Cyberbezpieczeństwo
Cyberbezpieczeństwo – podstawowe informacje dla użytkownika systemów informatycznych Wojewódzkiego Szpitala Specjalistycznego w Białej Podlaskiej
Na podstawie art. 104 § 1 i art. 107 ustawy z dnia 14 czerwca 1960 r. – Kodeks Postępowania Administracyjnego (Dz. U. z 2020 r. poz. 256, z późn. zm.), w związku z art. 5 ust. 2, art. 41 pkt. 6 oraz art. 42 ust. 1 pkt. 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z późn. zm.), Decyzją Ministra Zdrowia z dnia 06 lipca 2021 r. Wojewódzki Szpital Specjalistyczny w Białej Podlaskiej został uznany za operatora usługi kluczowej w sektorze ochrony zdrowia, polegającej na:
- udzielaniu świadczeń opieki zdrowotnej przez podmiot leczniczy,
- obrocie i dystrybucji produktów leczniczych.
Wojewódzki Szpital Specjalistyczny w Białej Podlaskiej jako operator usługi kluczowej posiada wdrożony system zarządzania bezpieczeństwem informacji w oparciu o wymagania międzynarodowego standardu ISO/IEC 27001, którego celem jest minimalizowanie ryzyka zaistnienia zagrożeń mających niekorzystny wpływ na proces świadczenia usługi kluczowej.
Szpital podejmuje odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia usługi kluczowej, z myślą o zapewnieniu ich ciągłości działania.
W celu zminimalizowania ryzyka wystąpienia zagrożeń w cyberprzestrzeni, poniżej przedstawiono ogólne rekomendacje dotyczące bezpiecznej pracy na komputerze (korzystania z e-usług i portali internetowych) oraz podstawowe zasady dotyczące tworzenia silnych haseł, bezpiecznego przeglądania korespondencji elektronicznej oraz zabezpieczania plików wysyłanych za pośrednictwem poczty elektronicznej.
Ogólne rekomendacje bezpiecznej pracy na komputerze:
- Posiadanie zainstalowanego oprogramowania antywirusowego i jego aktualizacja.
- Korzystanie z najnowszych wersji przeglądarek internetowych posiadających zainstalowane aktualizacje.
- Posiadanie systemu operacyjnego z włączoną funkcją automatycznych aktualizacji i instalowanie aktualizacji zaraz po ich udostępnieniu przez firmę dostarczającą oprogramowanie.
- Zwracanie szczególnej uwagi na poziom bezpieczeństwa danego portalu – symbolami wskazującymi na bezpieczeństwo są m.in. „zielona kłódka” informująca, że strona jest wyposażona w sprawdzony i ważny certyfikat lub element „https”, oznaczający, że strona jest szyfrowana. Przy spostrzeżeniu czerwonej kłódki z krzyżykiem należy zachować szczególną ostrożność. Nie zaleca się wprowadzania danych na takich stronach internetowych, gdyż istnieje możliwość podszywania się pod określoną witrynę celem przechwycenia cenne informacji.
- Używanie silnych haseł.
- Nie używanie tych samych haseł dla różnych kont i systemów.
- Wdrożenie dwuskładnikowego logowania wszędzie tam, gdzie jest to możliwe.
- Nieużywanie poczty służbowej do celów prywatnych i poczty prywatnej do celów służbowych.
- Ograniczenie umieszczania w tzw. chmurze plików informacji zawierających wrażliwe dane.
- Ograniczenie logowania się na swoje konta internetowe przy pomocy publicznego Wi-fi lub na publicznych komputerach.
- Nie otwieranie nieznanych linków i załączników w wiadomościach e-mail.
Podstawowe zasady bezpiecznego korzystania z poczty elektronicznej:
- Należy upewnić się czy nadawca jest nam znany oraz czy faktycznie oczekiwaliśmy takiej korespondencji.
- Należy zwracać uwagę na otwierane załączniki. Złośliwe oprogramowanie może być ukryte pod dowolnym plikiem, także multimedialnym, np. pliki graficzne, PDFy, MS Word lub MS Excel, wideo, archiwa itp.
- Należy zwracać uwagę na znajdujące się w treści wiadomości e-mail odnośniki. Jeśli wydają się nam podejrzane, to nie należy ich otwierać.
