Cyberbezpieczeństwo

Informacje ogólne
Wojewódzki Szpital Zespolony w Elblągu (dalej WSZ w Elblągu lub Szpital) decyzją Ministra Zdrowia został uznany za operatora usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2022 r. poz. 1863), w zakresie udzielania świadczenia opieki zdrowotnej przez podmiot leczniczy oraz obrót i dystrybucja produktów leczniczych.

Informacja na podstawie przepisów:

  • Ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2022 r. poz. 1863);
  • Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwa (Dz.U. z 2019 poz. 2479);
  • Rozporządzenie Rady Ministrów z dnia 16 października 2018 roku w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. z 2018 r. poz. 2080);
  • Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz.U. z 2018 poz. 2180);

Za operatora usługi kluczowej uznaje się podmiot, jeżeli:

  •  świadczy usługę kluczową,
  • świadczenie tej usługi zależy od systemów informacyjnych,
  • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Operator usługi kluczowej ma podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.

WSZ w Elblągu wdrożył odpowiednie procedury, instrukcje, wytyczne, związane zasoby i działania, wspólnie zarządzane przez WSZ w Elblągu dążąc do ochrony jego aktywów informacyjnych oraz zagrożeń mogących mieć niekorzystny wpływ na proces świadczenia usługi kluczowej.

WSZ w Elblągu zobowiązany jest do szacowania ryzyka dla swoich usług kluczowych, zbierania informacji o zagrożeniach i podatnościach, stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłaszania incydentów poważnych do odpowiednich CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego).

Podstawę do identyfikacji ryzyka stanowią procesy i aktywa WSZ w Elblagu, których realizacja ma bezpośredni wpływ na świadczenie usługi cyfrowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a tym samym na określenie poziomu akceptowalności ryzyka.

Reakcja na niepożądane zdarzenia (incydenty) lub podatności:

  1. Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Szpitala w przypadku zauważenia:
    - próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;
    - powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;
    - innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług,
    proszony jest o niezwłoczne zgłoszenie zaobserwowanej sytuacji na adres e-mail: absi@szpital.elblag.pl.
  2. Każdy użytkownik (pracownik lub osoba z firmy zewnętrznej współpracującej z WSZ w Elblągu) ma obowiązek zgłaszania zauważonych przez siebie incydentów oraz notować wszystkie szczegóły związane z incydentem.

Ponadto dostrzegający:

  •  zdarzenie, incydent bezpieczeństwa informacji,
  • nieprawidłowe działanie systemów w aspekcie bezpieczeństwa informacji,
  • próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
  • inne zdarzenie mogące mieć wpływ na bezpieczeństwo informacji,

jest zobowiązany zaobserwowaną sytuację niezwłocznie zgłosić na adres e-mail: absi@lukasz.med.pl.

Niedozwolone jest wykonywanie przez użytkownika zgłaszającego problem lub naruszenie bezpieczeństwa jakichkolwiek działań „na własną rękę” rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju.


Informacje dla użytkowników

Do jednych z wielu obowiązków nałożonych na Operatora Usługi Kluczowej, jest obowiązek opublikowania na stronie internetowej Szpitala podstawowych informacji związanych z zagrożeniami cyberbezpieczeństwa. Ma to na celu umożliwienie pacjentom oraz podmiotom współpracującym, zrozumienia zagrożeń cyberbezpieczeństwa i zastosowanych skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.

Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2022 r. poz. 1863).

Nieodłącznymi elementami definicji cyberbezpieczeństwa są pojęcia ściśle związane z charakterystyką dobrze działających systemów informacyjnych, tj.:

  • poufność danych – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom;
  • integralność danych – właściwość polegająca na zapewnieniu dokładności i kompletności danych;
  • dostępność danych – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu;
  • autentyczność danych – właściwość polegająca na zapewnieniu, że przetwarzane dane są prawdziwe, tj. są danymi, które w sposób autoryzowany zostały wprowadzone do systemu.

Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:

  • Ataki z użyciem szkodliwego oprogramowania,
  • Kradzieże tożsamości,
  • Ataki mające na celu wyłudzenie lub zniszczenie danych,
  • Blokada dostępu do usług,
  • Niechciana poczta (SPAM),
  • Socjotechnika,
  • Phishing.

