Szpitale czeka wielki skok w Cyberbezpieczeństwo

Artykuł promocyjny SecureVisio • 20 września 2022 06:25

Ustawa o Krajowym Systemie Cyberbezpieczeństwa wprowadza obowiązki dla Operatorów Usług Kluczowych z sektora Ochrony Zdrowia – dotyczą one m.in. podmiotów posiadających Szpitalny Oddział Ratunkowy lub będących w systemie Podstawowego Szpitalnego Zabezpieczenia świadczeń opieki zdrowotnej. Dotyczy to ok. 1300 szpitali. Zarządzenie NFZ z 20 maja 2022 roku o finansowaniu podniesienia poziomu bezpieczeństwa teleinformatycznego stwarza szansę dopełnienia wszystkich wymogów operatora usług kluczowych. Jest to możliwe w toku jednego, trzymiesięcznego wdrożenia polskiego systemu SecureVisio, który obsługuje także obowiązki wynikające z zapisów w Krajowych Ramach Interoperacyjności oraz RODO.

Szpitale czeka wielki skok w Cyberbezpieczeństwo
Fot. SecureVisio - szpitale czeka wielki skok w cyberbezpieczeństwo.

Na mocy zarządzenia Prezesa NFZ z 20 maja br. możliwe jest wsparcie finansowania działań mających na celu podniesienie poziomu bezpieczeństwa systemów teleinformatycznych w podmiotach prowadzących szpital i posiadającymi umowę o udzielanie świadczeń opieki zdrowotnej zawartą z Narodowym Funduszem Zdrowia obowiązującą w 2021 i 2022 roku. W gronie podmiotów objętych wsparciem znajdują się m.in. szpitale, które na mocy Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC), otrzymują status operatorów usług krytycznych (OUK). To w ich przypadku zmiany w systemach cyberbezpieczeństwa powinny mieć najbardziej kompleksowy charakter. Zarządzenie stwarza taką możliwość, jednak warto zadbać, aby wdrożenie pokrywało pełen zakres obowiązków nakładanych na OUK. 

NFZ sfinansuje zakupy cyberbezpieczeństwa

W zarządzeniu mowa jest o kwocie dofinansowania wydatków od 200 do 900 tys. zł brutto, w zależności od wartości umowy z NFZ. Dofinansowanie dotyczy wydatków poniesionych pomiędzy końcem kwietnia a 31 grudnia 2022 roku. Wsparcie może dotyczyć zakupu i wdrożenia systemów teleinformatycznych, w tym urządzeń, oprogramowania i usług zapewniających PREWENCJĘ, REAKCJĘ i DETEKCJĘ zagrożeń cyberbezpieczeństwa. Precyzuje też, że chodzi o:

a) systemy kopii bezpieczeństwa, odmiejscowienie kopii, segmentację w celu odseparowania urządzeń backupu, zapewnienie mechanizmów weryfikacji poprawności i odtwarzalności kopii i backupu;

b) systemy antywirusowe dla stacji roboczych i serwerów – centralnie zarządzanych, systemów klasy Endpoint Detection and Response (EDR);

c) systemy kontroli dostępu administracyjnego, zarządzania uprawnieniami (IAM/IDM);

d) urządzenia i oprogramowanie typu firewall – zapora sieciowa z wbudowanym IPS oraz systemem antywirusowym oraz platform niezbędnych do ich uruchomienia;

e) systemy zapewniające bezpieczeństwo poczty elektronicznej, włączając systemy weryfikacji załączników i treści korespondencji oraz wieloskładnikowego uwierzytelniania;

f) rozwiązania zapewniające ochronę DNS (DNS Protection) z użyciem systemów lokalnych;

g) systemy SIEM (Security Information and Event Management);

h) systemy NAC (Network Access Control) – jako system lokalny.

Dofinansowanie dotyczy także m.in. zakupu usługi wdrożenia i konfiguracji urządzeń i oprogramowania oraz wsparcia eksperckiego w zakresie cyberbezpieczeństwa, zakupu i wdrożenia systemu (usługi) typu SOC (Security Operations Center), usługi skanów podatności, opracowania wraz z przekazaniem praw autorskich dokumentacji systemu zarządzania bezpieczeństwem informacji zgodnie z Krajowymi Ramami Interoperacyjności (KRI) oraz szkoleń z różnych określonych w zarządzeniu obszarów cyberbezpieczeństwa. 

