Cyberbezpieczeństwo

 

Informacje ogólne

Szpital Wojewódzki im. Św. Łukasza Samodzielny Publiczny Zakład Opieki Zdrowotnej w Tarnowie (dalej Szpital) decyzją Ministra Zdrowia został uznany za operatora usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2022 r. poz. 1863), w zakresie udzielania świadczenia opieki zdrowotnej przez podmiot leczniczy oraz obrót i dystrybucja produktów leczniczych.

Informacja na podstawie przepisów:

  • Ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2022 r. poz. 1863);

  • Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwa (Dz.U. z 2019 poz. 2479);

  • Rozporządzenie Rady Ministrów z dnia 16 października 2018 roku w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. z 2018 r. poz. 2080);

  • Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz.U. z 2018 poz. 2180);

Za operatora usługi kluczowej uznaje się podmiot, jeżeli:

  • świadczy usługę kluczową,

  • świadczenie tej usługi zależy od systemów informacyjnych,

  • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Operator usługi kluczowej ma podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.

Szpital wdrożył odpowiednie procedury, instrukcje, wytyczne, związane zasoby i działania, wspólnie zarządzane przez Szpital dążący do ochrony jego aktywów informacyjnych oraz zagrożeń mogących mieć niekorzystny wpływ na proces świadczenia usługi kluczowej.

Szpital zobowiązany jest do szacowania ryzyka dla swoich usług kluczowych, zbierania informacji o zagrożeniach i podatnościach, stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłaszania incydentów poważnych do odpowiednich CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego).

Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Szpitala, których realizacja ma bezpośredni wpływ na świadczenie usługi cyfrowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a tym samym na określenie poziomu akceptowalności ryzyka.

Reakcja na niepożądane zdarzenia (incydenty) lub podatności:

  1. Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Szpitala w przypadku zauważenia:

    1. próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;

    2. powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;

    3. innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług,

proszony jest o niezwłoczne zgłoszenie zaobserwowanej sytuacji na adres e-mail: iod@lukasz.med.pl.

  1. Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej ze Szpitalem) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem.

Ponadto dostrzegający:

  • zdarzenie, incydent bezpieczeństwa informacji,

  • nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,

  • próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,

  • inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,

jest zobowiązany zaobserwowaną sytuację niezwłocznie zgłosić na adres e-mail: iod@lukasz.med.pl.

Niedozwolone jest wykonywanie przez użytkownika zgłaszającego problem lub naruszenie bezpieczeństwa jakichkolwiek działań „na własną rękę” rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju.

Informacje dla użytkowników

Do jednych z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania na stronie internetowej Szpitala podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa. Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.

Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2022 r. poz. 1863).

Nieodłącznymi elementami definicji cyberbezpieczeństwa są pojęcia ściśle związane z charakterystyką dobrze działających systemów informacyjnych, tj.:

  • poufność danych – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom;

  • integralność danych – właściwość polegająca na zapewnieniu dokładności i kompletności danych;

  • dostępność danych – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu;

  • autentyczność danych – właściwość polegająca na zapewnieniu, że przetwarzane dane są prawdziwe, tj. są danymi, które w sposób autoryzowany zostały wprowadzone do systemu.

Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:

  • Ataki z użyciem szkodliwego oprogramowania,

  • Kradzieże tożsamości,

  • Ataki mające na celu wyłudzenie lub zniszczenie danych,

  • Blokada dostępu do usług,

  • Niechciana poczta (SPAM),

  • Socjotechnika,

  • Phishing.

Szpital Wojewódzki im. Św. Łukasza SP ZOZ w Tarnowie podejmuje działania, aby zapewnić bezpieczeństwo podczas korzystania z naszych usług, w tym aby Twoje dane były odpowiednio chronione.

