Reagowanie na incydenty bezpieczeństwa

Celem tej części szkolenia jest przedstawienie jak wygląda cykl życia incydentu oraz ustalenie roli kadry kierowniczej w każdym etapie tego cyklu.

Definicje i klasyfikacja

• Incydent bezpieczeństwa informacji – każde zdarzenie, które:
  • narusza poufność, integralność lub dostępność informacji/systemów,
  • lub stwarza wysokie ryzyko takiego naruszenia.
• Naruszenie ochrony danych osobowych (według RODO) – zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem nieuprawnionego ujawnienia, zniszczenia, utraty, zmiany lub dostępu do danych osobowych.
• Poważny incydent (według KSC) – incydent o istotnym wpływie na świadczenie usługi kluczowej (np. paraliż działania Szpitala, blokada systemów informatycznych).

Procedura reagowania na wystąpienie incydentu – jakie kroki powinny zostać podjęte:

1. Wykrycie i zgłoszenie incydentu

• Pracownik zgłasza podejrzane zdarzenie.
• Kierownictwo zapewnienia kulturę „zero obwiniania” – zachęcanie do zgłaszania, nadzór nad procedurą zgłaszania.

2. Wstępna ocena incydentu i zabezpieczenie dowodów

• Zespół bezpieczeństwa/informatycy wraz z IOD i kierownictwem oceniają skalę zdarzenia, rodzaj danych, ryzyka, wpływ na działanie Szpitala.
• Personel gromadzi dowody (w tym kryminalistyczne), zabezpiecza ślady.
• Kierownictwo zapewnienia zasoby (czas, ludzie, decyzje), bierze aktywny udział w ocenie incydentu, bierze udział w decyzjach o ewentualnym wyłączeniu systemów.

3. Ograniczenie skutków

• Odłączenie zainfekowanych systemów, blokada kont, zmiana haseł, przełączenie na systemy awaryjne.
• Powiadomienie osób poszkodowanych jeżeli incydent dotyczy naruszenia ochrony danych i występuje duże ryzyko dla osób których dane dotyczą.
• Kierownictwo podejmuje decyzje o priorytetach, zapewnia komunikację, ewentualne uruchamia plany zdarzeń nadzwyczajnych.

4. Zgłoszenia zewnętrzne

• Ocena, czy incydent jest naruszeniem ochrony danych (w rozumieniu RODO) i/lub poważnym incydentem (według KSC).
• Zgłoszenie incydentu do Urzędu Ochrony Danych Osobowych (UODO) i/lub właściwego krajowego zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT – Computer Security Incident Response Team).
• Rolą kierownictwa jest zatwierdzenie zgłoszeń, zapewnienie kompletności informacji, decyzje o komunikacji z pacjentami i mediami.

5. Przywracanie działania

• Odtworzenie systemów z kopii zapasowych, testy, powrót do normalnej pracy.
• Podjęcie niezbędnych działań technicznych i organizacyjnych w celu zapewnienia ochrony danych, eliminowanie stwierdzonych podatności.
• Kierownictwo sprawuje nadzór nad priorytetami przywracania działania (np. kolejność przywracania działania oddziałów, kolejność odtwarzania systemów), zapewnienia komunikację z personelem.

6. Analiza przyczyn, wnioski i działania naprawcze

• Identyfikacja przyczyn, planowanie działań naprawczych i zapobiegawczych.
• Rolą kierownictwa jest zatwierdzenie planu działań, monitorowanie realizacji i wymaganie sporządzenia raportu z incydentu.

Powiązanie cyberbezpieczeństwa z planem postępowania na wypadek zdarzeń nadzwyczajnych

Plan postępowania na wypadek zdarzeń nadzwyczajnych (pożar, awaria, atak terrorystyczny) jest wymagany standardami akredytacyjnymi.

Cyberatak może być przyczyną zdarzenia nadzwyczajnego ponieważ wiele różnych systemów Szpitala jest sterowanych cyfrowo i mogą być podatne na atak.

Zaatakowane systemy mogą wymagać pracy w trybie awaryjnym lub całkowicie przestać działać. Awarie i wyłączenia mogą prowadzić do paraliżu działania Szpitala lub poważnie tą działalność utrudnić.

Procedury cyberbezpieczeństwa i procedury BHP/pożarowe się uzupełniają.