- Nie należy otwierać korespondencji mailowej bądź załączników pochodzących z nieznanych lub nie budzących zaufania źródeł.
Zasady tworzenia silnych haseł:
- Stosowanie co najmniej 12 znakowych haseł.
- Hasło nie powinno zawierać danych związanych z Twoją osobą, takich jak: imię, nazwisko, powszechnie znane fakty z Twojego życia czy otoczenia. Także inne informacje, które łatwo zdobyć, takie jak data urodzenia, numer telefonu, numer rejestracyjny samochodu, nazwa ulicy, numer mieszkania/domu itd.
- Hasło nie powinno być imieniem nikogo z Twojego najbliższego otocznia (członka rodziny, znajomego czy też zwierząt domowych).
- W haśle nie należy używać słów, które tworzą znane wszystkim lokacje, powiedzenia, tytuły, cytaty, teksty piosenek.
- Nie należy posługiwać się jednym hasłem w wielu miejscach, to samo dotyczy loginu. Rekomenduje się, aby dla każdego systemu tworzyć nowe hasło.
- Nie należy zapisywać haseł w miejscach ogólnodostępnych np.: w pracy na monitorze, pod klawiaturą, elektronicznie na wspólnych udziałach sieciowych.
- Należy unikać powtarzalnych schematów, np.: MamyNOwyRok1, MamyNOwyRok2 itd.
- Należy unikać sekwencji z kolejnych klawiszy na klawiaturze, np.: qwerty, poiuyt, vgy7, Ookm, lqaz, mju7.
- Należy unikać wysyłania hasła jawnie w treści korespondencji, np. mailem lub na czacie.
- Nie należy używać pojedynczego wyrazu dowolnego języka pisanego normalnie lub wspak, ani tego wyrazu poprzedzonego lub/i zakończonego znakiem specjalnym lub cyfrą.
- Zaleca się tworzenie haseł poprzez użycie np. trzech losowych słów.
- Używanie menadżerów haseł w celu bezpiecznego zarządzania nimi.
- Nie udostępnianie nikomu swoich haseł.
- Nie stosowanie do celów służbowych haseł używanych do celów prywatnych oraz odwrotnie - haseł prywatnych do celów służbowych.
- Zaleca się cykliczne zmiany haseł (średnio co 60 dni) oraz niezwłocznie, w przypadku podejrzenia, że hasło mogło zostać ujawnione osobie nieuprawnionej.
Zabezpieczanie plików wysyłanych za pośrednictwem poczty elektronicznej:
- Zaleca się wykorzystywanie narzędzi do kompresji plików (np. 7zip) z opcją nadania hasła do archiwum.
- Rekomenduje się korzystanie z narzędzi z wbudowanym mechanizmem szyfrowania (np. Word, Excel).
- Rekomenduje się korzystanie z dedykowanych narzędzi szyfrujących dane/plik (np. PGP).
- UWAGA: hasło do pliku zawsze powinno zostać wysłane odbiorcy innym kanałem niż przekazany był plik, np. SMS-em lub przekazane w rozmowie telefonicznej po uprzednim zweryfikowaniu tożsamości adresata.
Reakcja na niepożądane zdarzenia (incydenty) lub podatności:
Wszystkie osoby korzystające z usług Wojewódzkiego Szpitala Specjalistycznego w Białej Podlaskiej lub odwiedzające pacjentów, w szczególności Pacjenci i Pracownicy Szpitala w przypadku zauważenia:
- próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar Szpitala,
- pozostawionego bez opieki bagażu (torby, walizki),
- próby pozyskania w sposób nielegalny danych o innej osobie,
- powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe,
- próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
- innych zdarzeń budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogące mieć wpływ na świadczenie usług lub mogących mieć wpływ na bezpieczeństwo informacji,
są zobowiązani notować wszystkie szczegóły związane z zaistniałą sytuacją oraz niezwłocznie zgłosić ją na adres e-mail: cyberbezpieczenstwo@szpitalbp.pl
Użytkownikowi zgłaszającemu zdarzenie lub naruszenie bezpieczeństwa informacji, zabrania się wykonywania jakichkolwiek działań „na własną rękę” rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju.
Za szybką reakcję na pojawiające się incydenty z góry dziękujemy.