Na początku miesiąca w środowisku podniosło się wielkie larum. Są pieniądze dla szpitali na cyberbezpieczeństwo. Cyberbezpieczeństwo zapomniane, głównie za sprawą pandemii. Ostatnie przebudzenie w tym temacie miało miejsce kilka lat temu gdy MZ zgodnie z dyrektywą NIS a co za tym idzie Ustawą o Krajowym Systemie Cyberbezpieczeństwa (https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001560/T/D20181560L.pdf ) wyznaczył kilkanaście podmiotów szpitalnych do pełnienia zaszczytnej funkcji Operatorów Usług Kluczowych obarczając ich mnóstwem dodatkowych kosztów, obowiązków i trudności z których wybrnęli na tyle na ile byli w stanie bez dodatkowego finansowania.
kwi 2022
Aktualnie, zgodnie z przygotowywaną nowelizacją wspomnianej Ustawy ( https://legislacja.rcl.gov.pl/projekt/12337950/katalog/12716639 klaruje się sytuacja, która powinna zmienić oblicze stanu cyberbezpieczeństwa w polskich placówkach medycznych. Można się spodziewać, że liczba Operatorów Usług Kluczowych znacznie wzrośnie (pierwotnie miało być ich ok. 200, chodzi o podmioty posiadające oddział ratunkowy oraz należące do sieci). Dodatkowe obowiązki wynikające z Ustawy zostaną także rozszerzone na szerszy katalog placówek medycznych (potencjalnie SP ZOZ), które zostaną włączone do krajowego systemu cyberbezpieczeństwa a co za tym idzie będą zobowiązane do realizacji zadań wskazanych w art. 21-25 Ustawy.
Obowiązki Operatora Usług Kluczowych
W ujęciu dość ogólnym główne obowiązki zostały zebrane poniżej. Więcej informacji można znaleźć tutaj: https://www.gov.pl/web/cyfryzacja/operatorzy-uslug-kluczowych lub oczywiście w samej Ustawie.
Ustawa nakłada także na operatorów obowiązek przeprowadzenia, raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyt ten musi być przeprowadzony zgodnie z odpowiednimi wytycznymi (opierającymi się głównie na ISO 27001) przez podmiot spełniający odpowiednie wymagania.
Obowiązki Podmiotów Publicznych (art. 21-25 Ustawy)
Tyle ogólnie. Darujmy sobie na ten moment szczegóły i ustalmy jeden podstawowy fakt, właściwie dwa:
Dofinansowanie
I tutaj przechodzimy do meritum. Otóż okazuje się, że podmioty prowadzące działalność leczniczą w rodzaju świadczenia szpitalne będą mogły pozyskać z NFZ środki na realizację ww. zadań. Jest jeszcze wiele niewiadomych ale pewniki brzmią tak:
Kto się kwalifikuje?
Jak wspomniałem wcześniej – podmioty prowadzące działalność leczniczą w rodzaju świadczenia szpitalne. Można to sprawdzić na https://aplikacje.nfz.gov.pl/umowy/Provider/Search?Branch=05
Jak je dostać?
Na ten moment wiadomo tyle ile wskazałem poniżej. Chronologię wprowadziłem we własnym zakresie bo jest ona w mojej ocenie jedyną logiczną. Mam zatem nadzieję, że kolejność zostanie zachowana.
Polecam rozmawiać z partnerem, który nie tylko wykona audyt ale będzie także merytorycznym wsparciem w procesie dostosowania norm i dokumentacji. Można założyć, że nie będzie to usługa kosztująca 10 czy 15 tyś. zł ale w tym przypadku zdecydowanie warto pójść w stronę jakości aby przyniosło to korzyść. A nie tylko było zrobione bo są na to pieniądze i trzeba.
Co można finansować?
Wskazane elementy do sfinansowania są na poziomie dość ogólnym. Przy każdym z punktów podam kilka przykładów, które wydają się spełniać przedstawione kryteria. Uwaga na początek NIE będzie można finansować remontów serwerowni i innych zadań dot. cross-finansingu (np. przebudowa infrastruktury).
