W Szpitalu funkcję PEŁNOMOCNIKA DS. ZARZĄDZANIA SYSTEMEM BEZPIECZEŃSTWA INFORMACJI pełni Szymon Kulas, z którym można kontaktować się pod adresem: s.kulas@zozstargard.pl.
Pełnomocnik odpowiedzialny jest za kontakty z podmiotami Krajowego Systemu Cyberbezpieczeństwa.
Strona WWW Szpitala zabezpieczona jest certyfikatem SSL.
Jak należy postępować w pracy?
- Przed wyjściem z pracy schowaj wszystkie dokumenty z biurka
- Nie zapisuj, nie przyklejaj karteczek z hasłami na monitorze i na biurku.
- Wydruki zawierające poufne lub tajne dokumenty zabieraj od razu z drukarki.
- Poufne i tajne dokumenty niszcz tylko w niszczarce.
- Zmazuj zapisy z tablic po spotkaniach, od razu po ich zakończeniu.
- Nie zostawiaj tokenów z podpisów elektronicznych/banków cały czas włożonych do komputera.
- Nie zostawiaj urządzeń pendrive, dysków przenośnych na biurkach lub w komputerze.
- Wszelkie nośniki pamięci (DVD, pendrive) przechowuj w szafie zamykanej na klucz.
- Poufne dokumenty zamykaj w szafie zamykanej na klucz (najlepiej metalowej).
- Nie zostawiaj na biurku kluczy do szafek, pomieszczeń.
- Jeśli odchodzisz od komputera zablokuj go – Windows + L.
- Jeśli odchodzisz od biurka, schowaj urządzenia mobilne do szuflady.
- Gdy wychodzisz z biura – wyłącz komputer.
Ogólne zasady cyberbezpieczeństwa
- Chroń urządzenia silnymi hasłami.
- Zainstaluj i aktualizuj system antywirusowy.
- Włącz ochronę prywatności w przeglądarce oraz kasuj pliki cookies.
- Uaktualniaj system operacyjny i aplikacje bez zwłoki.
- Sprawdzaj dostępność połączeń HTTPS.
- Unikaj korzystania z otwartych sieci Wi-Fi.
- Korzystaj z komunikatorów obsługujących szyfrowanie (np. Signal)
- Korzystaj z uwierzytelnienia dwuskładnikowego.
- Korzystaj z narzędzi czyszczących ślady użytkowania komputera- np. usuwanie danych po przez ich wielokrotne nadpisywanie (uniemożliwienie odtworzenia usuniętych danych).
- Kontroluj uprawnienia instalowanych aplikacji.
- Twórz kopie zapasowe.
- Szyfruj przechowywane wrażliwe dane.
- Zniszcz fizycznie stare dyski do przechowywania danych.
- Zachowaj czujność przy otwieraniu e-maili, sms-ów, mms-ów (nie klikaj w podejrzane linki, załączniki).
- Odwiedzaj tylko zaufane strony internetowe.
- Sprawdź czy twoje hasło zostało skradzione (po wpisaniu na stronę zmień je)? https://haveibeenpwned.com/
- Nie podawaj swojego e-maila w Internecie, tam gdzie nie jest to konieczne .
18.Nie podawaj swoich danych osobowych w Internecie, tam gdzie to możliwe.
Poczta e-mail
Z poczty mailowej korzystamy codziennie. Służy nam ona zarówno w celach prywatnych, jak i służbowych. Często przesyłamy nią informacje, które nie powinny być dostępne dla osób nieupoważnionych do ich odczytania.
Ochrona informacji przesyłanych za pomocą poczty elektronicznej to bardzo ważna kwestia dotycząca naszego bezpieczeństwa w sieci. Jednym ze sposobów ochrony przesyłanych informacji jest szyfrowanie załączników z wykorzystaniem bezpiecznego szyfrowania symetrycznego. Szyfrowanie poczty elektronicznej minimalizuje ryzyko wycieku poufnych danych i przechwycenie ich przez osoby niepowołane. Istotne jest, iż wszystkie wiadomości e-mail przesyłane w postaci tekstu jawnego, mogą po przechwyceniu zostać łatwo odczytane przez osobę atakującą.