Więcej informacji w formie wytycznych dla szpitali, poradników jak wykorzystać dostępne środki finansowe w ramach programów NFZ oraz case study na przykładzie konkretnego szpitala znajdziecie Państwo tutaj: https://www.kscdlaszpitala.pl/artykul

Proste rozwiązanie - SecureVisio

Zarządzenie NFZ stwarza okazję do pokrycia wszystkich obowiązków, jakie nakłada na szpitale z SOR Ustawa o Krajowym Systemie Cyberbezpieczeństwa, wynikających z Krajowych Ram Interoperacyjności oraz Rozporządzenia o Ochronie Danych Osobowych. Polski system SecureVisio firmy Esecure został zaprojektowany jako rozwiązanie całościowo obsługujące wyzwania cyberbezpieczeństwa – w bezkonkurencyjnej ofercie komfortowego, szybkiego i zautomatyzowanego trybu wdrożenia. Dlatego dziś może w prosty sposób pomóc szpitalom ze statusem OUK dokonać wielkiego skoku jakościowego w obszarze cyberbezpieczeństwa.

Fot. SecureVisio – rozwiązanie całościowo obsługujące wyzwania cyberbezpieczeństwa w placówkach medycznych.
Fot. SecureVisio – rozwiązanie całościowo obsługujące wyzwania cyberbezpieczeństwa w placówkach medycznych.

Szpitale potrzebują skoku jakościowego w zakresie cyberbezpieczeństwa. Może się to dokonać, jeśli inwestycja pokryje wszystkie wymagania wynikające z regulacji. Oznacza to realizację obowiązków w zakresie dokumentacji zasobów, analizy ryzyka, obsługi incydentów, zarządzania podatnościami oraz incydentami w obszarze ochrony danych osobowych. W sposób zautomatyzowany i kompleksowy zapewnia to tylko jedno rozwiązanie – polski system SecureVisio firmy Esecure.

Wdrożenie istotnie podnosi poziom bezpieczeństwa wypełniając wszystkie wymogi prawne. Wdrożenie SecureVisio jest realizowane w ciągu 3 miesięcy z minimalnym zaangażowaniem w trakcie okresu użytkowania dodatkowych osób i kompetencji podmiotu medycznego. Polskie rozwiązanie jako jedyne na rynku zapewnia wsparcie, transfer wiedzy w trakcie użytkowania, konkurencyjny TCO (całkowity koszt posiadania), a przede wszystkim automatyzm obsługi w zakresach wskazanych prawnie. 

Umożliwia to racjonalne podejście twórców systemu do zagadnienia. Koncentracja na realizacji zapisów wyklucza główne grzechy wdrożeń cyberbezpieczeństwa:

  • nadmiarowość – kiedy firma nabywa funkcjonalności, z jakich nie zdoła skorzystać,
  • punktowość – niepełne pokrycie wymagań, a przy tym kreowanie problemów integracji różnych rozwiązań, spiralę wydatków na dodatkowe kompetencje i etaty do obsługi nowego rozwiązania, wybiórczą automatyzację procesów.

Inwestycja w SecureVisio wpisuje się w kwotę dotacji, nie oznacza jednak wykorzystania całej puli dostępnych środków. Pozostała część pieniędzy może być przeznaczona na inne systemy, które automatycznie współpracować będą z podstawową platformą korelacji informacji oraz działań jaką zapewni SecureVisio. Przykładem może być wdrożenie firewalla, Microsoft AD i sprzętu serwerowego, segmentacji sieci, EDR etc.

Alternatywą są inwestycje w domenowe rozwiązania – gdzie koszt sumaryczny będzie zdecydowanie wyższy i nie uwzględni wyzwań integracji. Rozwiązania typu SIEM, które są konkurencją dla SecureVisio nie zapewniają obsługi wymogów prawnych – a więc dynamicznego wytwarzania dokumentacji, obsługi komunikacji, ciągłej analizy ryzyka. SecureVisio odpowiada wprost na zapisy regulacji, aby ani na jotę nie przekroczyć obowiązków, nie doszacować albo przeszacować.

