Sposób zgłaszania incydentów | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

grafika przedstawiająca tarczę skonstruowaną ze światła, która symbolizuje cyberbezpieczeństwo

Sposób zgłaszania incydentów

Każdy incydent, niezwłocznie po wykryciu i zgłoszeniu w ramach jednostki, powinien zostać poddany analizie. Przeczytaj, czym są incydenty i jak je zgłaszać.

Czym są incydenty

Incydenty bezpieczeństwa to zdarzenia, które naruszają poufność, integralność lub dostępność danych. W praktyce oznacza to, że mogą one obejmować nieautoryzowany dostęp do systemów, ataki złośliwego oprogramowania, wycieki danych, a także próby oszustwa czy phishingu. Każdy incydent, niezależnie od skali, wymaga analizy i odpowiedniej reakcji, aby zminimalizować potencjalne straty oraz zapobiec dalszym naruszeniom.

Czym jest poważny incydent

Progi uznania incydentu za poważny zostały zdefiniowane w Rozporządzeniu Rady Ministrów z dn. 31 października 2018 r. Można to podsumować stwierdzeniem, że poważny incydent w sektorze ochrony zdrowia to sytuacja, która może zagrozić ciągłości działania placówek medycznych, bezpieczeństwu pacjentów oraz ochronie ich danych. Przykładami takich incydentów są ataki ransomware blokujące dostęp do systemów szpitalnych, masowe wycieki danych medycznych czy zainfekowanie systemów rejestracji pacjentów złośliwym oprogramowaniem. Tego typu zdarzenia mogą prowadzić do poważnych konsekwencji.

Ważne!

Wszyscy operatorzy usług kluczowych są prawnie zobowiązani do zgłaszania poważnych incydentów.

Dlaczego powinniśmy zgłaszać incydenty

Bezpieczeństwo w cyberprzestrzeni to wspólna odpowiedzialność. Wczesne wykrycie i zgłoszenie podejrzanych zdarzeń pozwala na szybką reakcję i minimalizację potencjalnych strat. Jeśli zauważysz nietypową aktywność w systemach, podejrzane wiadomości e-mail czy inne zdarzenia mogące wskazywać na naruszenie bezpieczeństwa – nie zwlekaj, zgłoś to odpowiednim zespołom. Każde zgłoszenie ma znaczenie i może pomóc w zapobieganiu większym zagrożeniom.

Jak zgłaszać incydenty

W przypadku incydentu poważnego należy: 

  1. Zgłosić incydent bezpieczeństwa niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia do sektorowego zespołu CSIRT w Centrum e-Zdrowia (CSIRT CeZ) i właściwego CSIRT poziomu krajowego ustalonym kanałem komunikacyjnym: 
     
    • w przypadku możliwości wykorzystywania systemu S46, należy z niego skorzystać,
    • za pomocą dedykowanego formularza kontaktowego
    • w przypadku niedostępności formularza lub braku potwierdzenia przyjęcia zgłoszenia – za pośrednictwem poczty elektronicznej (incydent [at] csirt.cez.gov.pl (incydent[at]csirt[dot]cez[dot]gov[dot]pl)) lub telefonicznie (+48 573 205 962),
  2. Prawidłowe wpłynięcie do CSIRT CeZ e-maila zgłoszeniowego potwierdzane jest automatycznie drogą mailową z adresu incydent [at] csirt.cez.gov.pl (incydent[at]csirt[dot]cez[dot]gov[dot]pl). Wyjątkiem jest zgłoszenie incydentu za pomocą systemu S46. 
  3. W przypadku stwierdzenia zdarzenia typu false-positive, zgłaszający informowany jest 
    o wyniku analizy, a zgłoszenie jest zamykane. 
  4. W przypadku zaistnienia zdarzenia, które ma wpływ na bezpieczeństwo, kontynuowana jest komunikacja do czasu, aż zidentyfikowane zostaną oznaki naruszenia bezpieczeństwa (IoC), zagrożenia zostaną zmitygowane, a podmiot odzyska ciągłość świadczenia usług. 

Wymogi zgłoszenia incydentu 

Zgłoszenie incydentu z art. 11 ust. 1 pkt 4 UKSC, zgodnie z art. 12 ust. 1 UKSC zawiera: 

  1. dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer we właściwym rejestrze, siedzibę i adres, 
  2. imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby dokonującej zgłoszenia,
  3. imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji, 
  4. opis wpływu incydentu a w przypadku wystąpienia incydentu poważnego na świadczenie usługi kluczowej, niezbędne są informacje: 
     
    • usługi kluczowe zgłaszającego, na które incydent poważny miał wpływ,
    • liczbę użytkowników usługi kluczowej, na których incydent poważny miał wpływ,
    • moment wystąpienia i wykrycia incydentu poważnego oraz czas jego trwania,
    • zasięg geograficzny obszaru, którego dotyczy incydent poważny,
    • wpływ incydentu poważnego na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych,
    • przyczynę zaistnienia incydentu poważnego i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe,
  5. w przypadku incydentu, który mógł mieć wpływ na świadczenie usługi kluczowej, opis przyczyn tego incydentu, sposób jego przebiegu oraz prawdopodobne skutki 
    oddziaływania na systemy informacyjne, 
  6. informacje o podjętych działaniach zapobiegawczych, 
  7. informacje o podjętych działaniach naprawczych,
  8. inne istotne informacje.  

Inne incydenty oraz zdarzenia 

Podmioty z sektora zdrowia mogą dodatkowo przekazywać informacje: 

  1. o innych incydentach; 
  2. o zagrożeniach cyberbezpieczeństwa; 
  3. dotyczące szacowania ryzyka; 
  4. o podatnościach; 
  5. o wykorzystywanych technologiach. 

Kanały komunikacji i publikacje - CSIRT CEZ  

Sektorowy zespół CSIRT CeZ publikuje zalecenia oraz informacje o zagrożeniach na stronie cez.gov.pl w zakładce CSIRT
Mailowo wysyłane są również ostrzeżenia z adresu: ostrzezenia [at] csirt.cez.gov.pl (ostrzezenia[at]csirt[dot]cez[dot]gov[dot]pl) 
Komunikację, która nie dotyczy incydentów należy kierować na adres: info [at] csirt.cez.gov.pl (info[at]csirt[dot]cez[dot]gov[dot]pl)