Operatorzy Usług Kluczowych (OUK) posiadają liczne obowiązki wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (ustawa ). ESKOM przygotował dla nich kompleksowy program wdrożenia składający się z III Faz, które realizują wymagania zawarte w ustawie. Dzięki skorzystaniu z wdrożenia, szpitale otrzymają rozwiązanie dostosowane do własnych potrzeb i charakterystyki dzięki czemu będą miały nie tylko więcej czasu na opiekę nad pacjentami ale też uchronią się przed ryzykiem zapłaty kar, które sięgają nawet 200 tys. zł.
OUK obowiązki – od czego zacząć w ochronie zdrowia?
Na podmioty zaklasyfikowane jako OUK z branży ochrony zdrowia zostały nałożone liczne obowiązki zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa.
W ciągu 3 miesięcy od otrzymania decyzji każdy Operator Usługi Kluczowej ma obowiązek rozpoczęcia stałego szacowania ryzyka dla swoich usług kluczowych i zarządzania incydentami. OUK zobligowany jest do wyznaczenia osoby kontaktowej z właściwym CSIRT. Ważną częścią obowiązków podmiotów leczniczych jest prowadzenie działań edukacyjnych dla pracowników, które powinny objaśniać procedury IT i szczegóły dotyczące sporządzania dokumentacji wynikającej z ustawy KSC.
W ciągu 6 miesięcy od otrzymania decyzji pojawia się konieczność dopełnienia kolejnych obowiązków. Podmiot ma za zadanie dokonać wdrożenia adekwatnego do szacowanego ryzyka. Obowiązkiem Operatora Usługi Kluczowej jest także zbieranie informacji o zagrożeniach i podatnościach oraz prowadzenie działań mających na celu podniesienie bezpieczeństwa systemów informatycznych. Szpital powinien także sporządzić wymaganą dokumentację.
Kolejną datą graniczną jest okres 12 miesięcy od otrzymania decyzji. Wówczas istnieje konieczność przeprowadzenia pierwszego audytu, który zakończony musi zostać raportem przekazywanym do wskazanego podmiotu.
Przedstawiamy III Fazy wdrożenia przez ESKOM rozwiązań spełniających wymagania nakładane na Operatora Usługi Kluczowej
Faza I
Faza I wdrożenia w szpitalu powinna odbyć się w ciągu 3 miesięcy od wskazania podmiotu jako Operatora Usługi Kluczowej. Eksperci ESKOM przeprowadzają wówczas analizę ryzyka. Po pierwsze, audytorzy wykonują identyfikację ryzyk prowadzonej działalności kluczowej w kontekście ustawy o krajowym systemie cyberbezpieczeństwa. Działania z zakresu identyfikacji ryzyka przeprowadza się zgodnie z metodologią ISO 27001 i ISO 31000. Drugim ważnym aspektem analizy ryzyka jest identyfikacja i wytypowanie procesów biznesowych oraz zasobów informacyjnych. Ryzyko identyfikowane jest w kontekście poszczególnych zasobów, a audytorzy opracowują listę krytycznych procesów biznesowych szpitala. Audyt pozwala na określenie przyczyn wystąpienia ryzyka. Pracownicy sporządzają listę ryzyk i oceniają wpływ ryzyka na prowadzenie biznesu. Ważnym aspektem tej fazy wdrożenia jest oszacowanie prawdopodobieństwa wystąpienia i wagi poszczególnych ryzyk. Eksperci ESKOM znają nie tylko metodykę i modele szacowania ryzyka, co gwarantuje skuteczność przeprowadzonego audytu w szpitalu lub placówce medycznej, ale również specyfikę funkcjonowania placówek medycznych, znajdujących się wśród klientów ESKOM Każda analiza ryzyka zakończona jest przesłaniem wniosków, które zawierają plany ograniczenia ryzyka wraz ze propozycją konkretnych narzędzi. Operatorzy Usług Kluczowych z sektora ochrony zdrowia otrzymują kompleksowy plan postępowania z ryzykiem, a wszystkie zalecenia są szeroko omawiane z przedstawicielami podmiotu. Efektem analizy ryzyka jest diagnoza występujących i potencjalnych zagrożeń oraz przygotowanie szpitala na sytuację kryzysową, wyposażając go w zestaw skutecznych narzędzi IT, które przyczynią się do usunięcia awarii systemu czy ataku hakerskiego.
Poza analizą ryzyka I Faza wdrożenia zakłada wytypowanie osoby kontaktowej dla „CSIRT as a service”. Ta osoba będzie kontaktować się z CSIRT NASK, a w jej kompetencje będzie wchodzić także identyfikacja i zgłaszanie incydentów oraz reagowanie na nie. ESKOM raportuje incydenty 2 i 3 poziomu podczas I fazy wdrożenia. W ramach tego etapu przeprowadzamy szkolenia, które przekazują niezbędną wiedzę dla pracowników szpitali z zakresu obowiązków dla OUK.
Faza II
W drugiej fazie ESKOM dokonuje wdrożenia zmian, które zidentyfikowaliśmy w Fazie I. W zależności od wytypowanego ryzyka, wprowadzamy adekwatne procedury i wdrożenia, które zapewniają stabilność i bezpieczeństwo systemów informatycznych. ESKOM przygotowuje także plan analizy ryzyka z ISO 27001. W Fazie II przeprowadzamy też monitorowanie podatności, polegające na instalacji w placówce medycznej skanera podatności, zawierającego monitoring zasobów. Skaner podatności jest usługą zapewniającą kontrolę zabezpieczeń infrastruktury IT, która prowadzi do poprawy stanu jej bezpieczeństwa. Korzystamy z oprogramowania Snort, OpenVAS, OCS Inventory. Ostatnim etapem Fazy II jest sporządzenie dokumentacji wraz z wdrożeniem.
Faza III
Ostatnim etapem działań ESKOM dla Operatorów Usług Kluczowych jest audyt bezpieczeństwa, polegający na ilościowej i jakościowej ocenie systemu bezpieczeństwa wdrożonego w szpitalu. Audyt bezpieczeństwa przeprowadza się co dwa lata, a jego zakres jest zbieżny z audytem ISO27001, ISO22301, ISO20000. Audyt wykonywany jest przez audytora ISO 27001 i inżyniera bezpieczeństwa, zapewniając profesjonalizm i działanie zgodne ze standardami i ustawą.
Skontaktuj się z nami w celu darmowej konsultacji w zakresie wdrożenia dla OUK z segmentu ochrony zdrowia.