Czego wymaga, a czego nie wymaga UoKSC od operatora usług kluczowych?

Przypomnijmy: Ustawa o Krajowym Systemie Cyberbezpieczeństwa określa, że operator usługi kluczowej ma możliwość wypełniania wszystkich obowiązków stopniowo.

W ciągu trzech miesięcy od decyzji administracyjnej:

  • dokonuje analizy ryzyka swoich usług,
  • zarządza incydentami,
  • wyznacza osobę kontaktową do CSIRT (w wypadku szpitali będzie to CSIRT GOV) i organu ds. cyberbezpieczeństwa,
  • prowadzi działania edukacyjne,
  • obsługuje incydenty we własnych systemach,
  • przekazuje informację o incydentach poważnych,
  • usuwa wskazywane podatności.

W ciągu sześciu miesięcy:

  • wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, w zakresie zarządzania incydentami,
  • zbiera informacje o zagrożeniach i podatnościach,
  • stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego,
  • stosuje także we wszystkich obszarach wymaganą dokumentację.

W ciągu roku przygotowuje się do audytu i przekazuje jego wyniki wskazanym w ustawie podmiotom. 

Tabela - Obowiązki Operatora Usługi Kluczowej adresowane za pomocą systemu SecureVisio (oznaczone w tabeli kolorem szarym).
Tabela - Obowiązki Operatora Usługi Kluczowej adresowane za pomocą systemu SecureVisio (oznaczone w tabeli kolorem szarym).

Te zapisy choć proste, bywa, że nie są właściwie zrozumiane. Przede wszystkim obowiązków nie musi wykonywać człowiek, a wymagana dokumentacja nie musi być papierowa. Co więcej – podany zakres obowiązków operatora usług kluczowych w większości nie jest możliwy do zrealizowania przez człowieka. Zaś charakter wymaganej dokumentacji wyklucza inny sposób jej gromadzenia, wykorzystywania i dostarczania, niż zapis elektroniczny, cyfrowy.

Szacowanie ryzyka dla usług kluczowych to fundamentalne wymaganie z punktu widzenia cyberbezpieczeństwa. Należy też osiągnąć tę zdolność już w ciągu trzech miesięcy od decyzji administracyjnej. Z całą mocą trzeba podkreślić, że szacowanie ryzyka to nie zadanie do wykonania przez człowieka – specjalistę ani nawet zespół specjalistów. Wymaga uwzględnienia w czasie rzeczywistym zbyt dużej liczby dynamicznie zmiennych czynników, selekcji i agregacji danych. Dlatego wykonanie analizy ryzyka i udostępnienie wyniku musi wziąć na swoje barki automat, narzędzie informatyczne.

Obowiązki obsługi incydentów: wykrywania, rejestrowania, analizowania, klasyfikowania, nie muszą być realizowane przez człowieka. W wymogach nie ma wzmianki o tym, że ręcznie wykonuje to wyznaczona osoba, w szczególności specjalista bezpieczeństwa, guru hackingu etc. Znowu trzeba mocno podkreślić: współcześnie to zadanie przerasta możliwości człowieka czy nawet zespołu ekspertów wykonujących pracę ręcznie w oparciu o różne narzędzia, bazy i źródła informacji. To zadanie dla całościowego systemu, który zbierze, skojarzy informacje i wywnioskuje, z jakiej klasy incydentem mamy do czynienia. Do dalszej obsługi trzeba kierować incydenty poważne, które zdarzają się naprawdę rzadko w morzu incydentów niegroźnych.

Warto zaznaczyć: są tysiące alertów antywirusowych, ale z punktu widzenia cyberbezpieczeństwa - nawet włamanie na serwer czy utrata telefonu nie muszą być incydentem poważnym w kontekście organizacji. Decydują o tym dopiero dogłębna ocena i klasyfikacja. Co więcej, to nasz system powinien automatycznie wspierać dalszą obsługę: priorytetyzowania, podejmowania działań naprawczych oraz ograniczania skutków. A także automatycznie przygotować wymaganą dokumentację do przekazania organom.