Wojewódzki Szpital Zespolony w Elblągu podejmuje działania, aby zapewnić bezpieczeństwo podczas korzystania z naszych usług, w tym aby Twoje dane były odpowiednio chronione.

Niezależnie od powyższego, zwracamy uwagę, iż jako użytkownik usług teleinformatycznych, jesteś narażony na niebezpieczeństwa wynikające z działań osób trzecich (cyberprzestępcy podejmują różnego rodzaju działania mające na celu uzyskanie dostępu do Twoich danych osobowych, przejęcie kontroli nad Twoim urządzeniem/systemem teleinformatycznym, a także wyłudzenie danych logowania lub danych finansowych).

Podstawowe zasady bezpieczeństwa przy korzystaniu z usług teleinformatycznych:

  1.  Korzystanie z sieci Internet:
    - Bądź rozsądny! Cyberprzestępcy stosują różnego rodzaju techniki socjotechniczne, które mają na celu skłonić Cię do wykonania określonej czynności, umożliwiającej im realizację zamierzonych celów. Zachowaj zwłaszcza czujność, gdy ktoś prosi Cię o dane do logowania (login, hasło, adres email, numer ewidencyjny PESEL itp.), bądź zaproponuję połączenie zdalne w celu wykonania operacji na twoim komputerze. Pracownicy Szpitala nigdy nie zwracają się z taką prośbą w żadnej formie, a zwłaszcza drogą mailową. W razie wątpliwości jak w danej sytuacji postąpić, nie podejmuj żadnych działań. Więcej informacji można uzyskać pod adresem: https://www.gov.pl/web/baza-wiedzy/kto-mowi.
    - Upewnij się, czy logujesz się na poprawnej stronie z certyfikatem bezpieczeństwa (zamkniętą kłódką).

