W związku z atakami hakerskimi na podmioty lecznicze,  rekomendujemy  zabezpieczenie kopii zapasowych danych na zewnętrznych nośnikach danych odłączonych od sieci komputerowej.

Hakerzy stosują złośliwe oprogramowanie ransomware, by zaszyfrować i zablokować dostęp do danych, systemów informatycznych i zażądać okupu za ich odszyfrowanie. Systemy zapewniające cyberbezpieczeństwo stanowią linię obrony przed tego typu atakami, ale w przypadku przełamania zabezpieczeń i udanego ataku ostatnią formą ochrony  jest posiadanie skutecznej kopii zapasowej, umożliwiającej odtworzenie danych i systemów.

Za funkcjonowanie w podmiocie wykonującym działalność leczniczą prawidłowego systemu kopii zapasowej odpowiada kierownik podmiotu. Dlatego musi on zweryfikować, czy jego służby IT:

1. wykonują codzienne kopie zapasowe danych medycznych, niemedycznych i konfiguracji systemów, (jeżeli świadczenia są udzielane w dni wolne od pracy także w te dni),
2. wynoszą codziennie z serwerowni wykonane kopie zapasowe do innego budynku oraz odłączają od dostępu do sieci i internetu,
3. testują regularnie kopie zapasowe i na ich podstawie odtwarzają systemy.

Rekomendujemy, aby kopie zapasowe były wykonywane na taśmach magnetycznych (np. LTO, DDS, RDX, inne), odpornych na działanie ransomware. Doraźną alternatywę mogą stanowić dyski twarde, które po wykonaniu kopii zapasowej będą odłączane od serwerów. Od wykonania powyższych czynności zależy bezpieczeństwo systemu świadczeniodawcy.

Po weryfikacji proszę przekazać potwierdzenia poprzez formularz: https://forms.office.com/r/g8NYkvzzng. W załączniku jest szablon dokumentów, które mogą posłużyć do bieżącej weryfikacji wykonywania kopii zapasowych.

Wszystkie SPZOZ oraz spółki muszą wdrożyć systemy zarządzania bezpieczeństwem informacji (SZBI), w tym procedury wykonywania i testowania kopi zapasowych (§  20, Krajowe Ramy Interoperacyjności (KRI) z dnia 12 kwietnia 2012 r.)[1]. Audyt KRI powinien się odbywać nie rzadziej niż raz w roku.

Jeżeli została zidentyfikowana jakakolwiek słabość systemów kopii zapasowych, należy wykonać:

1. działania doraźne:

1. zidentyfikować wszystkie bazy danych, repozytoria plików oraz pliki konfiguracyjne aplikacji,
2. robić regularnie dla wszystkich baz danych codzienne kopie zapasowe, zapisywane na zewnętrznych dyskach (np. dyskach USB) - alternatywę może stanowić zapisywanie kopii na płytach DVD,
3. po wykonaniu kopii zapasowych dyski lub inne nośniki odłączyć  od serwerów i codziennie wynieść do innego budynku,
4. do wykonywania kopii zapasowych wykorzystać kilka dysków lub innych nośników, aby zachować rotację i możliwość zachowania kopii zapasowej co najmniej z przed tygodnia,
5. wykonane kopie zapasowe regularnie testować i próbnie odtwarzać poszczególne systemy;

2. działania docelowe

1. zidentyfikować wszystkie bazy danych, repozytoria plików oraz pliki konfiguracyjne aplikacji, ewentualnie całych obrazów maszyn wirtualnych,
2. wykonywać codziennie kopie zapasowe na taśmach magnetycznych lub bibliotekach taśmowych,
3.  wyciągnąć codziennie taśmy  z serwera i wynieść z serwerowni do innego budynku, a jeżeli podmiot dysponuje jednym budynkiem to do oddalonej części budynku,
4. wykorzystać  do wykonywania kopii zapasowych kilka taśm, aby zachować rotację i możliwość zachowania kopii zapasowej co najmniej sprzed tygodnia,
5. testować regularnie wykonane kopie zapasowe i próbnie odtwarzać poszczególne systemy. Podmiot korzysta w miarę swoich możliwości z:

• taśm,
• biblioteki taśmowej - powinna się ona znajdować w innym budynku niż serwerownia podstawowa, a jeżeli podmiot dysponuje jednym budynkiem to w do oddalonej części budynku,
• systemu wykonywania kopii zapasowych, który musi być skonfigurowany przez inżynierów posiadających stosowne kompetencji, gwarantujące wykonanie skutecznych kopii zapasowych oraz konfigurację separacji sieciowej.

Specyfikację baz danych oraz plików konfiguracyjnych wymagających wykonania kopii zapasowej powinien przekazać dostawca oprogramowania.

Dostawcy oprogramowania medycznego powinni przekazać świadczeniodawcom specyfikacje baz danych, plików konfiguracyjnych, które muszą być objęte systemem kopii zapasowej. Specyfikacja musi w sposób jasny i przejrzysty wskazywać wszystkie pliki jakie należy archiwizować, aby wykonać prawidłową i pełną kopię bezpieczeństwa systemu.

Więcej informacji dotyczących architektury systemów kopii zapasowych na stronach Centrum e-Zdrowia:

Plan działania w zakresie cyberbezpieczeństwa w ochronie zdrowia - ezdrowie.gov.pl
 

[1]Obwieszczenie Prezesa Rady Ministrów z dnia 9 listopada 2017 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (sejm.gov.pl)