Człowiek nie wykonuje też wykrywania ani usuwania podatności. Ustawa określa, że trzeba je usuwać – nie tylko wykrywać przy pomocy skanera podatności – ale, ponownie, nie jest napisane, że musi to robić osoba. Wykryte przez skanery podatności podlegają automatycznej obsłudze zgodnie z przyjętymi i dostosowywanymi do sytuacji regułami.

Ustawa wymaga jednak wyznaczenia osoby do kontaktu z CSIRT. Trzeba natomiast podkreślić, że ustawa nie wymaga, aby to była osoba o umiejętnościach cyberbezpiecznika, ekspert. To bardzo ważne: osoba kontaktująca się z CSIRT ma realizować zadanie organizacyjne, a nie eksperckie. Musi mieć dostęp do informacji – przygotowanej w wymagany sposób i w wymagany sposób przekazać ją do CSIRT. 

Dlaczego zatem tak często dochodzi do błędnego odczytania intencji i celu zapisów ustawy? Dlaczego zakup segregatorów na przyszłą dokumentację rozpoczyna tak wiele projektów wdrożeń informatycznych dopasowujących do wymogów regulacji, szczególnie w tak żywotnej kwestii jak cyberbezpieczeństwa?

Przecież nikt nie ma wątpliwości, że obowiązek prowadzenia działań edukacyjnych użytkowników, będzie zrealizowany poprzez zamówienie szkolenia, które poprowadzi zewnętrzna firma. Nikt nie wyobraża sobie zatrudnienia grona wykładowców - specjalistów cyberbezpieczeństwa na szpitalnym etacie.

Także w przypadku pozostałych obowiązków operatora kluczowego potrzebne jest wynajęcie lub zakup, tylko że narzędzia informatycznego. Warto wiedzieć, że SecureVisio w sposób:

  • automatyczny – wymagający minimalnego angażowania obecnych lub nowych pracowników,
  • pełny – a nie częściowo pokrywający zapisy regulacji,
  • efektywny – a nie stanowiący próbę stworzenia „listka figowego”

zrealizuje wszystkie obowiązki operatora usług kluczowych!

Wychodząc od właściwego odczytania zapisów – a nie interpretacji, należy dążyć do pełnego, skutecznego, a zarazem nie nadmiarowego spełnienia wymogów KSC, KRI czy RODO. 

Więcej informacji w formie wytycznych dla szpitali, poradników jak wykorzystać dostępne środki finansowe w ramach programów NFZ oraz case study na przykładzie konkretnego szpitala znajdziecie Państwo tutaj: https://www.kscdlaszpitala.pl/artykul

SecureVisio: jak działa całościowe podejście?

Zadania z zakresu prewencji, detekcji i reakcji, których dotyczy zarządzenie NFZ, realizują wskazane w nim wprost systemy SIEM. Należy do tej klasy polski system SecureVisio, stworzony przez firmę Esecure. Wsparcie i rozwój systemu są realizowane przez centrum w Rzeszowie, a rozwiązanie posiada szereg wyróżniających je innowacyjnych cech technologicznych. Ich zastosowanie nie jest sztuką dla sztuki, co jest niestety przypadłością wielu rozwiązań IT, ale służy podstawowemu założeniu twórców SecureVisio: system ma przede wszystkim realizować obowiązki wynikające z polskiego prawa i uwzględniać specyfikę naszego rynku.

Przykładem tego podejścia jest budowa systemu z myślą o użytkowniku nie będącym ekspertem bezpieczeństwa, ale np. menedżerem albo pracownikiem innego obszaru, który zagadnieniom bezpieczeństwa poświęca jedynie część swojego czasu pracy. To bardzo ważne w kontekście deficytu specjalistów na rynku pracy. Takie ukierunkowanie na prostą obsługę systemu sprzyja podnoszeniu ogólnej świadomości cyberbezpieczeństwa w organizacji. Narzędzia i interfejs SecureVisio zwizualizują problem, pokażą powiazania, kontekst, konsekwencje, poprowadzą przez scenariusz rozwiązania problemu. To pozornie tylko oczywiste kwestie, bo na rynku jest szereg bardzo dobrych systemów SIEM, których konsole i interfejs są hermetyczne dla użytkownika. W efekcie ich funkcjonalności pozostają niewykorzystane.