    Adres strony szpitala http://www.szpital.elblag.pl bądź inne serwisy Szpitala najlepiej wpisać ręcznie, a nie klikać w linki z nieznanych źródeł. Możesz też przejść do strony logowania do danego serwisu Szpitala klikając w odpowiedni link znajdujący się w ramach strony głównej Szpitala: http://www.szpital.elblag.pl.
    - Sprawdź, czy strona logowania wyświetla się poprawnie i pokazują się na niej wszystkie elementy. Sprawdź czy wszystkie wyrazy zawierają prawidłowe polskie znaki diakrytyczne.
    - Upewnij się, że połączenie jest szyfrowane. Sprawdź czy adres strony zaczyna się od https:// (z literą „s” na końcu), a nie od http:// (bez litery „s” na końcu). Jeśli jest http:// (brakuje litery „s”) – przerwij logowanie. Upewnij się, że zostały wpisane poprawne dane logowania, szczególnie nazwa użytkownika i hasło. W razie wątpliwości, przerwij logowanie i skontaktuj się z nami. Adekwatnie postępuj przy wypełnianiu znajdujących się na innych stronach internetowych formularzy.
    - Automatyczne wylogowanie. Niektóre serwisy Szpitala wylogują Cię po upływie pewnego czasu nieaktywności. Zalecane jest jednak zamknięcie samemu okna serwisu po skończonej pracy.
    - Korzystanie ze serwisów Szpitala jest nieodpłatne.
    - Aby skorzystać z serwisów Szpitala nie jest wymagana żadne dodatkowe oprogramowanie. Wystarczy skorzystać z przeglądarki internetowej.
    - Ściąganie plików. Niektóre serwisy Szpitala umożliwiają pobranie plików np. z wynikam badań w postaci PDF. Zwróć uwagę, żeby nie zgrywać takich plików z Twoimi wrażliwymi danymi na publicznie dostępny komputer – pliki takie mogą zostać odzyskane przez zainteresowaną osobę nawet po ich usunięciu (przeniesieniu „do kosza”).
    - Czytaj komunikaty wyświetlane na stronach serwisów Szpitala. Niektóre serwisy oferują możliwość zapoznania się z funkcjami serwisu i sposobem logowania. Przed pierwszym logowaniem zaleca się zapoznanie z taką instrukcją.
    - Nie wchodź na podejrzane strony internetowe. Uważaj na skrócone linki, które kierują do ww. stron. Strony te mogą zawierać szkodliwe oprogramowanie, które ma za zadanie zainfekować Twój komputer/system teleinformatyczny.
    - Popularne przeglądarki internetowe informują o podejrzanych stronach internetowych. Potraktuj poważnie tego typu ostrzeżenia i nie wchodź na te strony.
    - Najprostszym sposobem weryfikacji, co kryje się pod skróconym linkiem, jest skorzystanie z rozszerzenia do przeglądarki, które zweryfikuje skrócony link (np. Unshorten.it – dla każdej przeglądarki, Unshorten.me dla przeglądarki Chrome, Unshorten.link dla przeglądarki Firefox).
  2. Oprogramowanie antywirusowe.
    Programy złośliwe i wirusy zazwyczaj są przesyłane w formie załącznika, którego nie należy otwierać. Za pomocą takiego załącznika hakerzy mogą uzyskiwać dostęp do prywatnych danych i haseł, instalując na Twoim komputerze oprogramowania śledzące każdy Twój tekst. Takie oprogramowanie bardzo często infekuje również inne adresy mailowe użytkownika. Przed zalogowaniem się do serwisów Szpitala, upewnij się, że urządzenie, z którego korzystasz (np. komputer, tablet, komórka) posiada zainstalowane wszystkie aktualizacje i posiada aktywny system bezpieczeństwa antywirusowego. Dobrej jakości program antywirusowy wychwyci i zatrzyma szkodliwe oprogramowanie zanim jeszcze zostanie ono pobrane do systemu.
  3. Inne zalecenia dotyczące korzystania z systemów teleinformatycznych
    - Pobieraj oprogramowanie (w tym aplikacje na telefon) wyłącznie ze stron producentów tego oprogramowania – oficjalnych sklepów:
        - Google Play dla Android,
        - App Store dla iOS,
        - Microsoft Store dla Windows.
    Serwisy oferujące możliwość pobrania oprogramowania często obok pobieranego oprogramowania instalują dodatkowe niechciane, nierzadko szkodliwe oprogramowanie. Nie instaluj oprogramowania, do którego otrzymałeś link w komunikatorze, SMS’em bądź w wiadomości mailowej.
