Cyberbezpieczeństwo
Zespół Opieki Zdrowotnej w Łęczycy decyzją Ministra Zdrowia został ustanowiony operatorem usługi kluczowej w sektorze ochrony zdrowia, polegającej na udzielaniu świadczeń opieki zdrowotnej oraz obrocie i dystrybucji produktów leczniczych, zgodnie z art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022r. poz. 1863 ze zm.)
Operator usługi kluczowej ma podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarzadzania ryzykami, na jakie narażone są wykorzystywane są przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.
Zespół Opieki Zdrowotnej w Łęczycy, zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, zapewnienia użytkownikom usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowania skutecznych sposobów zabezpieczania się przed tymi zagrożeniami.
Cyberbezpieczeństwo, zgodnie z art. 2 pkt. 4 ustawy o krajowym systemie cyberbezpieczeństwa, to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
Przedstawiamy Państwu najważniejsze informacje dotyczące najczęściej występujących cyberataków:
- Malware, czyli złośliwe oprogramowanie, które bez zgody i wiedzy użytkownika wykonuje na komputerze działania na korzyść osoby trzeciej.
- Man in the Middle jest rodzajem ataku polegającym na uczestniczeniu osoby trzeciej np. w transakcji pomiędzy sklepem internetowym a klientem. Celem takich ataków jest przechwycenie informacji lub środków pieniężnych (np. uzyskanie danych niezbędnych do logowania w systemie bankowości elektronicznej).
- Cross site scripting polegający na umieszczeniu na stronie internetowej specjalnego kodu, którego kliknięcie przez użytkownika powoduje przekierowanie na inną stronę internetową (np. na witrynę konkurencji).
- Phishing jest to atak polegający na dokonywaniu prób przejęcia haseł służących użytkownikowi do logowania na np. portalach społecznościowych, do których dostęp umożliwia atakującym uzyskanie danych osobowych użytkownika.
- DDoS, czyli atak, którego celem jest zablokowanie możliwości logowania użytkownika na stronę internetową poprzez jednoczesne logowanie na tę samą stronę się wielu użytkowników. Wywoływany w ten sposób sztuczny ruch wzmacnia zainteresowanie użytkowników np. produktem dostępnym w sklepie internetowym.
- SQL Injection jest atakiem polegającym na wykorzystywaniu przez przestępców luk występujących w zabezpieczeniach np. aplikacji i pozwalającym na uzyskanie przez osoby nieuprawione danych osobowych.
- Ransomware to rodzaj ataku, którego celem jest przejęcie i zaszyfrowanie danych użytkownika po to aby w następnym kroku udostępnić te same dane użytkownikowi pod warunkiem wniesienia przez niego “okupu”.
- Malvertising pozwala przestępcom na dotarcie do użytkowników przeglądających zaufane strony internetowe poprzez nośniki jakimi są udostępniane na stronach internetowych reklamy, a następnie na instalowanie bez wiedzy i zgody użytkownika złośliwego oprogramowania na urządzeniach użytkownika.
Zachęcamy do śledzenia informacji publikowanych w szczególności na stronach zespołów reagowania na incydenty bezpieczeństwa informatycznego, np.:
- na stronie internetowej pierwszego w Polsce zespołu reagowania na incydenty informatyczne CERT.PL: https://www.cert.pl/
- przygotowanych przez CERT.PL publikacji: https://www.cert.pl/publikacje/
- cyklicznego, bezpłatnego biuletynu porad bezpieczeństwa dla użytkowników komputerów OUCH!: https://www.cert.pl/ouch/
Podstawowym elementem bezpieczeństwa w sieci Internet jest zastosowanie zasady ograniczonego zaufania i podwyższonej ostrożności.
Przedstawiamy Państwu podstawowe kwestie bezpiecznej pracy w sieci Internet:
- Używaj oprogramowania antywirusowego i zapory sieciowej (firewall).
- Korzystaj wyłącznie z legalnego oprogramowania.