W jaki sposób spełnienie wszystkich obowiązków zapewni jeden system, SecureVisio? Wdrożenie realizuje wymagania zdefiniowane w UoKSC, RODO oraz KRI odnośnie:

  • Dokumentacji, zapewniając:

- opis zastosowanych środków technicznych i organizacyjnych;

- procedury, instrukcje, inwentaryzacja systemów i usług krytycznych;

- rejestry, w tym rejestr czynności przetwarzania;

- plany ciągłości działania;

  • Automatycznego zarządzania ryzykiem przetwarzania danych;
  • Automatycznej oceny skutków przetwarzania w systemach informatycznych:

- względem poufności, integralności i dostępności danych oraz świadczonych usług;

- względem osoby fizycznej (DPIA).

  • Automatycznej profilaktyki, detekcji i reakcji:

- zarządzanie podatnościami;

- zarządzanie incydentami.

  • Zapewnienia wiedzy oraz narzędzi dla wyznaczonej osoby kontaktowej.

Tabela - Wymogi regulacji UoKSC, RODO oraz KRI – SecureVisio je spełnia.
Tabela - Wymogi regulacji UoKSC, RODO oraz KRI – SecureVisio je spełnia.

Podsumowując, przez pryzmat zarządzania w obszarach cyberbezpieczeństwa, SecureVisio pokrywa technicznie wymagania w zakresie:

  • PREWENCJI: skanowanie podatności, analizę zgodności i konfiguracji, zarządzanie ryzykiem;
  • DETEKCJI: analiza anomalii w ruchu sieciowym / na urządzeniach (wykorzystując uczenie maszynowe), analiza, które podatności i zdarzenia wymagają obsługi;
  • REAKCJI: reakcja na wybrane podatności, zdarzenia bezpieczeństwa oraz zgłaszanie naruszeń.

Wykres – SecureVisio - Prewencja, Detekcja, Reakcja (PDR).
Wykres – SecureVisio - Prewencja, Detekcja, Reakcja (PDR).

Warto podkreślić, że zakres ten pokrywa w zupełności wymagania zewnętrznego audytu, na podstawie którego NFZ będzie rozliczał beneficjentów programu. W toku badania po wdrożeniu, podmiot będzie musiał wykazać, że wzrósł poziom ochrony, poprzez spełnienie tak zdefiniowanych wymagań:

  • monitorowanie i reagowanie na incydenty bezpieczeństwa – posiadanie procedury zarządzania incydentami; raportowanie poziomów pokrycia scenariuszami znanych incydentów, dokumentacja dotyczącą przekazywana informacji do CSIRT poziomu krajowego lub sektorowego, monitorowanie i wykrywanie incydentów bezpieczeństwa, identyfikacja i dokumentowanie przyczyn incydentów;
  • w zakresie utrzymania systemów informacyjnych – harmonogramy skanowania podatności, aktualny stan realizacji postępowania z podatnościami, procedury związane z identyfikowanie podatności, współpracę z osobami odpowiedzialnymi za procesy zarzadzania incydentami.

Wszystkie te elementy wymagań podmiot buduje w toku trzymiesięcznego wdrożenia systemu SecureVisio.

Jak SecureVisio sprawdza się w praktyce?

SecureVisio jest rozwiązaniem z powodzeniem działającym w kilkudziesięciu podmiotach. Jednym z nich jest Dolnośląski Szpital Specjalistyczny im. Teodora Marciniaka – Centrum Medycyny Ratunkowej. Spółka „Nowy Szpital Wojewódzki” powołana do budowy szpitala, po jego powstaniu została oddelegowana do obsługi obszaru cyberbezpieczeństwa. Wdrożono wówczas usługę SOC opartą na SecureVisio, która adresuje nie tyle główne wyzwania jakie przed szpitalem stawia cyberustawa, ale również stanowi skuteczne narzędzie w ochronie kluczowych danych i procesów przed cyberprzestępcami.   