Niezależnie od powyższego, zwracamy uwagę, iż jako użytkownik usług teleinformatycznych, jesteś narażony na niebezpieczeństwa wynikające z działań osób trzecich (cyberprzestępcy podejmują różnego rodzaju działania mające na celu uzyskanie dostępu do Twoich danych osobowych, przejęcie kontroli nad Twoim urządzeniem/systemem teleinformatycznym, a także wyłudzenie danych logowania lub danych finansowych).

Podstawowe zasady bezpieczeństwa przy korzystaniu z usług teleinformatycznych:

  1. Korzystanie z sieci Internet:

    • Bądź rozsądny! Cyberprzestępcy stosują różnego rodzaju techniki socjotechniczne, które mają na celu skłonić Cię do wykonania określonej czynności, umożliwiającej im realizację zamierzonych celów. Zachowaj zwłaszcza czujność, gdy ktoś prosi Cię o dane do logowania (login, hasło, adres email, numer ewidencyjny PESEL itp.), bądź zaproponuję połączenie zdalne w celu wykonania operacji na twoim komputerze. Pracownicy Szpitala nigdy nie zwracają się z taką prośbą w żadnej formie, a zwłaszcza drogą mailową. W razie wątpliwości jak w danej sytuacji postąpić, nie podejmuj żadnych działań. Więcej informacji można uzyskać pod adresem: https://www.gov.pl/web/baza-wiedzy/kto-mowi.

    • Upewnij się, czy logujesz się na poprawnej stronie z certyfikatem bezpieczeństwa (zamkniętą kłódką).

Adres strony szpitala https://lukasz.med.pl bądź inne serwisy Szpitala najlepiej wpisać ręcznie, a nie klikać w linki z nieznanych źródeł. Możesz też przejść do strony logowania do danego serwisu Szpitala klikając w odpowiedni link znajdujący się w ramach strony głównej Szpitala: https://lukasz.med.pl.

    • Sprawdź, czy strona logowania wyświetla się poprawnie i pokazują się na niej wszystkie elementy. Sprawdź czy wszystkie wyrazy zawierają prawidłowe polskie znaki diakrytyczne.

    • Upewnij się, że połączenie jest szyfrowane. Sprawdź czy adres strony zaczyna się od https:// (z literą „s” na końcu), a nie od http:// (bez litery „s” na końcu). Jeśli jest http:// (brakuje litery „s”) – przerwij logowanie. Upewnij się, że zostały wpisane poprawne dane logowania, szczególnie nazwa użytkownika i hasło. W razie wątpliwości, przerwij logowanie i skontaktuj się z nami. Adekwatnie postępuj przy wypełnianiu znajdujących się na innych stronach internetowych formularzy.

    • Automatyczne wylogowanie. Niektóre serwisy Szpitala wylogują Cię po upływie pewnego czasu nieaktywności. Zalecane jest jednak zamknięcie samemu okna serwisu po skończonej pracy.

    • Korzystanie ze serwisów Szpitala jest nieodpłatne.

    • Aby skorzystać z serwisów Szpitala nie jest wymagana żadne dodatkowe oprogramowanie. Wystarczy skorzystać z przeglądarki internetowej.

    • Ściąganie plików. Niektóre serwisy Szpitala umożliwiają pobranie plików np. z wynikam badań w postaci PDF. Zwróć uwagę, żeby nie zgrywać takich plików z Twoimi wrażliwymi danymi na publicznie dostępny komputer – pliki takie mogą zostać odzyskane przez zainteresowaną osobę nawet po ich usunięciu (przeniesieniu „do kosza”).

    • Czytaj komunikaty wyświetlane na stronach serwisów Szpitala. Niektóre serwisy oferują możliwość zapoznania się z funkcjami serwisu i sposobem logowania. Przed pierwszym logowaniem zaleca się zapoznanie z taką instrukcją.

    • Nie wchodź na podejrzane strony internetowe. Uważaj na skrócone linki, które kierują do w/w stron. Strony te mogą zawierać szkodliwe oprogramowanie, które ma za zadanie zainfekować Twój komputer/system teleinformatyczny.