    - Zadbaj o regularną aktualizację oprogramowania, w tym aktualizacje systemu operacyjnego oraz oprogramowania aplikacyjnego, w tym również przeglądarek internetowych, oprogramowania do obsługi poczty e-mail oraz komunikatorów internetowych. Pamiętaj, że wciąż trwa wyścig między producentami sprzętu i oprogramowania oraz cyberprzestępcami, którzy próbują uzyskać dostęp do danych. Cyberprzestępcy szukają luk i błędów w tym oprogramowaniu.
    - Nie instaluj nielegalnego oprogramowania, w tym CRACK-ów do płatnego oprogramowania. Jest to nielegalne, a poza tym ww. CRACK-i zawierają w sobie szkodliwe oprogramowanie.
    - Nie otwieraj podejrzanych wiadomości, w szczególności nie otwieraj podejrzanych plików pochodzących od nieznanych nadawców, które otrzymałeś za pośrednictwem poczty e-mail. Zachowaj szczególną ostrożność w przypadku otrzymania wiadomości e-mail lub SMS zawierających prośby o kliknięcie w link lub odesłanie SMS. Załączniki te nierzadko zawierają oprogramowanie, które ma za zadanie zainfekować Twój komputer.
    W szczególności unikaj otwierania załączników z rozszerzeniem .exe, .bat, .vbs, .ps i innych plików wykonywalnych.
    - Ogranicz korzystanie z sieci ogólnodostępnych. Nie korzystaj z usług sieciowych (w tym nie loguj się do systemów teleinformatycznych Szpitala) w sieciach ogólnodostępnych (np. darmowych sieciach Wi-Fi). Sieci ogólnodostępne mogą śledzić każdy Twój ruch oraz dane, które przesyłasz do poszczególnych stron internetowych.
    - Wybierz odpowiednią pocztę elektroniczną. Korzystaj – w miarę możliwości – z poczty elektronicznej, która posiada funkcjonalność skanowania przesyłanej poczty pod kątem ewentualnych wirusów.
    - Właściwie postępuj z hasłami:
       - nie stosuj tych samym haseł do kilku kont (zadbaj, aby hasło, które stosujesz do zalogowania w serwisach Szpitala było inne niż to, które stosujesz do innych kont),
       - nie zapamiętuj haseł w przeglądarkach internetowych, w tym nie zapamiętuj haseł, którymi logujesz się w serwisach Szpitala ani innych haseł do swoich kont w usługach sieciowych (np. podczas logowania do poczty e-mail, bankowości, do for i serwisów społecznościowych),
       - stosuj silne, ale łatwe do zapamiętania, hasła do swoich kont. Pamiętaj przy tym, że cyberprzestępcy – przy wykorzystaniu odpowiedniego oprogramowania – codziennie próbują uzyskać dostęp do kont wielu użytkowników. Używanie silnych haseł jest zatem niezbędne, aby chronić swoją tożsamość oraz informacje na swój temat.
       - zmieniaj hasła (zadbaj o regularną zmianę haseł do kont),
       - jeśli to możliwe, włącz uwierzytelnianie wieloskładnikowe (najczęściej dwuskładnikowe), unikaj korzystania z usług, które nie dają Ci możliwości zastosowania w/w uwierzytelniania wieloskładnikowego.
    Uwierzytelnienie wieloskładnikowe to bardzo dobry sposób zabezpieczenia kont, w tym m.in. kont bankowych, kont poczty e-mail czy profili w mediach społecznościowych, gdyż dzięki niemu – nawet jeśli cyberprzestępca w jakiś sposób pozna nasze hasło – nie dostanie się do konta bez podania drugiego składnika weryfikującego – sms, dodatkowego kodu lub potwierdzenia operacji w aplikacji, pamiętaj przy tym, że jeśli cyberprzestępca uzyska dostęp do Twojej poczty e-mail, to może ją wykorzystać do zresetowania haseł do innych kont, w tym do serwisów Szpitala.
    Opcja wieloskładnikowego uwierzytelnienia zwykle znajduje się w ustawieniach zabezpieczeń danego konta (np. pod nazwą „weryfikacja dwuskładnikowa”, „dwuskładnikowe uwierzytelnianie”).
       - nigdy nie podawaj swoich haseł osobom trzecim (hasło jest daną poufną, administratorzy serwisów nigdy nie proszą użytkowników tych serwisów o podanie hasła),
       - nigdy nie zapisuj haseł i nie przechowuj ich w miejscach dostępnych dla innych osób (w tym zwłaszcza na karteczce przy stacji roboczej).
    - Dbaj o swoją prywatność. Ogranicz informacje o sobie. Pamiętaj, że anonimowość w Internecie nie istnieje, gdyż każde Twoje działanie pozostawia po sobie cyfrowe ślady, a cyberprzestępcy mogą próbować wykorzystać dane o Tobie w celu uzyskania dostępu do Twoich kont lub podszycia się pod Ciebie. Zapamiętaj:
    - nie udostępniaj wielu informacji na swój temat: udostępniaj w Internecie, w tym m.in. w serwisach społecznościowych, dane w sposób rozsądny i w takim zakresie, jaki jest konieczny (pamiętaj, że ciężko usunąć z Internetu informacje, które w nim się pojawiły oraz, że korzystanie z mediów społecznościowych tylko pozornie jest bezpłatne, gdyż walutą są Twoje dane oraz reputacja użytkownika),
    - aktywuj rozwiązania zwiększające prywatność i bezpieczeństwo (prawie wszystkie serwisy społecznościowe posiadają tego typu opcje), w tym np.:
        - zamień konto publiczne na prywatne (tj. konto, na którym publikowane materiały i informacje są widoczne dla wszystkich użytkowników Internetu na konto, na którym publikowane materiały i informacje są widoczne wyłącznie dla użytkowników, którym zezwolisz na obserwację),
        - ogranicz dostępność publikowanych przez Ciebie materiałów i informacji do określonych osób (np. „widoczne tylko dla znajomych”, „widoczne tylko dla…”, „widoczne dla wszystkich znajomych z wyjątkiem…”),
        - dodawaj w serwisach społecznościowych do list znajomych wyłącznie osoby, które rzeczywiście znasz, oraz którym ufasz (przyjmując nową osobę do grona znajomych, najczęściej udostępniasz jej swoje prywatne zdjęcia oraz inne informacje o Tobie).
    - Zachować ostrożność korzystając z komunikatorów internetowych, w tym zachowaj szczególną ostrożność, jeśli otrzymasz od znajomego wiadomość, która wyda Ci się nietypowa lub budzi Twoje wątpliwości, w tym:
        - nie odpowiadaj na podejrzane wiadomości i nie klikaj w podejrzane linki,
        - nie ujawniaj danych poufnych (np. danych logowania) oraz nie realizuj próśb o szybkie przesłanie kodu BLIK/dokonanie płatności (pamiętaj, że – po pierwsze – ktoś może podawać się za Twojego znajomego / przejął jego konto oraz, że – po drugie – nieszyfrowane wiadomości tekstowe mogą zostać przechwycone). Jeśli otrzymasz prośbę od znanej osoby o pożyczenie pieniędzy, kod BLIK bądź podobne, przerwij konwersację i wykonaj połączenie głosowe do tej osoby aby potwierdzić wiadomość.
    - Pamiętaj, że po „drugiej stronie” nie koniecznie jest ta osoba, za którą się podaje.
    - Zwracaj uwagę na nietypowe zdarzenia. Mogą one świadczyć o tym, że ktoś uzyskał dostęp do jednego z Twoich kont:
    - wiadomość e-mail informująca o zmianie danych logowania, która nie została przez Ciebie zainicjowana,
    - znajdujący się na Twoim koncie materiał (np. zdjęcie, video) lub informacja, której nie jesteś autorem,
    - napływ spamu, np. sporej ilości reklam,
    - problem z logowaniem do konta.
    - Zgłaszaj zauważone nieprawidłowości. Umożliwi to – w przypadku stwierdzenia zagrożenia – powiadomienie organów ścigania.
    - Zadbaj o ochronę Twoich danych również poza siecią Internet, w tym nigdy nie wyrzucaj dokumentacji papierowej (w tym m.in. swojej dokumentacji medycznej) ani innych nośników zawierających Twoje dane osobowe (w tym m.in. nośników elektronicznych i optycznych zawierających Twoje dane medyczne) do kosza (dane zawarte w tej dokumentacji oraz na tych nośnikach mogą zostać wykorzystane przez cyberprzestępców np. w celu włamania się na Twoje konta dotyczące dostępnych usług świadczeniodawców lub w celu podszycia się pod Twoją osobę).

Więcej informacji można znaleźć:
Jak chronić się przez cyberatakami? – poradnik: https://www.gov.pl/attachment/5a702c24-aaaa-4da0-9502-ea1c940a31d
Baza wiedzy o cyberbezpieczeństwie: https://www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo
Krajowy System Cyberbezpieczeństwa: https://www.nask.pl/pl/dzialalnosc/cyberbezpieczenstwo/3284,Cyberbezpieczenstwo.html
Departament Cyberbezpieczeństwa: https://www.gov.pl/web/cyfryzacja/cyberbezpieczenstwo

Znajdziesz nas na zobacz nas na Facebook zobacz nas na YouTube
Posiadamy kontrakt z NFZ Biuletyn Informacji Publicznej

Projekt i realizacja © 2013 Agencja Reklamowa idealmedia.pl - Profesjonalny system CMS. Wszystkie materiały,
loga, zdjęcia zawarte na stronie chronione są prawem autorskim i bez zgody nie mogą być używane i powielane.

Cookies | Polityka Prywatności | CMS

Ilość wyświetleń strony: 2 181 232


Wydruk pochodzi ze strony: http://www.szpital.elblag.pl/pacjent/p,370,cyberbezpieczenstwo.html