1.Wdrożenie systemów teleinformatycznych oraz urządzeń zapewniających prewencję i detekcję zagrożeń cyberbezpieczeństwa. Przykłady:
Urządzenia sieciowe (routery, switche, access pointy, firewalle, urządzenia typu UTM, urządzenia i licencje IPS – moduły do wykrywania ataków oraz zabezpieczania sieci)
Systemy antywirusowe, narzędzia do szyfrowania i zabezpieczania danych
Systemy i licencje dot. backupu oraz zachowania ciągłości działania (np. rozszerzające możliwości wirtualizacji czy komponenty baz danych o mechanizmy pozwalające na wysoką dostępność)
Migracja usług do chmury – zgodnie z wytycznymi zamieszczonymi tutaj:
Systemy typu SIEM (wykrywanie incydentów bezpieczeństwa) oraz systemy lub usługi typu SOAR ( Security Orchestration, Automation And Response) pozwalające na monitorowanie i automatyzację reakcji na incydenty bezpieczeństwa
Wdrożenie monitorowania usług sieciowych
2. Zapewnienie usługi konfiguracji urządzeń i oprogramowania oraz zapewnieniu wsparcia eksperckiego w zakresie cyberbezpieczeństwa
Wdrożenie wyżej wymienionych urządzeń, oprogramowania
Wsparcie w organizacji zarządzania cyberbezpieczeństwem
Outsourcing zadań związanych z obsługą systemów i incydentów cyberbezpieczeństwa
3. Zapewnienie usługi audytu bezpieczeństwa, skanów podatności, w zakresie oddzielnie sprecyzowanym w materiale referencyjnym opublikowanym na stronach internetowych Centrum eZdrowia (ten materiał nie został jeszcze opracowany)
Audyt cyberbezpieczeństwa
Testy penetracyjne
Testy odtworzeniowe środowiska
4. Opracowanie dokumentacji systemu zarządzania cyberbezpieczeństwem zgodnie z wymaganiami KRI i KSC, w tym planu odtworzenia po awarii
Punkt raczej jasny, dokumentacja do ogarnięcia została wskazana powyżej w opisie dot. audytów
5. Zapewnienie szkoleń w zakresie cyberbezpieczeństwa skierowanych do kadry zarządzającej jednostką oraz pracowników jednostki w zakresie podstawowej świadomości cyberbezpieczeństwa
Punkt też raczej jasny. Myślę, że nie będzie też problemów ze szkoleniami kadry IT.
Na ten moment nie wiadomo co z licencjami dot. wsparcia i późniejszego utrzymania usług/licencji.
Podsumowanie
Podsumowanie jest chyba takie, że warto poważnie zainteresować tematem management swoich placówek. Jeżeli teraz tego nie sfinansują i tak będą musieli te czynności wykonać. Dużo rzeczy jest jeszcze niejasnych i się wyklaruje gdy będzie szczegółowa dokumentacja dot. projektu, projekt umowy itp. Ma to nastąpić jeszcze w tym miesiącu dlatego już teraz warto zrobić estymację na elementy projektu warte uwagi i nam przydatne. W przypadku gdyby były jakieś pytania/wątpliwości lub potrzeby związane z szacunkiem kosztów – zapraszam do kontaktu.
Dużo w środowisku słyszy się, że działy IT w szpitalach są niedoinwestowane, że informatycy w szpitalach zajmują się wszystkim na około a zarabiają poniżej średniej. To fakt. I uważam, że tego typu projektu są szansą także w tym aspekcie. Szansą, którą można rozumieć dwojako. Z jednej strony szansa na odciążenie w nieustannie spływających nowych obowiązkach. Te dotyczące cyberbezpieczeństwa czy nawet administracji środowiskami może przejąć podmiot zewnętrzny. Z drugiej strony jest to też szansa na zdobycie dodatkowej wiedzy, którą można zmonetyzować. My w ramach swoich działań często powierzamy część obowiązków osobom ze szpitalnych działów IT. Jesteś zainteresowany taką formą współpracy? Daj znać! ?
Komentarze (0):