Szyfrowanie załączników poczty to nic trudnego. Przyjrzyjmy się rozwiązaniu szyfrowania załącznika poczty e-mail za pomocą programu do kompresji.
Program 7-zip, umożliwia zaszyfrowanie pliku bezpiecznym algorytmem AES-256.
Szyfrowanie załączników w 4 prostych krokach za pomocą aplikacji 7-zip:
- Pobierz program 7-ZIP w wersji, która współgra z Twoim systemem operacyjnym ze strony: https://www.7-zip.org/download.html
- Wybierz plik, który chcesz zaszyfrować i kliknij opcję „Dodaj do archiwum”.
- Wprowadź nazwę docelowego pliku. Pojawi się wówczas możliwość ustawienia hasła, które zabezpieczy plik przed otwarciem.
Zapamiętaj: Hasło należy przekazać odbiorcy innym kanałem (np. po przez komunikator zapewniający szyfrowanie end-to-end)!
Program umożliwia szyfrowanie jednego lub kilku plików jednocześnie. Należy zaznaczyć, iż pomimo, że wykorzystywany przez program algorytm AES-256 jest aktualnie uznawany za bezpieczny i nie został oficjalnie skompromitowany, jego skuteczność zależy od zapewnienia poufności ustalonego hasła oraz jego „mocy”. W przypadku, gdyby ustalone hasło byłoby łatwe do odgadnięcia, atakujący z łatwością odszyfruje chronione informacje.
Tak jak przy korzystaniu z każdego rodzaju oprogramowania, w przypadku programu 7-zip zaleca się śledzić biuletyny bezpieczeństwa, portale branżowe, czy bazy podatności (takie jak CVE), w celu kontroli, czy używana wersja programu nie posiada podatności, które mogłyby zostać wykorzystane przez hackerów.
Należy podkreślić, iż zabezpieczenie pliku hasłem nie zawsze jest równoznaczne z zaszyfrowaniem pliku. Samo zabezpieczenie na poziomie aplikacji nie zapewnia tak wysokiego poziomu bezpieczeństwa informacji, jak wykorzystanie systemów kryptograficznych. W związku z tym, przed wybraniem konkretnego oprogramowania do zabezpieczenia pliku, należy zweryfikować, czy posiada on funkcjonalność zaszyfrowania danej informacji.
Jak budować hasła?
Pamiętaj, aby wykorzystywać silne hasło. Należy używać haseł, które:
a) składają się z minimum 12 znaków i pięciu słów,
b) są trudne do odgadnięcia,
c) nie są logiczne i powiązane z twoim otoczeniem (zaleca się łączyć wyrazy polskie ze słowami z języka obcego lub tworzyć w haśle opis abstrakcyjnych sytuacji)
d) nie zawierają sekwencji znaków na klawiaturze, typu „Qwerty12”, „1QAZ@wsx” itp.),
e) nie są popularnym, znanym hasłem (przykład: password, admin itd.)
f) nie są związane z użytkownikiem lub jego rodziną tzn. nie zawierają np.:
– identyfikatora użytkownika (loginu),
– inicjałów,
– nazwisk,
– imion,
– pseudonimów
– dat osobistych np. urodzenia,
– miesięcy (np. Czerwiec#2021, Lipiec#2021),
– numerów telefonu,
– numerów rejestracyjnych samochodów.
Najpopularniejsze zagrożenia cybernetyczne
- Złośliwe oprogramowania (malware)
- Ataki z wykorzystaniem złośliwego kodu na stronach internetowych
- Phishing, czyli bezpośrednie wyłudzanie poufnych informacji lub za pomocą złośliwego oprogramowania
- Ataki na aplikacje internetowe
- SPAM – niechciana korespondencja
- Ataki DDoS – czyli blokowanie dostępu do usług poprzez sztuczne generowanie wzmożonego ruchu
- Kradzież tożsamości
- Naruszenie poufności, integralności lub dostępności danych
- Zagrożenia wewnętrzne powodowane przez pracowników
- Botnet-y – sieci komputerów przejętych przez przestępców
- Ingerencja fizyczna, uszkodzenia oraz kradzież
- Wyciek danych
- Ataki ransomware w celu wyłudzenia okupu za odszyfrowanie lub nieujawnianie wykradzionych danych
- Cyberszpiegostwo
- Kradzież kryptowalut (cryptojacking)