W związku z ogłoszeniem stanu alarmowego CHARLIE-CRP Centrum e-Zdrowie opublikowało rekomendacje cyberbezpieczeństwa dla jednostek ochrony zdrowia. Poniżej publikujemy treść rekomendacji w całości.

Rekomendacja

W związku z ogłoszeniem stanu alarmowego CHARLIE-CRP na terenie całego kraju Centrum e-Zdrowia rekomenduje:

    1. Każda jednostka ochrony zdrowia powinna posiadać linię telefoniczną typu PSTN. Linia tego typu powinna być doprowadzona do centrum zarządzania, dyrektora jednostki lub innych osób koordynujących działania jednostki w sytuacjach kryzysowych. Linia musi być odporna na brak zasilania w jednostce.
    2. Przygotowanie procedur i zespołów odpowiedzialnych za ciągłość pracy systemów informatycznych oraz procedur dotyczących awaryjnego gaszenia i uruchamiania systemów informatycznych.
    3. Wykonanie przeglądu stosowanych polityk wykonywania kopii zapasowych obejmujących:
      • system obsługi "części białej", w którym są gromadzone dane medyczne,
      • system kadrowo-płacowy i finansowo-księgowy,
      • inne, krytyczne dla jednostki ochrony zdrowia systemy z punktu widzenia ciągłości działania.

Ze względu na możliwość cyberataku kopie zapasowe systemów medycznych i danych medycznych muszą być wykonywane na bieżąco. Po wykonaniu kopii nośniki należy separować od sieci teleinformatycznej. Kopie muszą być wykonywane w trybie dobowym, jako kopie pełne lub przyrostowe z zachowaniem ostatniej pełnej kopii danych.

4. Rekomendacje dla zabezpieczenia transmisji danych:

  • ograniczenie dostępów zdalnych za pomocą protokołu RDP, SSH - w szczególności z zewnątrz organizacji,
  • szyfrowanie ruchu protokołem SSL,
  • wykorzystywanie sieci VPN do połączeń zdalnych.

Szczegółowa rekomendacja

    Rekomendacje w zakresie kopii bezpieczeństwa dla służb informatycznych:
  1. Wykonanie przeglądu czy system kopii zapasowych działa prawidłowo i czy wykonuje swoje zadanie zgodnie z zadanym harmonogramem.
  2. Wykonywanie kopii bezpieczeństwa zgodnie z harmonogramem raz dziennie kopia różnicowa lub przyrostowa oraz raz w tygodniu pełna kopia.
  3. Weryfikację czy wykonane kopie zapasowe faktycznie pozwolą na odtworzenie całych systemów wraz z danymi i konfiguracją.
  4. Wykonywane kopie zapasowe nie mogą być podłączone jako zasób sieciowy jako jedyny zasób.
  5. Wykonanie testów odtworzenia systemów w izolowanym środowisku. Działanie takie powinno odbywać się cyklicznie.
  6. Stosowanie strategii 3-2-1:
    • należy przechowywać co najmniej 3 kopie zapasowe,
    • co najmniej 2 z nich powinny być przechowywane na różnych nośnikach,
    • co najmniej 1 z nich powinna być odizolowana od pozostałych oraz sieci lokalnej (odmiejscowienie).
  7. Przygotowanie planu działania na scenariusz utraty systemu kopii zapasowych razem z kopiami – powołanie nowej maszyny, instalacja OS oraz systemu kopii, wgranie kopii konfiguracji systemu kopii, podłączenie kopii zapasowych.
  8. System kopii zapasowych powinien być w dedykowanej podsieci. Przepuszczony ruch pomiędzy hostami i systemem kopii powinien być minimalny, niezbędny – określone porty. System kopii powinien działań na dedykowanych kontach bez praw administratora domenowego.
  9. Systemem kopii zapasowych objęte powinny być systemy niezbędne dla zachowania ciągłości działania podmiotu oraz systemy przetwarzająca dane osobowe i wrażliwe.

Biorąc pod uwag trwającą pandemię należy mieć na uwadze, że priorytetem jest zachowanie ciągłości działania oraz świadczenia usług.