Schemat wdrożenia jest powtarzalny. Esecure na początku przeprowadza wspólnie z zainteresowanym podmiotem analizę i klasyfikację zasobów kluczowych z perspektywy zarzadzania. Ustalane są podstawowe kwestie: ilu jest pracowników, czy będą w stanie obsługiwać rozwiązanie. Być może nikt nie będzie oddelegowany w pełnym wymiarze i system ma działać jak wirtualny system bezpieczeństwa. Nie są to wcale wyjątkowe sytuacje, nawet w dużych jednostkach. Wówczas, odpowiednia konfiguracja SecureVisio pozwala, aby system działał w tle, bez konieczności stałego śledzenia konsoli przez operatora. Dopiero informacja o incydencie wysokiego poziomu, np. 8, 9, 10 w skali 10 stopniowej, powoduje powiadomienie operatora, który musi podejść do konsoli. Nawet wtedy jednak jest prowadzony przez system, który pozwala mu zorientować się łatwo czego zdarzenie dotyczy. W karcie incydentu podane są źródła, zasób docelowy ataku, opis zachowania się celu, kategoria zdarzenia. Co więcej, uruchamia się scenariusz obsługi incydentu - automatyczny albo półautomatyczny, z udziałem operatora. System, który nie jest podatny na presję czasu, presję braku wiedzy czy możliwości przetworzenia informacji, prowadzi i dokumentuje realizowaną ścieżkę w pełnej interakcji z użytkownikami, innymi operatorami. Na koniec obsługi incydentu wytwarza wymaganą prawnie dokumentację, którą operator osobiście, za pomocą dwóch kliknięć, wysyła do odpowiedniego CSIRT.

System zapewnia także konsolę poziomu menedżerskiego, interaktywny kokpit, który w sposób dynamiczny obrazuje poziom bezpieczeństwa w odniesieniu do systemów, użytkowników, proces obsługi incydentu krytycznego, innych zdarzeń, podatności, czas jaki pochłania analiza. To wszystko parametry ilustrujące efektywność systemu obrony podmiotu. Cyberbezpieczeństwo staje się dzięki temu dziedziną sterowalną biznesowo.

W toku trzymiesięcznego wdrożenia przeciętne zaangażowanie osób po stronie klienta w całym procesie to 6-9 dni roboczych. Jest ono przy tym rozpisane na różne funkcje, ponieważ zbudowanie rzeczywistego kontekstu wymaga rozmowy zarówno z administracją-biznesem, jak i IT, i bezpieczeństwem. Większość tego czasu to jednak dość proste działania techniczne, polegające na udostępnieniu portów, przygotowaniu odpowiednich maszyn wirtualnych. Wymagania techniczne są przez Esecure przesyłane ze znacznym wyprzedzeniem przed finalizacją projektu i są zależne od potrzeb klienta – np. ilości i typu zabezpieczanych danych. Podmiot otrzymuje także zawczasu metodykę projektu, krok po kroku opisującą jak będzie przebiegał, kiedy i w jakim zakresie będzie potrzebne zaangażowanie. Udostępnienie środowiska i połączenia VPN, poprzez które będzie instalowany SecureVisio, dostarczenie tabeli adresacji, która będzie wpięta do systemu oraz przekierowanie logów z systemów do SecureVisio kończy pracę po stronie klienta.

Pierwszy krok, jaki wykonuje SecureVisio, to zmapowanie infrastruktury. Obowiązek inwentaryzacji zasobów i procesów wynika m.in. z ustawy o KSC a nasz system wytwarza dokumentację automatycznie. Dokonuje się to po podłączeniu logów z systemów takich, jak centralny antywirus, firewall brzegowy, porty, web application firewall, uporządkowane Active Directory i inne. SecureVisio to obiektywne i automatyczne narzędzie do tworzenia, aktualizacji i udostępniania map. Sam inwentaryzuje, mapuje usługi krytyczne i pokazuje, jak je chronimy. Automatycznie wypełnia wymagane rejestry - w takim formacie, jakiego oczekuje regulator. 