      • Popularne przeglądarki internetowe informują o podejrzanych stronach internetowych. Potraktuj poważnie tego typu ostrzeżenia i nie wchodź na te strony.

      • Najprostszym sposobem weryfikacji, co kryje się pod skróconym linkiem, jest skorzystanie z rozszerzenia do przeglądarki, które zweryfikuje skrócony link (np. Unshorten.it – dla każdej przeglądarki, Unshorten.me dla przeglądarki Chrome, Unshorten.link dla przeglądarki Firefox).

  1. Oprogramowanie antywirusowe.

Programy złośliwe i wirusy zazwyczaj są przesyłane w formie załącznika, którego nie należy otwierać. Za pomocą takiego załącznika hakerzy mogą uzyskiwać dostęp do prywatnych danych i haseł, instalując na Twoim komputerze oprogramowania śledzące każdy Twój tekst. Takie oprogramowanie bardzo często infekuje również inne adresy mailowe użytkownika. Przed zalogowaniem się do serwisów Szpitala, upewnij się, że urządzenie, z którego korzystasz (np. komputer, tablet, komórka) posiada zainstalowane wszystkie aktualizacje i posiada aktywny system bezpieczeństwa antywirusowego. Dobrej jakości program antywirusowy wychwyci i zatrzyma szkodliwe oprogramowanie zanim jeszcze zostanie ono pobrane do systemu.

  1. Inne zalecenia dotyczące korzystania z systemów teleinformatycznych

    • Pobieraj oprogramowanie (w tym aplikacje na telefon) wyłącznie ze stron producentów tego oprogramowania – oficjalnych sklepów:

      • Google Play dla Android,

      • App Store dla iOS,

      • Microsoft Store dla Windows.

Serwisy oferujące możliwość pobrania oprogramowania często obok pobieranego oprogramowania instalują dodatkowe niechciane, nierzadko szkodliwe oprogramowanie. Nie instaluj oprogramowania, do którego otrzymałeś link w komunikatorze, SMS’em bądź w wiadomości mailowej.

    • Zadbaj o regularną aktualizację oprogramowania, w tym aktualizacje systemu operacyjnego oraz oprogramowania aplikacyjnego, w tym również przeglądarek internetowych, oprogramowania do obsługi poczty e-mail oraz komunikatorów internetowych. Pamiętaj, że wciąż trwa wyścig między producentami sprzętu i oprogramowania oraz cyberprzestępcami, którzy próbują uzyskać dostęp do danych. Cyberprzestępcy szukają luk i błędów w tym oprogramowaniu.

    • Nie instaluj nielegalnego oprogramowania, w tym CRACK-ów do płatnego oprogramowania. Jest to nielegalne, a poza tym ww. CRACK-i zawierają w sobie szkodliwe oprogramowanie.

    • Nie otwieraj podejrzanych wiadomości, w szczególności nie otwieraj podejrzanych plików pochodzących od nieznanych nadawców, które otrzymałeś za pośrednictwem poczty e-mail. Zachowaj szczególną ostrożność w przypadku otrzymania wiadomości e-mail lub SMS zawierających prośby o kliknięcie w link lub odesłanie SMS. Załączniki te nierzadko zawierają oprogramowanie, które ma za zadanie zainfekować Twój komputer.

W szczególności unikaj otwierania załączników z rozszerzeniem .exe, .bat, .vbs, .ps i innych plików wykonywalnych.

    • Ogranicz korzystanie z sieci ogólnodostępnych. Nie korzystaj z usług sieciowych (w tym nie loguj się do systemów teleinformatycznych Szpitala) w sieciach ogólnodostępnych (np. darmowych sieciach Wi-Fi). Sieci ogólnodostępne mogą śledzić każdy Twój ruch oraz dane, które przesyłasz do poszczególnych stron internetowych.

    • Wybierz odpowiednią pocztę elektroniczną. Korzystaj – w miarę możliwości – z poczty elektronicznej, która posiada funkcjonalność skanowania przesyłanej poczty pod kątem ewentualnych wirusów.

