Cyberbezpieczeństwo – dofinansowanie dla szpitali

13

kwi 2022

Aktualnie, zgodnie z przygotowywaną nowelizacją wspomnianej Ustawy ( https://legislacja.rcl.gov.pl/projekt/12337950/katalog/12716639 klaruje się sytuacja, która powinna zmienić oblicze stanu cyberbezpieczeństwa w polskich placówkach medycznych. Można się spodziewać, że liczba Operatorów Usług Kluczowych znacznie wzrośnie (pierwotnie miało być ich ok. 200, chodzi o podmioty posiadające oddział ratunkowy oraz należące do sieci). Dodatkowe obowiązki wynikające z Ustawy zostaną także rozszerzone na szerszy katalog placówek medycznych (potencjalnie SP ZOZ), które zostaną włączone do krajowego systemu cyberbezpieczeństwa a co za tym idzie będą zobowiązane do realizacji zadań wskazanych w art. 21-25 Ustawy.

Obowiązki Operatora Usług Kluczowych

W ujęciu dość ogólnym główne obowiązki zostały zebrane poniżej. Więcej informacji można znaleźć tutaj: https://www.gov.pl/web/cyfryzacja/operatorzy-uslug-kluczowych lub oczywiście w samej Ustawie.

• zarządzanie ryzykiem (w tym szacowanie ryzyka),
• wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych (w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego,
• bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo i ciągłość dostaw; wdrażanie, dokumentowanie i utrzymywanie planów działania),
• zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty,
• obsługa incydentów i współpraca w tym zakresie z właściwym CSIRT; wyznaczenie osoby kontaktowej na potrzeby KSC

Ustawa nakłada także na operatorów obowiązek przeprowadzenia, raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyt ten musi być przeprowadzony zgodnie z odpowiednimi wytycznymi (opierającymi się głównie na ISO 27001) przez podmiot spełniający odpowiednie wymagania.

Obowiązki Podmiotów Publicznych (art. 21-25 Ustawy)

• wyznaczenie osoby kontaktowej (art. 21),
• obsługa incydentów (art. 22),
• zapewnianie dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i sposobów zabezpieczania się przed tymi zagrożeniami (art. 22),
• zgłaszanie incydentów do właściwego CSIRT (art. 22 i 23).zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT, przekazując niezbędne dane,
• usuwanie podatności

Tyle ogólnie. Darujmy sobie na ten moment szczegóły i ustalmy jeden podstawowy fakt, właściwie dwa:

1. Będzie dużo roboty
2. Która będzie kosztowała.

Dofinansowanie

I tutaj przechodzimy do meritum. Otóż okazuje się, że podmioty prowadzące działalność leczniczą w rodzaju świadczenia szpitalne będą mogły pozyskać z NFZ środki na realizację ww. zadań. Jest jeszcze wiele niewiadomych ale pewniki brzmią tak:

• Wysokość środków dla danego podmiotu będzie uzależniona od wysokości posiadanego kontraktu z NFZ za rok 2021
• Wysokość dotacji to 300-900 tyś. zł
• Środki będzie należało wydać do końca 2022 roku
• Zasady ubiegania się o środki zostaną (jeszcze w miesiącu kwietniu) opublikowane z zarządzeniu prezesa NFZ
• Wydane środki będą refundowane po realizacji zadań. Ich realizacja będzie jednak poprzedzona podpisaniem umowy z wojewódzkim oddziałem NFZ w którym określony będzie zakres zadań planowanych do realizacji.

Kto się kwalifikuje?

Jak wspomniałem wcześniej – podmioty prowadzące działalność leczniczą w rodzaju świadczenia szpitalne. Można to sprawdzić na https://aplikacje.nfz.gov.pl/umowy/Provider/Search?Branch=05

Jak je dostać?

Na ten moment wiadomo tyle ile wskazałem poniżej. Chronologię wprowadziłem we własnym zakresie bo jest ona w mojej ocenie jedyną logiczną. Mam zatem nadzieję, że kolejność zostanie zachowana.

• Konieczne jest wypełnienie ankiety dot. stanu cyberbezpieczeństwa znajdującej się w Systemie Statystki w Ochronie Zdrowia (http://cez.gov.pl/projekty/statystyka/ssoz/ ) . W przypadku problemów z ankietą – dajcie znać !
• Wypełnienie ankiety potrzeb i wysłanie jej do csirt@cez.gov.pl . Dobrze ją wysłać bo na jej podstawie i po jej analizie będzie większy pogląd na potrzeby i ceny poszczególnych elementów. Nie jest to jednak element obligatoryjny (zgodnie z ustnymi zapowiedziami pracowników MZ ?). Najważniejsze w tym etapie jest chyba raczej przemyślenie własnych potrzeb a co za tym idzie estymacja budżetu. Ankieta znajduje się tutaj:

• Podpisanie umowy z NFZ na realizację projektu
• Przeprowadzenie zakupów, wdrożenia, szkolenia
• Audyt bezpieczeństwa – przeprowadzenie audytu, który potwierdzi przygotowanie technologiczne i/lub organizacyjne ewentualnie wskaże pola do usprawnienia. Tutaj zalecam pójście w stronę ISO 27001 i metodologię podobną jak ta wykorzystywana dla Operatorów Usług Kluczowych. Ramowy zakres takiego audytu powinien obejmować następujące aspekty:

