Cyberbezpieczeństwo

Cyberbezpieczeństwo – podstawowe informacje dla użytkownika systemów informatycznych Wojewódzkiego Szpitala Specjalistycznego w Białej Podlaskiej

Na podstawie art. 104 § 1 i art. 107 ustawy z dnia 14 czerwca 1960 r. – Kodeks Postępowania Administracyjnego (Dz. U. z 2020 r. poz. 256, z późn. zm.), w związku z art. 5 ust. 2, art. 41 pkt. 6 oraz art. 42 ust. 1 pkt. 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z późn. zm.), Decyzją Ministra Zdrowia z dnia 06 lipca 2021 r. Wojewódzki Szpital Specjalistyczny w Białej Podlaskiej został uznany za operatora usługi kluczowej w sektorze ochrony zdrowia, polegającej na:

  1. udzielaniu świadczeń opieki zdrowotnej przez podmiot leczniczy,
  2. obrocie i dystrybucji produktów leczniczych.

Wojewódzki Szpital Specjalistyczny w Białej Podlaskiej jako operator usługi kluczowej posiada wdrożony system zarządzania bezpieczeństwem informacji w oparciu o wymagania międzynarodowego standardu ISO/IEC 27001, którego celem jest minimalizowanie ryzyka zaistnienia zagrożeń mających niekorzystny wpływ na proces świadczenia usługi kluczowej.

Szpital podejmuje odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia usługi kluczowej, z myślą o zapewnieniu ich ciągłości działania.

W celu zminimalizowania ryzyka wystąpienia zagrożeń w cyberprzestrzeni, poniżej przedstawiono ogólne rekomendacje dotyczące bezpiecznej pracy na komputerze (korzystania z e-usług i portali internetowych) oraz podstawowe zasady dotyczące tworzenia silnych haseł, bezpiecznego przeglądania korespondencji elektronicznej oraz zabezpieczania plików wysyłanych za pośrednictwem poczty elektronicznej.

Ogólne rekomendacje bezpiecznej pracy na komputerze:

  1. Posiadanie zainstalowanego oprogramowania antywirusowego i jego aktualizacja.
  2. Korzystanie z najnowszych wersji przeglądarek internetowych posiadających zainstalowane aktualizacje.
  3. Posiadanie systemu operacyjnego z włączoną funkcją automatycznych aktualizacji i instalowanie aktualizacji zaraz po ich udostępnieniu przez firmę dostarczającą oprogramowanie.
  4. Zwracanie szczególnej uwagi na poziom bezpieczeństwa danego portalu – symbolami wskazującymi na bezpieczeństwo są m.in. „zielona kłódka” informująca, że strona jest wyposażona w sprawdzony i ważny certyfikat lub element „https”, oznaczający, że strona jest szyfrowana. Przy spostrzeżeniu czerwonej kłódki z krzyżykiem należy zachować szczególną ostrożność. Nie zaleca się wprowadzania danych na takich stronach internetowych, gdyż istnieje możliwość podszywania się pod określoną witrynę celem przechwycenia cenne informacji.
  5. Używanie silnych haseł.
  6. Nie używanie tych samych haseł dla różnych kont i systemów.
  7. Wdrożenie dwuskładnikowego logowania wszędzie tam, gdzie jest to możliwe.
  8. Nieużywanie poczty służbowej do celów prywatnych i poczty prywatnej do celów służbowych.
  9. Ograniczenie umieszczania w tzw. chmurze plików informacji zawierających wrażliwe dane.
  10. Ograniczenie logowania się na swoje konta internetowe przy pomocy publicznego Wi-fi lub na publicznych komputerach.
  11. Nie otwieranie nieznanych linków i załączników w wiadomościach e-mail.

Podstawowe zasady bezpiecznego korzystania z poczty elektronicznej:

  1. Należy upewnić się czy nadawca jest nam znany oraz czy faktycznie oczekiwaliśmy takiej korespondencji.
  2. Należy zwracać uwagę na otwierane załączniki. Złośliwe oprogramowanie może być ukryte pod dowolnym plikiem, także multimedialnym, np. pliki graficzne, PDFy, MS Word lub MS Excel, wideo, archiwa itp.
  3. Należy zwracać uwagę na znajdujące się w treści wiadomości e-mail odnośniki. Jeśli wydają się nam podejrzane, to nie należy ich otwierać.
  4. Nie należy otwierać korespondencji mailowej bądź załączników pochodzących z nieznanych lub nie budzących zaufania źródeł.

