Wojewódzki Szpital Specjalistyczny im. błogosławionego księdza Jerzego Popiełuszki we Włocławku, zgodnie z decyzją Ministra Zdrowia został ustanowiony operatorem usług kluczowych, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560). Usługi kluczowe świadczone przez Wojewódzki Szpital Specjalistyczny im. błogosławionego księdza Jerzego Popiełuszki we Włocławku to 1. Udzielanie świadczeń opieki zdrowotnej przez podmiot leczniczy
2. Obrót i dystrybucja produktów leczniczych
Operator usługi kluczowej, to podmiot który spełnia poniższe warunki:
1. podmiot świadczy usługę kluczową,
2. świadczenie tej usługi zależy od systemów informacyjnych,
3. incydent bezpieczeństwa w zakresie systemów IT miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Wojewódzki Szpital Specjalistyczny im. błogosławionego księdza Jerzego Popiełuszki we Włocławku jako operator usługi kluczowej podejmuje odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.
Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560).
Do najpopularniejszych zagrożeń w cyberprzestrzeni należy zaliczyć:
• Ataki z użyciem szkodliwego oprogramowania,
• Kradzieże tożsamości,
• Ataki mające na celu wyłudzenie lub zniszczenie danych,
• Blokada dostępu do usług,
• Niechciana poczta (SPAM),
• Socjotechnika,
• Phishing.
W celu ochrony przed zagrożeniami należy:
• Używać aktualne oprogramowanie antywirusowe – stosowanie ochrony w czasie rzeczywistym, włączanie aktualizacji automatycznych,
• Skanować oprogramowaniem antywirusowym wszystkich urządzeń podłączanych do komputera – pendrive’y, płyty, karty pamięci,
• Aktualizować systemów operacyjnych i używanego oprogramowania,
• Nie otwierać plików nieznanego pochodzenia,
• Wszystkie pobrane pliki skanować programem antywirusowym,
• Nie korzystać ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa,
• Cyklicznie skanować komputer oprogramowaniem antywirusowym i sprawdzać procesy sieciowe,
• Nie odwiedzać stron oferujących darmowe filmy, muzykę albo łatwe pieniądze – najczęściej na takich stronach znajduje się złośliwe oprogramowanie,
• Nie podawać swoich danych osobowych na stronach internetowych, co do których nie ma pewności, że nie są one widoczne dla osób trzecich,
• Zawsze weryfikować adres nadawcy wiadomości e-mail,
• Zawsze zabezpieczać hasłem lub szyfrować wiadomości e-mail zawierające poufne dane – hasło należy przekazywać innym sposobem komunikacji,
• Cyklicznie wykonywać kopie zapasowe ważnych danych,
• Zawsze mieć włączoną zaporę sieciową „firewall”
• Zwracać uwagę na komunikaty wyświetlane na ekranie komputera,
W Wojewódzkim Szpitalu Specjalistycznym im. błogosławionego księdza Jerzego Popiełuszki we Włocławku, w celu ochrony przed zagrożeniami wdrożono Politykę Bezpieczeństwa Informacji. Wojewódzki Szpital Specjalistyczny im. błogosławionego księdza Jerzego Popiełuszki we Włocławku stosuje wewnętrzne procedury i instrukcje w zakresie bezpieczeństwa informacji. Każdy, kto ma dostęp do informacji zobowiązana, jest zgodnie z posiadanymi uprawnieniami do zapoznania się z Polityką Bezpieczeństwa Informacji oraz złożenia stosownego oświadczenia, potwierdzającego znajomość jej treści oraz przestrzegania jej zapisów. Wojewódzki Szpital Specjalistyczny im. błogosławionego księdza Jerzego Popiełuszki we Włocławku szacuje ryzyko dla swoich usług kluczowych, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłasza tzw. incydenty poważne do CSIRT GOV, korzystając w tym zakresie ze wsparcia podmiotu zewnętrznego świadczącego usługi w zakresie cyberbezpieczeństwa. Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Szpitala, których realizacja ma bezpośredni wpływ na świadczenie usługi kluczowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Reakcja na niepożądane zdarzenia (incydenty) lub podatności:
1. Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Szpitala w przypadku zauważenia:
o próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;
o powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;
o innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług, proszony jest o zgłoszenia niezwłocznie zaobserwowanej sytuacji na adres e-mail: cyberbezpieczeńTen adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..
2. Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz odnotowania wszystkich szczegółów związanych z incydentem.
Wojewódzki Szpital Specjalistyczny im. błogosławionego księdza Jerzego Popiełuszki we Włocławku zabrania użytkownikowi zgłaszającemu problem lub naruszenie bezpieczeństwa wykonywania jakichkolwiek działań „na własną rękę” rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy.