- Staraj się nie korzystać z sieci publicznych, jeżeli logujesz się do systemu.
- Regularnie aktualizuj oprogramowanie oraz bazy danych wirusów.
- Nie otwieraj podejrzanych e-maili oraz załączników. Zwracaj szczególną uwagę na załączniki posiadające kilka rozszerzeń plików jednocześnie np. faktura.pdf.zip, dokument.jar.doc.
- Nie korzystaj ze stron, które nie mają ważnego certyfikatu (np. brak protokołu https) chyba, że masz stuprocentową pewność z innego źródła, że strona taka jest bezpieczna.
- Nie zostawiaj swoich danych osobowych w niesprawdzonych serwisach i na stronach, zawsze czytaj dokładnie Regulaminy i Polityki, weryfikuj na co wyrażasz zgodę.
- Nie wysyłaj e-mailem poufnych danych bez ich szyfrowania.
- Pamiętaj, że szpital, bank, czy urząd nie wysyła e-maili do swoich pacjentów/klientów/interesantów z prośbą o podanie hasła lub loginu do jakichkolwiek systemów w celu ich weryfikacji.
- Regularnie aktualizuj system operacyjny na Twoim komputerze.
- Aplikacje i programy pobieraj wyłącznie z oficjalnych źródeł.
Zalecamy również stosowanie poniższych środków bezpieczeństwa:
- Blokuj ekran swojego urządzenia (np. hasło, PIN).
- Włącz ustawienia blokady ekranu Twojego urządzenia.
- Wpisując swoje hasło, pin, login zweryfikuj, czy nikt Cię nie nagrywa lub nie widzi tego, co wpisujesz.
- Nie udostępniaj nikomu swojego loginu i hasła do systemu.
- Unikaj stosowania haseł, które można łatwo z Tobą powiązać.
- Hasło powinno mieć co najmniej 8 znaków w tym litery, cyfry i znaki specjalne.
- Nie zapisuj haseł na kartkach, w notatniku
- Stosuj różne hasła w różnych systemach.
- Unikaj logowania do systemów z cudzych urządzeń.
- Staraj się nie zapisywać haseł w pamięci przeglądarki.
- Przed sprzedażą / oddaniem urządzenia innej osobie, usuń z niego wszystkie dane.
- Jeżeli masz taką możliwość korzystaj z nakładek prywatyzujących na monitor (również w urządzeniu mobilnym) w miejscach publicznych.
- Smartfony i tablety coraz częściej zastępują inne urządzenia osobiste. Pamiętaj, że podobnie jak domowe komputery, nasze urządzenia mobilne wymagają odpowiedniej ochrony przed wirusami, dlatego również na smartfonie używaj oprogramowania antywirusowego.
- Instaluj aktualizacje aplikacji i systemu operacyjnego w swoim urządzeniu mobilnym.
- Pobieraj i instaluj aplikacje wyłącznie z oficjalnych sklepów z aplikacjami.
- Nie uruchamiaj linków z wiadomości SMS lub e-mail, jeśli nie masz pewności, że pochodzą z bezpiecznego i zaufanego źródła.
- Jeżeli nie korzystasz w danej chwili z Wi-Fi lub Bluetooth, wyłącz je.
Zgłaszanie incydentów bezpieczeństwa:
Każdy pacjent, osoba odwiedzająca pacjentów, pracownik, współpracownik Zespołu Opieki Zdrowotnej w Łęczycy, w przypadku zauważenia:
- próby przełamania zabezpieczeń, próby nieautoryzowanego wejścia na chroniony obszar;
- powzięcia wątpliwości co do stanu technicznego urządzeń informatycznych, na których przetwarzane są dane osobowe;
- innych budzących wątpliwości w zakresie przestrzegania bezpieczeństwa informacji, a mogących wpłynąć na świadczenie usług, proszony jest o zgłoszenie niezwłocznie zaobserwowanej sytuacji na adres e-mail: incydent@zozleczyca.pl.