1. Weryfikacja przywództwa
2. Weryfikacja polityk bezpieczeństwa
3. Weryfikacja ról, odpowiedzialności i uprawnień
4. Weryfikacja działań odnoszących się do ryzyka i szans
5. Weryfikacja wsparcia dla SZBI, w tym zasoby, kompetencje, uświadamianie, komunikację i dokumentowanie
6. Weryfikacja działań operacyjnych i ciągłości działania
7. Weryfikacja adekwatności zabezpieczeń do zidentyfikowanych zagrożeń,
8. Weryfikacja oceny wyników SZBI w tym monitorowanie, pomiary, analiza, ocena, audyty wewnętrzne i przeglądy zarządzania
9. Weryfikacja ciągłego doskonalenia 
10. Weryfikacja zgodności dokumentacji z normami i stanem faktycznym

Polecam rozmawiać z partnerem, który nie tylko wykona audyt ale będzie także merytorycznym wsparciem w procesie dostosowania norm i dokumentacji. Można założyć, że nie będzie to usługa kosztująca 10 czy 15 tyś. zł ale w tym przypadku zdecydowanie warto pójść w stronę jakości aby przyniosło to korzyść. A nie tylko było zrobione bo są na to pieniądze i trzeba.

• Wypełnienie ankiety stanu cyberbezpieczeństwa po projekcie – to chyba będzie określone w umowie z NFZ, przynajmniej powinno. Trzeba będzie wykazać progres, wiadomo.
• Rozliczenie środków i uzyskanie refundacji.

Co można finansować?

Wskazane elementy do sfinansowania są na poziomie dość ogólnym. Przy każdym z punktów podam kilka przykładów, które wydają się spełniać przedstawione kryteria. Uwaga na początek NIE będzie można finansować remontów serwerowni i innych zadań dot. cross-finansingu (np. przebudowa infrastruktury).

1.Wdrożenie systemów teleinformatycznych oraz urządzeń zapewniających prewencję i detekcję zagrożeń cyberbezpieczeństwa. Przykłady:

Urządzenia sieciowe (routery, switche, access pointy, firewalle, urządzenia typu UTM, urządzenia i licencje IPS – moduły do wykrywania ataków oraz zabezpieczania sieci)

Systemy antywirusowe, narzędzia do szyfrowania i zabezpieczania danych

Systemy i licencje dot. backupu oraz zachowania ciągłości działania (np. rozszerzające możliwości wirtualizacji czy komponenty baz danych o mechanizmy pozwalające na wysoką dostępność)

Migracja usług do chmury – zgodnie z wytycznymi zamieszczonymi tutaj:

Systemy typu SIEM (wykrywanie incydentów bezpieczeństwa) oraz systemy lub usługi typu SOAR ( Security Orchestration, Automation And Response) pozwalające na monitorowanie i automatyzację reakcji na incydenty bezpieczeństwa

Wdrożenie monitorowania usług sieciowych

2. Zapewnienie usługi konfiguracji urządzeń i oprogramowania oraz zapewnieniu wsparcia eksperckiego w zakresie cyberbezpieczeństwa

Wdrożenie wyżej wymienionych urządzeń, oprogramowania

Wsparcie w organizacji zarządzania cyberbezpieczeństwem

Outsourcing zadań związanych z obsługą systemów i incydentów cyberbezpieczeństwa

3. Zapewnienie usługi audytu bezpieczeństwa, skanów podatności, w zakresie oddzielnie sprecyzowanym w materiale referencyjnym opublikowanym na stronach internetowych Centrum eZdrowia (ten materiał nie został jeszcze opracowany)

Audyt cyberbezpieczeństwa

Testy penetracyjne

Testy odtworzeniowe środowiska

4. Opracowanie dokumentacji systemu zarządzania cyberbezpieczeństwem zgodnie z wymaganiami KRI i KSC, w tym planu odtworzenia po awarii

Punkt raczej jasny, dokumentacja do ogarnięcia została wskazana powyżej w opisie dot. audytów

5. Zapewnienie szkoleń w zakresie cyberbezpieczeństwa skierowanych do kadry zarządzającej jednostką oraz pracowników jednostki w zakresie podstawowej świadomości cyberbezpieczeństwa

Punkt też raczej jasny. Myślę, że nie będzie też problemów ze szkoleniami kadry IT.

Na ten moment nie wiadomo co z licencjami dot. wsparcia i późniejszego utrzymania usług/licencji.

Podsumowanie

Podsumowanie jest chyba takie, że warto poważnie zainteresować tematem management swoich placówek. Jeżeli teraz tego nie sfinansują i tak będą musieli te czynności wykonać. Dużo rzeczy jest jeszcze niejasnych i się wyklaruje gdy będzie szczegółowa dokumentacja dot. projektu, projekt umowy itp. Ma to nastąpić jeszcze w tym miesiącu dlatego już teraz warto zrobić estymację na elementy projektu warte uwagi i nam przydatne. W przypadku gdyby były jakieś pytania/wątpliwości lub potrzeby związane z szacunkiem kosztów – zapraszam do kontaktu.

Dużo w środowisku słyszy się, że działy IT w szpitalach są niedoinwestowane, że informatycy w szpitalach zajmują się wszystkim na około a zarabiają poniżej średniej. To fakt. I uważam, że tego typu projektu są szansą także w tym aspekcie. Szansą, którą można rozumieć dwojako. Z jednej strony szansa na odciążenie w nieustannie spływających nowych obowiązkach. Te dotyczące cyberbezpieczeństwa czy nawet administracji środowiskami może przejąć podmiot zewnętrzny. Z drugiej strony jest to też szansa na zdobycie dodatkowej wiedzy, którą można zmonetyzować. My w ramach swoich działań często powierzamy część obowiązków osobom ze szpitalnych działów IT. Jesteś zainteresowany taką formą współpracy? Daj znać! ?