    • Właściwie postępuj z hasłami:

      • nie stosuj tych samym haseł do kilku kont (zadbaj, aby hasło, które stosujesz do zalogowania w serwisach Szpitala było inne niż to, które stosujesz do innych kont),

      • nie zapamiętuj haseł w przeglądarkach internetowych, w tym nie zapamiętuj haseł, którymi logujesz się w serwisach Szpitala ani innych haseł do swoich kont w usługach sieciowych (np. podczas logowania do poczty e-mail, bankowości, do for i serwisów społecznościowych),

      • stosuj silne, ale łatwe do zapamiętania, hasła do swoich kont. Pamiętaj przy tym, że cyberprzestępcy – przy wykorzystaniu odpowiedniego oprogramowania – codziennie próbują uzyskać dostęp do kont wielu użytkowników. Używanie silnych haseł jest zatem niezbędne, aby chronić swoją tożsamość oraz informacje na swój temat.

      • zmieniaj hasła (zadbaj o regularną zmianę haseł do kont),

      • jeśli to możliwe, włącz uwierzytelnianie wieloskładnikowe (najczęściej dwuskładnikowe), unikaj korzystania z usług, które nie dają Ci możliwości zastosowania w/w uwierzytelniania wieloskładnikowego.

        • Uwierzytelnienie wieloskładnikowe to bardzo dobry sposób zabezpieczenia kont, w tym m.in. kont bankowych, kont poczty e-mail czy profili w mediach społecznościowych, gdyż dzięki niemu – nawet jeśli cyberprzestępca w jakiś sposób pozna nasze hasło – nie dostanie się do konta bez podania drugiego składnika weryfikującego – sms, dodatkowego kodu lub potwierdzenia operacji w aplikacji, pamiętaj przy tym, że jeśli cyberprzestępca uzyska dostęp do Twojej poczty e-mail, to może ją wykorzystać do zresetowania haseł do innych kont, w tym do serwisów Szpitala.

        • Opcja wieloskładnikowego uwierzytelnienia zwykle znajduje się w ustawieniach zabezpieczeń danego konta (np. pod nazwą „weryfikacja dwuskładnikowa”, „dwuskładnikowe uwierzytelnianie”).

      • nigdy nie podawaj swoich haseł osobom trzecim (hasło jest daną poufną, administratorzy serwisów nigdy nie proszą użytkowników tych serwisów o podanie hasła),

      • nigdy nie zapisuj haseł i nie przechowuj ich w miejscach dostępnych dla innych osób (w tym zwłaszcza na karteczce przy stacji roboczej).

    • Dbaj o swoją prywatność. Ogranicz informacje o sobie. Pamiętaj, że anonimowość w Internecie nie istnieje, gdyż każde Twoje działanie pozostawia po sobie cyfrowe ślady, a cyberprzestępcy mogą próbować wykorzystać dane o Tobie w celu uzyskania dostępu do Twoich kont lub podszycia się pod Ciebie. Zapamiętaj:

      • nie udostępniaj wielu informacji na swój temat: udostępniaj w Internecie, w tym m.in. w serwisach społecznościowych, dane w sposób rozsądny i w takim zakresie, jaki jest konieczny (pamiętaj, że ciężko usunąć z Internetu informacje, które w nim się pojawiły oraz, że korzystanie z mediów społecznościowych tylko pozornie jest bezpłatne, gdyż walutą są Twoje dane oraz reputacja użytkownika),

      • aktywuj rozwiązania zwiększające prywatność i bezpieczeństwo (prawie wszystkie serwisy społecznościowe posiadają tego typu opcje), w tym np.:

        • zamień konto publiczne na prywatne (tj. konto, na którym publikowane materiały i informacje są widoczne dla wszystkich użytkowników Internetu na konto, na którym publikowane materiały i informacje są widoczne wyłącznie dla użytkowników, którym zezwolisz na obserwację),

        • ogranicz dostępność publikowanych przez Ciebie materiałów i informacji do określonych osób (np. „widoczne tylko dla znajomych”, „widoczne tylko dla…”, „widoczne dla wszystkich znajomych z wyjątkiem…”),

      • dodawaj w serwisach społecznościowych do list znajomych wyłącznie osoby, które rzeczywiście znasz, oraz którym ufasz (przyjmując nową osobę do grona znajomych, najczęściej udostępniasz jej swoje prywatne zdjęcia oraz inne informacje o Tobie).