Zasady tworzenia silnych haseł:

  1. Stosowanie co najmniej 12 znakowych haseł.
  2. Hasło nie powinno zawierać danych związanych z Twoją osobą, takich jak: imię, nazwisko, powszechnie znane fakty z Twojego życia czy otoczenia. Także inne informacje, które łatwo zdobyć, takie jak data urodzenia, numer telefonu, numer rejestracyjny samochodu, nazwa ulicy, numer mieszkania/domu itd.
  3. Hasło nie powinno być imieniem nikogo z Twojego najbliższego otocznia (członka rodziny, znajomego czy też zwierząt domowych).
  4. W haśle nie należy używać słów, które tworzą znane wszystkim lokacje, powiedzenia, tytuły, cytaty, teksty piosenek.
  5. Nie należy posługiwać się jednym hasłem w wielu miejscach, to samo dotyczy loginu. Rekomenduje się, aby dla każdego systemu tworzyć nowe hasło.
  6. Nie należy zapisywać haseł w miejscach ogólnodostępnych np.: w pracy na monitorze, pod klawiaturą, elektronicznie na wspólnych udziałach sieciowych.
  7. Należy unikać powtarzalnych schematów, np.: MamyNOwyRok1, MamyNOwyRok2 itd.
  8. Należy unikać sekwencji z kolejnych klawiszy na klawiaturze, np.: qwerty, poiuyt, vgy7, Ookm, lqaz, mju7.
  9. Należy unikać wysyłania hasła jawnie w treści korespondencji, np. mailem lub na czacie.
  10. Nie należy używać pojedynczego wyrazu dowolnego języka pisanego normalnie lub wspak, ani tego wyrazu poprzedzonego lub/i zakończonego znakiem specjalnym lub cyfrą.
  11. Zaleca się tworzenie haseł poprzez użycie np. trzech losowych słów.
  12. Używanie menadżerów haseł w celu bezpiecznego zarządzania nimi.
  13. Nie udostępnianie nikomu swoich haseł.
  14. Nie stosowanie do celów służbowych haseł używanych do celów prywatnych oraz odwrotnie - haseł prywatnych do celów służbowych.
  15. Zaleca się cykliczne zmiany haseł (średnio co 60 dni) oraz niezwłocznie, w przypadku podejrzenia, że hasło mogło zostać ujawnione osobie nieuprawnionej.
Zabezpieczanie plików wysyłanych za pośrednictwem poczty elektronicznej:
  1. Zaleca się wykorzystywanie narzędzi do kompresji plików (np. 7zip) z opcją nadania hasła do archiwum.
  2. Rekomenduje się korzystanie z narzędzi z wbudowanym mechanizmem szyfrowania (np. Word, Excel).
  3. Rekomenduje się korzystanie z dedykowanych narzędzi szyfrujących dane/plik (np. PGP).
  4. UWAGA: hasło do pliku zawsze powinno zostać wysłane odbiorcy innym kanałem niż przekazany był plik, np. SMS-em lub przekazane w rozmowie telefonicznej po uprzednim zweryfikowaniu tożsamości adresata.

 

Reakcja na niepożądane zdarzenia (incydenty) lub podatności:

Wszystkie osoby korzystające z usług Wojewódzkiego Szpitala Specjalistycznego w Białej Podlaskiej lub odwiedzające pacjentów, w szczególności Pacjenci i Pracownicy Szpitala w przypadku zauważenia:

  • próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar Szpitala,
  • pozostawionego bez opieki bagażu (torby, walizki),
  • próby pozyskania w sposób nielegalny danych o innej osobie,
  • powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe,
  • próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala,
  • innych zdarzeń budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogące mieć wpływ na świadczenie usług lub mogących mieć wpływ na bezpieczeństwo informacji,

są zobowiązani notować wszystkie szczegóły związane z zaistniałą sytuacją oraz niezwłocznie zgłosić ją na adres e-mail: cyberbezpieczenstwo@szpitalbp.pl

 

Użytkownikowi zgłaszającemu zdarzenie lub naruszenie bezpieczeństwa informacji, zabrania się wykonywania jakichkolwiek działań „na własną rękę” rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy. Powyższe działania mają na celu zapobieganie incydentom na wczesnym etapie ich rozwoju.

Za szybką reakcję na pojawiające się incydenty z góry dziękujemy.

Pliki do pobrania

Cyberbezpieczeństwo

Powrót na początek strony