizować system operacyjny i aplikacje,

  • skanować nośniki zewnętrzne przed użyciem,

  • nie otwierać plików i linków z nieznanych źródeł,

  • weryfikować nadawców wiadomości e-mail,

  • szyfrować wiadomości zawierające dane poufne,

  • regularnie wykonywać kopie zapasowe,

  • korzystać z zapory sieciowej (firewall),

  • zachować ostrożność wobec podejrzanych komunikatów i stron internetowych.