    • Zachować ostrożność korzystając z komunikatorów internetowych, w tym zachowaj szczególną ostrożność, jeśli otrzymasz od znajomego wiadomość, która wyda Ci się nietypowa lub budzi Twoje wątpliwości, w tym:

      • nie odpowiadaj na podejrzane wiadomości i nie klikaj w podejrzane linki,

      • nie ujawniaj danych poufnych (np. danych logowania) oraz nie realizuj próśb o szybkie przesłanie kodu BLIK/dokonanie płatności (pamiętaj, że – po pierwsze – ktoś może podawać się za Twojego znajomego / przejął jego konto oraz, że – po drugie – nieszyfrowane wiadomości tekstowe mogą zostać przechwycone). Jeśli otrzymasz prośbę od znanej osoby o pożyczenie pieniędzy, kod BLIK bądź podobne, przerwij konwersację i wykonaj połączenie głosowe do tej osoby aby potwierdzić wiadomość.

      • Pamiętaj, że po „drugiej stronie” nie koniecznie jest ta osoba, za którą się podaje.

    • Zwracaj uwagę na nietypowe zdarzenia. Mogą one świadczyć o tym, że ktoś uzyskał dostęp do jednego z Twoich kont:

      • wiadomość e-mail informująca o zmianie danych logowania, która nie została przez Ciebie zainicjowana,

      • znajdujący się na Twoim koncie materiał (np. zdjęcie, video) lub informacja, której nie jesteś autorem,

      • napływ spamu, np. sporej ilości reklam,

      • problem z logowaniem do konta.

    • Zgłaszaj zauważone nieprawidłowości. Umożliwi to – w przypadku stwierdzenia zagrożenia – powiadomienie organów ścigania.

    • Zadbaj o ochronę Twoich danych również poza siecią Internet, w tym nigdy nie wyrzucaj dokumentacji papierowej (w tym m.in. swojej dokumentacji medycznej) ani innych nośników zawierających Twoje dane osobowe (w tym m.in. nośników elektronicznych i optycznych zawierających Twoje dane medyczne) do kosza (dane zawarte w tej dokumentacji oraz na tych nośnikach mogą zostać wykorzystane przez cyberprzestępców np. w celu włamania się na Twoje konta dotyczące dostępnych usług świadczeniodawców lub w celu podszycia się pod Twoją osobę).

  1. Więcej informacji można znaleźć:

    1. Jak chronić się przez cyberatakami? – poradnik:
      https://www.gov.pl/attachment/5a702c24-aaaa-4da0-9502-ea1c940a31d

    1. Baza wiedzy o cyberbezpieczeństwie:
      https://www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo

    1. Krajowy System Cyberbezpieczeństwa:
      https://www.nask.pl/pl/dzialalnosc/cyberbezpieczenstwo/3284,Cyberbezpieczenstwo.html

    1. Departament Cyberbezpieczeństwa:
      https://www.gov.pl/web/cyfryzacja/cyberbezpieczenstwo

Kontakt

Kontakt z zespołem cyberbezpieczeństwa,

E-mail: cert@lukasz.med.pl

Numer telefonu: +48 14 631 53 91

Adres

Szpital Wojewódzki im. Św. Łukasza SP ZOZ w Tarnowie
Sekcja IT
ul. Lwowska 178a
33-100 Tarnów
Polska

Pliki do pobrania:

Dokument RFC 2350 w języku polskim: RFC2350-pl

Document RFC 2350 in english: RFC2350-en

Klucz publiczny PGP: Cert_Szpital_Tarnow_public