W związku z ogłoszeniem stanu alarmowego CHARLIE-CRP na terenie całego kraju Centrum e-Zdrowia wydało rekomendacje dla jednostek ochrony zdrowia.
Rekomendacja
W związku z ogłoszeniem stanu alarmowego CHARLIE-CRP na terenie całego kraju Centrum e-Zdrowia rekomenduje:
- Każda jednostka ochrony zdrowia powinna posiadać linię telefoniczną typu PSTN. Linia tego typu powinna być doprowadzona do centrum zarządzania, dyrektora jednostki lub innych osób koordynujących działania jednostki w sytuacjach kryzysowych. Linia musi być odporna na brak zasilania w jednostce.
- Przygotowanie procedur i zespołów odpowiedzialnych za ciągłość pracy systemów informatycznych oraz procedur dotyczących awaryjnego gaszenia i uruchamiania systemów informatycznych.
- Wykonanie przeglądu stosowanych polityk wykonywania kopii zapasowych obejmujących: system obsługi „części białej”, w którym są gromadzone dane medyczne, system kadrowo-płacowy i finansowo-księgowy, inne, krytyczne dla jednostki ochrony zdrowia systemy z punktu widzenia ciągłości działania.
- Ze względu na możliwość cyberataku kopie zapasowe systemów medycznych i danych medycznych muszą być wykonywane na bieżąco. Po wykonaniu kopii nośniki należy separować od sieci teleinformatycznej. Kopie muszą być wykonywane w trybie dobowym, jako kopie pełne lub przyrostowe z zachowaniem ostatniej pełnej kopii danych.
Rekomendacje dla zabezpieczenia transmisji danych:
- ograniczenie dostępów zdalnych za pomocą protokołu RDP, SSH – w szczególności z zewnątrz organizacji,
- szyfrowanie ruchu protokołem SSL,
- wykorzystywanie sieci VPN do połączeń zdalnych.
Szczegółowa rekomendacja
Rekomendacje w zakresie kopii bezpieczeństwa dla służb informatycznych:
- Wykonanie przeglądu czy system kopii zapasowych działa prawidłowo i czy wykonuje swoje zadanie zgodnie z zadanym harmonogramem.
- Wykonywanie kopii bezpieczeństwa zgodnie z harmonogramem raz dziennie kopia różnicowa lub przyrostowa oraz raz w tygodniu pełna kopia.
- Weryfikację czy wykonane kopie zapasowe faktycznie pozwolą na odtworzenie całych systemów wraz z danymi i konfiguracją.
- Wykonywane kopie zapasowe nie mogą być podłączone jako zasób sieciowy jako jedyny zasób.
- Wykonanie testów odtworzenia systemów w izolowanym środowisku. Działanie takie powinno odbywać się cyklicznie.
- Stosowanie strategii 3-2-1: należy przechowywać co najmniej 3 kopie zapasowe, co najmniej 2 z nich powinny być przechowywane na różnych nośnikach, co najmniej 1 z nich powinna być odizolowana od pozostałych oraz sieci lokalnej (odmiejscowienie).
- Przygotowanie planu działania na scenariusz utraty systemu kopii zapasowych razem z kopiami – powołanie nowej maszyny, instalacja OS oraz systemu kopii, wgranie kopii konfiguracji systemu kopii, podłączenie kopii zapasowych.
- System kopii zapasowych powinien być w dedykowanej podsieci.
- Przepuszczony ruch pomiędzy hostami i systemem kopii powinien być minimalny, niezbędny – określone porty.
- System kopii powinien działań na dedykowanych kontach bez praw administratora domenowego.
- Systemem kopii zapasowych objęte powinny być systemy niezbędne dla zachowania ciągłości działania podmiotu oraz systemy przetwarzająca dane osobowe i wrażliwe.
Biorąc pod uwag trwającą pandemię należy mieć na uwadze, że priorytetem jest zachowanie ciągłości działania oraz świadczenia usług.