Następnie – w oparciu o zbudowany kontekst, SecureVisio zaczyna prowadzić analizę ryzyka w odniesieniu do zdefiniowanych kluczowych zasobów. SecureVisio na bazie utworzonej mapy logicznej wykonuje analizę ryzyka, niezbędny element i podstawę wypełniania wszelkich obowiązków operatora usług kluczowych. Operatorzy usług kluczowych muszą wiedzieć – i móc zaraportować, na jakie zagrożenia są narażeni, co ich chroni, na jakim poziomie. To element, który ciężko stworzyć bez narzędzi, które wykonują go stale, dynamicznie i automatycznie.

Trzeci element – wykrywanie incydentów poważnych, a więc klasyfikacja zdarzeń pozwalająca na identyfikację poważnych incydentów jest niemożliwa bez wcześniej zrealizowanej przez SecureVisio analizy ryzyka, bez dynamicznej bazy dokumentacji o miejscu systemu i interakcjach systemu. Nie sposób zebrać te informacji ręcznie, ocenić je ani tym bardziej zaraportować do CSIRT GOV w obowiązkowym czasie 24 h. A bez tych informacji obowiązująca prawnie procedura jest martwa, niemożliwa do wykonania.

Dodatkowy element, to wykrywanie i usuwanie podatności. W ciągu trzech miesięcy od decyzji o statusie OUK trzeba je obsługiwać, a w ciągu 6 miesięcy usuwać. Zarzadzanie tym aspektem przy pomocy SecureVisio opiera się na znajomości kontekstu organizacji. Na tej podstawie bronimy w pierwszej kolejności systemy krytyczne dla utrzymania usługi kluczowej. To pozwala koncentrować się na efektywnym wykrywaniu i usuwaniu podatności.  Sama czynność jest wykonywana automatycznie.

Implementacja SecureVisio pozwala także na skuteczne zarządzanie kolejnym ważnym obszarem – ochrony danych osobowych według wymogów RODO. Wykorzystywane są przy tym analizy ryzyka i obsługa podatności, które także w tym wypadku znajdują zastosowanie. Kiedy na pierwszym etapie inwentaryzujemy zasoby, mapujemy też procesy i zasoby, które przetwarzają dane osobowe. W tym momencie IODO (Inspektor Ochrony Danych Osobowych) w sposób automatyczny uzyskuje już analizę ryzyka cyberzagrożeń zasobów przetwarzających dane osobowe. 

Informacja o incydencie dotyczącym procesów i zasobów przetwarzających dane powoduje automatyczne powiadomienie IODO i wytworzenie dokumentacji, którą będzie mógł przekazać w myśl przepisów. Zdecydowanie szybciej, niż w ciągu przepisowych 72 godzin od kiedy zakwalifikowano incydent wycieku danych, bo automatycznie może zebrać informacje, ale też sięgnąć do planów postępowania z ryzykiem. Inspektor Ochrony Danych ma w swoim panelu SecureVisio wszystkie narzędzia, aby zapewnić zgodność z RODO: analizę ryzyka klasy poufności, integralności, dostępności, ma możliwość prowadzenia rejestru – upoważnień, powierzeń, konsekwencji.

***

Szpitale, które otrzymają decyzję administracyjną o statusie operatora usług kluczowych będą potrzebowały systemu, który pozwoli im w pełni zaadresować i spełnić określone w zarządzeniu wymogi. Decyzja NFZ o sfinansowaniu inwestycji w cyberbezpieczeństwo daje taką szansę. Warunkiem jest wybór rozwiązania całościowo adresującego problem. SecureVisio pokrywa technicznie wszystkie wymagania prawne zarządzania cyberbezpieczeństwem, wdrożenie trwa 3 miesiące, a jego koszt jest konkurencyjny do kosztu wdrożenia, które musiałoby objąć kilka rozwiązań odpowiadających zakresem oraz ich integrację.

Więcej informacji w formie wytycznych dla szpitali, poradników jak wykorzystać dostępne środki finansowe w ramach programów NFZ oraz case study na przykładzie konkretnego szpitala znajdziecie Państwo tutaj: https://www.kscdlaszpitala.pl/artykul

 

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum