Cyberbezpieczeństwo W Placówkach Medycznych

Cyberbezpieczeństwo
w placówkach medycznych
Od Redakcji
Wiedza i Praktyka
ul. Łotewska 9A, 03-918 Warszawa
NIP: 526-19-92-256
Redaktor:
Anna Śmigulska-Wojciechowska
Kierownik grupy tematycznej:
Alina Sulgostowska
Menedżer produktu: Klaudia Bogumił
Koordynacja produkcji:
Mariusz Jezierski, Magdalena Huta
Korekta: Zespół
Projekt graficzny publikacji:
Piotr Fedorczyk
Skład i łamanie: Raster studio
ISBN: 978-83-8344-003-3
Nr rejestrowy BDO: 000008579
Wiedza i Praktyka sp. z.o.o.

03-918 Warszawa, ul. Łotewska 9a
tel. 22 518 29 29, faks 22 617 60 10, www.formularze.wip.pl
NIP: 526-19-92-256
Numer KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział
Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: 200.000 zł
Zapisz się na bezpłatny newsletter RODO w Ochronie Zdrowia
E-book „Cyberbezpieczeństwo w placówce medycznej” jest chroniony prawem autorskim.

Przedruk materiałów opublikowanych w e-booku jest zabroniony. Zakaz nie dotyczy cyto-
wania publikacji z powołaniem się na źródło. E-book „Digitalizacja dokumentacji medycznej
– najważniejsze wskazówki” przygotowano z zachowaniem najwyższej staranności i wy-
korzystaniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów.
Zaproponowane w e-booku wskazówki, porady i interpretacje nie mają charakteru porady
prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłę-
bionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stano-
wisko organów i urzędów państwowych. W związku z tym redakcja nie ponosi odpowiedzial-
ności prawnej za zastosowanie zawartych w e-booku wskazówek, przykładów, informacji
itp. do konkretnych przykładów.
Centrum Obsługi Klienta
• Infolinia: od poniedziałku do piątku w godz. 8.00-16.00, tel. 22 518 29 29

Poza godzinami pracy można pozostawić wiadomość w skrzynce głosowej
Online: formularze.wip.pl
Copyright by Wiedza i Praktyka sp. z o.o. Warszawa 2023
2
Spis treści
Rekomendacje w zakresie architektury cyberbezpieczeństwa placówek medycznych ..................................... 4
Jak stosować przepisy dotyczące zabezpieczenia danych osobowych ........................................................... 5
Analiza ryzyka w placówce ochrony zdrowia – o czym należy pamiętać ......................................................... 8
Zabezpieczenie danych przetwarzanych w systemach teleinformatycznych od strony technicznej ................... 9
Jak zapewnić bezpieczne oprogramowanie oraz pocztę elektroniczną .......................................................... 11
Jak wdrażać analizę ryzyka w zakresie ataku ransomware w placówce ........................................................ 13
Czy przystąpić do stosowania kodeksu postępowania dla sektora medycznego ............................................ 16
Lista kontrolna: Co powinna zawierać Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji ..... 18
Lista kontrolna: Jakie są zasady bezpiecznego użytkowania sprzętu IT ........................................................ 19
Lista kontrolna: Jakie są reguły korzystania z oprogramowania .................................................................... 20
Ewidencja czynności w systemie informatycznym oraz ewidencja napraw systemu informatycznego ........... 21
Jak uchronić placówkę medyczną przed cyberatakiem – wskazówki dla administratorów ............................. 22
Lista kontrolna: Czy przestrzegasz najważniejszych zasad ochrony danych pacjenta .................................... 25
Lista kontrolna: Czy nie dopuszczasz się najczęstszych uchybień w prowadzeniu dokumentacji medycznej . 26
Lista kontrolna: Jakie zabezpieczenia danych zastosować zgodnie z RODO .................................................. 27
Procedura nadawania uprawnień w systemie informatycznym ...................................................................... 28
Zasady korzystania z poczty elektronicznej .................................................................................................. 32
Więcej porad na www.rodomed24.pl 3

CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
REKOMENDACJE W ZAKRESIE ARCHITEKTURY

CYBERBEZPIECZEŃSTWA PLACÓWEK
MEDYCZNYCH
Tworząc podstawy bezpieczeństwa infrastruktury informatycznej, należy skoncentrować
się na obszarach objętych największym ryzykiem wycieku danych i ataku z zewnątrz na
infrastrukturę wewnątrz jednostki. Niniejsza rekomendacja dotyczy typowych zagadnień
cyberbezpieczeństwa (nie skupia się na wątku zasilania gwarantowanego) oraz zagadnień
związanych z ciągłością działania i dokumentacji procesów oceny ryzyka i polityk w tym
zakresie.
Poniższe rekomendacje opierają się na następują- cyberprzestępców. Podatności i niedostatki

cych priorytetach. konfiguracyjne tych urządzeń powinny być
likwidowane w celu ochrony zasobów danych.
Priorytet pierwszy
Priorytet czwarty
Konieczność ochrony danych medycznych w przy-
padku skutecznego ataku ransomware. Nie ma Ochrona stacji roboczych. Atak typu ransom-
możliwości zapewnienia 100% ochrony przed ware polega na stopniowej infekcji wszystkich
atakami. Dlatego największy nacisk należy położyć dostępnych stacji roboczych. Możliwość wykry-
na działania zapewniające zachowanie jak naj- cia i zablokowania aktywności polegającej na
bardziej aktualnych danych w kopiach zapaso- szyfrowaniu stacji roboczych powinna sta-
wych. Kopie zapasowe w celu zapewnienia ich nowić swoistą „drugą linię obrony” w przy-
prawidłowego odczytania (odtworzenia danych) padku zainfekowania sieci LAN. Segmentacja
muszą być wykonywane regularnie, zgodnie sieci lokalnych oraz stałe monitorowanie stacji
z przestrzeganą polityką tworzenia kopii, muszą roboczych będzie czynnikiem podnoszącym
być regularnie weryfikowane w celu sprawdzenia odporność zasobów na atak. Segmentacja sieci
ich możliwości odczytania, muszą być odmiejsco- dodatkowo wspiera proces „oddzielenia” sys-
wione dla uzyskania pewności, iż w momencie temów kopii zapasowych od reszty systemów
ataku kopie nie będą narażone na skasowanie. produkcyjnych (część priorytetu pierwszego).
Priorytet drugi PODSTAWOWE DZIAŁANIA W CELU

REALIZACJI PRIORYTETÓW
Ochrona poczty elektronicznej jako usługi W ramach podstawowych struktur systemu
własnej lub dzierżawionej. Atak typu ransom- cyberbezpieczeństwa rekomendowane są
ware opiera się na wykorzystaniu podatności działania w zakresie:
serwerów pocztowych lub na metodzie pole- 1. Audytu bezpieczeństwa na podstawie roz-
gającej na przesłaniu infekującego załącznika porządzenia KRI (w przypadku otrzyma-
w poczcie elektronicznej. Konieczne jest zatem nia decyzji OUK audyt musi obejmować
aktywne weryfikowanie treści załączników oraz obowiązki wynikające z ustawy o Krajo-
wym Systemie Cyberbezpieczeństwa –
linków zawartych w poczcie, a także ochrona
informacje w tym miejscu https://www.
dostępu do skrzynek poprzez wprowadzenie gov.pl/web/cyfryzacja/krajowy-system-
dodatkowych faktorów uwierzytelniania. -cyberbezpieczenstwa-)
2. Instalacji urządzeń typu FIREWALL;
Priorytet trzeci 3. Skutecznej ochrony antywirusowej;
4. Skutecznej kopii zapasowej;
Ochrona brzegu sieci. Braki finansowe i nie- 5. Bezpiecznej poczty elektronicznej;
dostatek kadr wielokrotnie powodują brak 6. Przygotowania dokumentacji Zintegro-
aktualizacji, podatności w urządzeniach brze- wanego Systemu Zarządzania Bezpieczeń-
Źródło: gowych. Konieczne jest uaktualnienie bądź stwem w jednostce;
f „Plan działania w zakre- zakup nowych urządzeń typu firewall. Urzą- 7. Przygotowania i przeprowadzenia cyklicz-
sie cyberbezpieczeństwa
dzenia tego typu stanowią pierwszą i główną nych szkoleń całej załogi w zakresie bez-
w ochronie zdrowia”, Cen-
pieczeństwa.
trum e-Zdrowia zaporę zasobów przed rekonesansem i atakiem
4
JAK STOSOWAĆ PRZEPISY DOTYCZĄCE

ZABEZPIECZENIA DANYCH OSOBOWYCH
Urząd Ochrony Danych Osobowych zorganizował webinarium poświęcone zabezpieczeniu
danych osobowych przetwarzanych w systemach teleinformatycznych. W ramach jednego
z zespołów zagadnień przedstawiono informacje na temat rozumienia przepisów prawa
dotyczących zabezpieczenia danych. Sprawdź aktualne stanowisko urzędu w tej sprawie.
PROBLEM • zgodności z prawem, rzetelności i przej-

rzystości;
Jakie rozwiązania informatyczne należy sto- • ograniczenia celu przetwarzania;
sować w placówce dla bezpieczeństwa prze- • minimalizacji danych;
twarzanych danych? • prawidłowości danych;
• ograniczenia przetwarzania oraz
ROZWIĄZANIE • integralności i poufności danych.
MACIEJ LIPKA
Zgodnie z opisaną w art. 5 ust. 2 RODO zasadą
specjalista w zakresie
Urząd Ochrony Danych Osobowych nie pro- rozliczalności ADO musi też wykazać przed
ochrony danych
wadzi żadnej certyfikacji stosowanych rozwią- UODO, że wdrożył prawidłowo opisane w art. osobowych
zań informatycznych ani stosowanego przez 5 ust. 1 RODO zasady.
administratorów danych osobowych sprzętu,
urządzeń czy też oprogramowania hardware PRZYKŁAD
i software. Celem webinarium było natomiast Dane osobowe muszą być przetwarzane w spo-
nakierowanie ADO na pewne rozwiązania sób zapewniający odpowiednie ich bezpieczeń-
zgodne z RODO, jednak w dalszym ciągu to stwo, w tym ochronę przed niedozwolonym lub
ADO powinien wybrać konkretne rozwiąza- niezgodnym z prawem przetwarzaniem oraz przy-
padkową utratą, zniszczeniem lub uszkodzeniem,
nia techniczne chroniące dane.
za pomocą odpowiednich środków technicznych
lub organizacyjnych. Trwała utrata danych i nie-
Rezygnacja z rozwiązań możność ich odzyskania choćby z uwagi na brak
nielegalnych lub niepewnych wsparcia technicznego producenta przyczyniają
się do naruszenia tej zasady, co może spowodo-
wać nałożenie najwyższej kary przewidzianej przez
Przy prawnych aspektach zabezpieczeń warto art. 83 ust. 5 RODO.
poruszyć temat oprogramowania „pirackiego”,
stanowiącego np. kopię płatnego, rozpowszech- Brak pełnej swobody doboru
nionego oprogramowania. Przedstawiciel
UODO odradza bowiem wprost korzysta- zabezpieczeń
nie z oprogramowania: Obecnie jesteśmy bogatsi o orzecznictwo,
• nielegalnego; w ramach którego sądy dokonują interpreta-
• nielicencjonowanego; cji przepisów RODO. Samo RODO zawiera
• pochodzącego z nieznanych źródeł czy też dość ogólne, rozbudowane przepisy dotyczące
• pozbawionego wsparcia producenta. zabezpieczenia danych osobowych. Chodzi
Takich cech, obok oprogramowania, nie powinny w tym przypadku zwłaszcza o jego art. 24 i 32,
posiadać również komputery, serwery, karty zawierające takie określenia wymaganych zabez-
pamięci czy też przenośne telefony komór- pieczeń jak „odpowiednie” oraz „wdrożone
kowe przeznaczone do przetwarzania danych z uwzględnieniem stanu wiedzy technicznej,
osobowych przez ADO. kosztów wdrożenia, a także charakteru, zakresu,
kontekstu, celów przetwarzania oraz ryzyka
Stosowanie takich rozwiązań przynosi tylko naruszenia praw lub wolności osób fizycznych”.
krótkoterminowe korzyści. Przy dużej liczbie Orzecznictwo potwierdza jednak, że ADO nie
incydentów bezpieczeństwa to właśnie ADO ma absolutnej swobody w dobieraniu takich
dotknięty takim incydentem będzie musiał rozwiązań zabezpieczających dane osobowe,
wykazać, że incydent wystąpił pomimo zasto- które subiektywnie uzna za wystarczające,
sowania przez niego ogólnych zasad prze- choćby z uwagi na ich cenę czy łatwość wdro-
twarzania danych opisanych w art. 5 ust. 1 żenia. UODO powołuje się w ramach webi-
RODO. Są to zasady: narium na dwa wyroki wojewódzkich sądów

administracyjnych, co oznacza, że przy oce- PRZYKŁAD

nach indywidualnych PUODO może konse-
Zabezpieczenie zagubionego lub skradzionego
kwentnie przytaczać ich treść. urządzenia nie wymaga tak skomplikowanych roz-
wiązań technicznych, jak np. ochrona przed zaszy-
Po pierwsze, wyrok WSA z 26 sierpnia 2020 r. frowaniem przez nieuprawnione osoby serwerów
(sygn. II SA/Wa 2826/19) potwierdza, że czyn- oprogramowaniem ransomware.
ności o charakterze techniczno-organizacyj-
nym leżą w gestii ADO. ADO nie może jednak Każde rozwiązanie wymaga jednak uprzed-
dobierać ich w sposób całkowicie swobodny niej analizy ryzyka. W kontekście szacowania
i dobrowolny, bez uwzględnienia stopnia ryzyka ryzyka przedstawiciel UODO wprost podkre-
oraz charakteru chronionych danych osobo- śla, że jego właściwa analiza polega m.in. na
wych. Po drugie, w wyroku z 3 września 2020 r. podzieleniu go na ryzyko wynikające z:
(sygn. II SA/Wa 2559/19) WSA uznał, że RODO • błędu ludzkiego (np. phishing – minima-
zobowiązuje do zapewnienia: lizujemy je poprzez zabezpieczenia orga-
• zgodności z jego wytycznymi poprzez jed- nizacyjne w postaci szkoleń, treningów,
norazowe wdrożenie organizacyjnych i tech- testów) oraz
nicznych środków bezpieczeństwa; • istniejącej technologii – minimalizujemy
• ciągłości monitorowania poziomu zagro- je poprzez: zabezpieczanie otwartych por-
żeń oraz tów, firewalle, antywirusy, segmentację sieci,
• rozliczalności w zakresie poziomu oraz ade- autoryzację poprzez SMS czy też unikanie
kwatności wprowadzonych zabezpieczeń. prostych nazw użytkownika i haseł.
WAŻNE
DO ROZWAŻENIA PRZEZ ADO
Orzecznictwo potwierdza, że możliwość udowodnienia • sprawdzenie i ewentualna eliminacja
przed UODO adekwatności wprowadzonych rozwią- infrastruktury nielegalnej, pochodzącej
zań do poziomu ryzyka stanowi konieczny warunek z niepewnych źródeł oraz nieposiadającej
do stwierdzenia, że przestrzegamy RODO. ADO musi wsparcia producenta;
też móc udowodnić, że rozwiązania te uwzględniają • dobór zabezpieczeń opartych na obiek-
charakter danej organizacji oraz wykorzystywanych tywnych potrzebach i rezygnacja z niesku-
mechanizmów przetwarzania danych osobowych. tecznych zabezpieczeń, których wdrożenie
sztucznie uzasadniamy;
WSA wskazuje, że ADO musi: • podział zagrożeń w analizie ryzyka na
te wynikające z błędu ludzkiego oraz na
• samodzielnie przeprowadzić szczegółową
wynikające z istniejącej technologii.
analizę prowadzonych procesów przetwarzania
danych i dokonać oceny ryzyka, a następnie
• zastosować takie środki i procedury, które „Uwzględniając koszt
będą adekwatne do oszacowanego ryzyka. wdrażania”
Przy czym „samodzielne” przeprowadzenie
takiej analizy nie oznacza jednak, iż ADO nie Artykuł 32 ust. 1 RODO nakazuje wdrożyć
może korzystać z pomocy innych, wyspecja- odpowiednie zabezpieczenia danych osobo-
lizowanych podmiotów, świadczących tego wych po uwzględnieniu m.in. kosztów ich
typu usługi. Jednakże to ADO ostatecznie wdrożenia. Podczas webinarium starano się
odpowiada za wdrożone rozwiązania. udzielić odpowiedzi na pytanie o sposób postę-
powania w przypadku, gdy usunięcie wykrytej
Wobec skomplikowanego charakteru sprawy podatności jest kosztowne i dotyczy wąskiego
UODO podkreśla, że tego typu powinności zakresu danych, a podatność zidentyfikowano
nie wynikają ze złych intencji urzędu wobec w kluczowym dla ADO systemie.
ADO, lecz z obowiązku każdorazowego, indy-
widualnego sprawdzania zastosowanych Zdaniem przedstawiciela UODO nie ma jed-
zabezpieczeń, jaki na urząd nakładają przepisy. nolitej rekomendacji postępowania w takim
Zdaniem przedstawiciela UODO, obowiązek przypadku. Jeżeli bowiem:
indywidualnego doboru adekwatnych zabezpie- • wystąpi wysokie ryzyko związane z incyden-
czeń ma swoje pozytywne strony. ADO mogą tem technicznym dotyczącym konkretnej
bowiem dobrać różne środki bezpieczeństwa podatności, a
dla poszczególnych zdarzeń i incydentów tech- • ADO nie będzie – np. z uwagi na koszty –
nicznych skutkujących naruszeniem. tego ryzyka minimalizował
6
– wówczas ADO nie powinien przetwarzać W decyzjach UODO z lat 2019–2022 organ:
takich danych osobowych (w przeciwnym • w pierwszej kolejności brał pod uwagę, czy
razie ponosi ryzyko sankcji przewidzianych doszło do utraty poufności, integralności
choćby przez RODO). Jednakże UODO wska- i dostępności danych, a następnie
zuje również na konieczność poszukiwania • oceniał, czy wystąpiło wysokie ryzyko naru-
alternatywnych rozwiązań. Otóż ADO może szenia praw lub wolności osób fizycznych,
– z uwagi na wysokie koszty – minimalizować po czym
wykryte ryzyko poprzez przekazanie, w celu • sprawdzał poprawność wykonanej analizy
obniżenia ryzyka, danych osobowych np. ryzyka oraz czy ADO wywiązywał się w sposób
podmiotowi dysponującemu odpowiednimi prawidłowy z nałożonych na niego obowiąz-
narzędziami pozwalającymi ten cel osiągnąć. ków dotyczących wdrożenia odpowiednich
W związku z powyższym ADO może podpi- środków technicznych i organizacyjnych,
sać z takim podmiotem umowę powierzenia w celu zapewnienia stopnia bezpieczeństwa
danych zgodnie z art. 28 RODO. odpowiadającego temu ryzyku.
Zdaniem autora warto również wziąć pod DO ROZWAŻENIA PRZEZ ADO

uwagę rezygnację z przetwarzania danych za UODO, w ramach dotychczas wydawanych
pomocą konkretnego systemu teleinformatycz- decyzji, stwierdzał przede wszystkim:
nego w przypadku zidentyfikowania wysokiego • fakt długotrwałego odtwarzania (przez
ryzyka dla osób fizycznych. Być może w danym nieuprawnione osoby) danych osobowych
przypadku rynek oferuje alternatywne roz- po wystąpieniu incydentu technicznego;
wiązania, dzięki którym dane ryzyko można • konieczność poprawy lub/i aktualizacji
istotnie zminimalizować. procedur odtwarzania danych osobowych
po naruszeniu;
• konieczność ponownego sporządzania ana-
Przepisy a norma ISO:27001 lizy ryzyka w celu uwzględnienia zagrożeń
w postaci ataku złośliwym oprogramo-
UODO odniósł się również do pytania, czy waniem ransomware lub phishingu wraz
wdrożenie przez procesora normy ISO:27001 ze sposobami zarządzania ryzykiem oraz
(norma dotycząca systemu zarządzania bez- jego minimalizacji oraz
pieczeństwem informacji) daje ADO wystar- • używanie przez ADO nieaktualnego opro-
czające gwarancje wdrożenia odpowiednich gramowania przy przetwarzaniu danych.
środków technicznych i organizacyjnych, zgod- Warto zatem przeanalizować istniejące pro-
nych z RODO. ISO:27001 to norma uznawana cedury, które regulują tego typu kwestie.
na całym świecie, która może pomóc organiza-
cjom przestrzegać najlepszych praktyk, aby ich Organ mógł np. oceniać procedurę, zgod-
informacje pozostały bezpieczne. Jej wdrożenie nie z którą personel miał zakaz wynoszenia
nie należy jednak do obowiązków ADO. Samo poza organizację baz danych w celu pracy
jednak wdrożenie takiej normy – jakkolwiek na nich w domu. Sam taki zakaz był nie- Podstawa prawna:
może być dobrze postrzegane przez UODO wystarczający, a ADO powinien zapewnić f rozporządzenie Parlamentu
i inne organizacje – nie daje wystarczających skuteczniejszą kontrolę jego przestrzegania Europejskiego i Rady (UE)
2016/679 z 27 kwietnia
gwarancji przestrzegania zasad bezpieczeń- (np. poprzez system śledzenia operacji każ- 2016 r. w sprawie ochrony
stwa danych osobowych. UODO wskazuje dego użytkownika dopuszczonego do pracy osób fizycznych w związku
na konieczność zastosowania dodatkowych w bazie danych). z przetwarzaniem danych
działań audytowych i kontrolnych. Zdaniem osobowych i w sprawie
swobodnego przepływu
autora takie kontrole mają zapewnić faktyczne Przy nakładaniu administracyjnych kar pie- takich danych oraz uchy-
przestrzeganie i rozumienie tej normy przez niężnych UODO bierze pod uwagę m.in.: lenia dyrektywy 95/46/WE
personel ADO. Ponadto, zdaniem autora, wdro- • stopień współpracy z organem nadzorczym (ogólne rozporządzenie
o ochronie danych, RODO).
żenie danej normy powinno odzwierciedlać w celu usunięcia naruszenia czy też
charakter organizacji oraz jej aktualne potrzeby • sposób, w jaki organ nadzorczy dowiedział
dotyczące ochrony danych osobowych. się o naruszeniu, a zwłaszcza czy i w jakim Podstawa merytoryczna:
zakresie ADO lub podmiot przetwarzający f webinarium „Zabezpiecze-
Jak UODO ocenia incydent zgłosili naruszenie.
nia techniczne przetwarza-
nych danych osobowych”
bezpieczeństwa – zorganizowane przez
Urząd Ochrony Danych
Tym samym jakość współpracy z UODO wpływa
Osobowych, dostępne pod
Warto brać pod uwagę, jak UODO podcho- na stopień dolegliwości związany z ewentu- adresem: https://uodo.gov.
dził do oceny incydentów bezpieczeństwa. alną karą. pl/pl/138/2451.

ANALIZA RYZYKA W PLACÓWCE OCHRONY

ZDROWIA – O CZYM NALEŻY PAMIĘTAĆ
Mitygacja ryzyka, phishing, atak ransomware to pojęcia, które dość często pojawiają
się podczas rozmów na temat cyberbezpieczeństwa. Ale czy wiadomo, co one
dokładnie oznaczają? Sprawdźmy zatem definicje wspomnianych pojęć i i ch praktyczne
zastosowanie.
PRZYKŁAD
PROBLEM
Oto metody mitygacji, jak np. szkolenia perso-
Ze względu na skomplikowane kwestie zwią- nelu przestrzegające przed uruchamianiem progra-
mów czy też linków pochodzących od nieznanego
zane z przeprowadzaniem analizy ryzyka dla nadawcy oraz stosowanie zabezpieczeń technicz-
danych osobowych warto sprawdzić, na co nych, takich jak np.:
szczególną uwagę zwraca UODO. • ochrona poczty elektronicznej;
• sporządzanie kopii bezpieczeństwa;
MACIEJ LIPKA • stosowanie programów antywirusowych bazu-
specjalista w zakresie ROZWIĄZANIE jących „nie tylko na sygnaturach wirusów, ale
ochrony danych również na analizie zachowania i wykrywaniu
osobowych Wybrane pojęcia są znane w branży, choć anomalii, np.: FIM (File Integrity Monitoring)”;
• ochrona DNS „polegająca na blokowaniu zna-
mogą być obce osobie, która nie wykonuje nych domen wykorzystywanych przez cyberprze-
zadań związanych z bezpieczeństwem infor- stępców”;
matycznym. • z arządzanie dostępem do danych oraz
• dopuszczenie do użytku wyłącznie zaktualizo-
WAŻNE wanego oprogramowania oraz sprawdzonych
i zaufanych aplikacji.
Rozważ aktualizację analizy ryzyka poprzez uwzględ-
nienie w niej potencjalnych zagrożeń dla danych Nasze analizy ryzyka musimy aktualizować rów-
osobowych, a związanych z: nież wówczas, gdy pojawią się nowe, dotychczas nie-
• atakiem przy użyciu złośliwego oprogramowania znane metody ataków na systemy informatyczne.
typu ransomware oraz
• zastosowania phisingu i spear phishingu WAŻNE
• oraz wskazanie sposobów mitygacji tych ryzyk.
ADO powinien przeprowadzać analizę ryzyka przed,
jak i po incydencie naruszenia ochrony danych.
UODO wskazuje na propozycje aktualizacji
naszych analiz ryzyka jakie wobec skontro- Przy zgłoszeniu incydentu bezpieczeństwa do
lowanych administratorów stosował Prezes UODO należy informować o środkach bezpie-
UODO. czeństwa stosowanych przed i po incydencie
Podstawa prawna:
oraz o kopiach zapasowych (tj. o tym, w jaki
f rozporządzenie Parlamentu Mitygacja tych ryzyk musi polegać na wpro- sposób je sporządzamy, jak szybko odtworzy-
Europejskiego i Rady (UE) wadzeniu skutecznych technicznych i organi- liśmy dane osobowe i dlaczego odtworzenie
2016 r. w sprawie ochrony
zacyjnych metod ich eliminacji. zajęło określoną w zgłoszeniu ilość czasu).
osób fizycznych w związku
z przetwarzaniem danych
osobowych i w sprawie
1) Mitygacja ryzyka – szereg działań zmierzających do obniżenia zidentyfikowanego ryzyka
swobodnego przepływu do akceptowalnego poziomu, np. przez stosowanie odpowiednich zabezpieczeń, testowanie
takich danych oraz uchy- naszych systemów poprzez symulowanie ataków zewnętrznych, jak też przeszkolenie personelu.
lenia dyrektywy 95/46/WE 2) Phishing – metoda oszustwa z użyciem systemów teleinformatycznych, gdy dana osoba
(ogólne rozporządzenie podszywa się pod inną osobę (np. klienta, darczyńcę) lub instytucję (np. urząd skarbowy)
w celu uzyskania dla siebie korzyści (np. wyłudzenia przelewu lub zainfekowania systemów
informatycznych przesłanym plikiem), zwykle od dużej, bliżej nieokreślonej grupy ofiar.
Podstawa merytoryczna: 3) Spear phishing – bardziej wyrafinowana metoda phishingu, w ramach której przestępcy
f webinarium „Zabezpiecze- koncentrują atak na ściśle wybranej ofierze lub grupie ofiar (poprzez stworzenie wrażenia,
nia techniczne przetwarza- że znają swą ofiarę).
– zorganizowane przez
4) Atak ransomware – atak na systemy teleinformatyczne, polegający na nieautoryzowanym
Urząd Ochrony Danych przez nas zablokowaniu dostępu do naszych systemów informatycznych (czy też do konkret-
Osobowych, dostępne pod nych baz danych), a przywrócenie stanu poprzedniego może nastąpić po zapłaceniu okupu
adresem: https://uodo.gov. przestępcy.
pl/pl/138/2451.
8
ZABEZPIECZENIE DANYCH PRZETWARZANYCH

W SYSTEMACH TELEINFORMATYCZNYCH
OD STRONY TECHNICZNEJ
Wykonywanie i weryfikacja kopii zapasowych, wdrożenie systemu monitorowania
incydentów bezpieczeństwa i reagowania na nie to tylko niektóre z podstawowych
zasad zabezpieczania danych osobowych w placówkach. Sprawdź, jakie wytyczne w tym
zakresie proponuje Urząd Ochrony Danych Osobowych.
PROBLEM tacji oraz certyfikacji, o których mowa w art. 13

i 16 ustawy z 10 maja 2018 r. o ochronie danych
Jakie rozwiązania w zakresie zabezpieczenia osobowych. Nie znamy zatem daty udostępnienia
danych osobowych przetwarzanych w sys- ww. kryteriów na stronie Biuletynu Informacji
temach teleinformatycznych rekomenduje Publicznej Prezesa UODO. Urząd nie dyspo-
UODO? nuje też wykazem certyfikowanych aplikacji
oraz systemów zabezpieczenia i ochrony prze- MACIEJ LIPKA
ROZWIĄZANIE twarzanych danych osobowych. specjalista w zakresie
ochrony danych
Urząd Ochrony Danych Osobowych (dalej: Weryfikacja infrastruktury osobowych
UODO) nie poleca ani nie reklamuje żadnych
konkretnych systemów teleinformatycznych Przede wszystkim, jak wspomniano w arty-
ani innych podobnych rozwiązań, które służą kule „Jak rozumieć przepisy prawa dotyczące
do zabezpieczenia danych osobowych. Celem zabezpieczenia danych osobowych”, należy
webinarium było ogólne przybliżenie rozwią- unikać oprogramowania:
zań, które można przykładowo zastosować, • nielegalnego;
chroniąc dane osobowe przetwarzane w sys- • nielicencjonowanego;
temach teleinformatycznych. Ponadto do dnia • pochodzącego z nieznanych źródeł czy też
przeprowadzenia webinarium UODO żadne • pozbawionego wsparcia producenta.
podmioty nie wystąpiły – w związku z art. 42 Nie może bowiem dojść do sytuacji, w której
ogólnego rozporządzenia o ochronie danych zaprojektujemy system ochrony dla systemu
(dalej: RODO) – o certyfikat zgodności działa- informatycznego jednostki, pomijając istotne
nia z RODO ani nie otrzymały go od UODO. szczegóły. W tym samym czasie pracownik
Nie wyznaczono również kosztów uzyskania może bowiem korzystać z nieautoryzowanej
certyfikatu ani wymaganych do jego uzyskania przez nas aplikacji zainstalowanej na używa-
dokumentów. Prezes UODO nie prowadzi prac nym przez niego telefonie mobilnym, za jej
nad stworzeniem krajowych kryteriów akredy- pomocą przetwarzając dane osobowe.
ZASADY ZABEZPIECZANIA DANYCH OSOBOWYCH, KTÓRE WSKAZUJE UODO, TO:

• wykonywanie i weryfikacja kopii zapasowych;
• wdrożenie systemu monitorowania incydentów bezpieczeństwa i reagowania na nie;
• wdrożenie ochrony DNS (np. przed połączeniem ze złośliwą domeną – przyp. aut.);
• zapewnienie pseudonimizacji i szyfrowania danych, w tym danych przetwarzanych w dro-
dze transmisji;
• istnienie systemu kontroli dostępu do danych osobowych (gdy np. wiemy, kto, kiedy i jakie
dane osobowe przetwarzał – przyp. aut.);
• wprowadzenie uwierzytelnienia dwuskładnikowego (czyli np. wprowadzanie kodu SMS
przy logowaniu się na komputerze stacjonarnym – przyp. aut.);
• przeprowadzanie regularnych aktualizacji systemów i urządzeń;
• wdrożenie polityki właściwego przydzielania uprawnień;
• posiadanie systemu antywirusowego i systemu anty-malware;
• wprowadzenie zarządzania podatnościami (systemy wyliczające podatności na ryzyko,
takie jak CVE, CVSS) oraz
• przeprowadzanie szkoleń personelu w zakresie bezpiecznego przetwarzania danych oso-
bowych i unikania zagrożeń.

WAŻNE się wydać oczywiste. Nawet najlepszy zatrud-

niany przez nas specjalista w danej dziedzi-
Pod kątem eliminacji oprogramowania nielegalnego,
niepewnego i pozbawionego wsparcia producenta
nie może nie posiadać elementarnej wiedzy
należy przejrzeć nie tylko komputery w naszej jedno- w zakresie ochrony danych osobowych. Celem
stce organizacyjnej, ale ponadto skoncentrować się zobrazowania problemu warto przypomnieć
na sprawdzeniu urządzeń powierzanych personelowi sobie choćby fakt korzystania w celach służbo-
w celach służbowych. Zwróćmy zatem dodatkową wych z powszechnie dostępnej usługi e-mail
uwagę na powierzone personelowi przenośne tele- przez osoby z kręgu władzy. Warto też zwery-
fony, dyski USB czy też karty pamięci. fikować, czy jakąkolwiek dokumentację doty-
czącą ochrony danych osobowych posiadają
np. niektórzy specjaliści, w tym gabinety lekar-
Weryfikacja wiedzy personelu skie zatrudniające nieraz wybitnych w danej
dziedzinie lekarzy.
Jedną z wielu aktywności dotyczących zabez-
pieczania danych osobowych jest przeprowa- WAŻNE
dzanie szkoleń personelu. Personel (tj. zarówno Wiedza przekazywana personelowi w ramach szkoleń
pracownicy, jak i inne osoby dopuszczone do powinna uwzględniać na bieżąco aktualne metody
przetwarzania danych osobowych pod nadzo- ataku na systemy informatyczne. Powinniśmy także
rem ADO) powinien wiedzieć, jak takie dane wyraźnie uświadomić personel o zakazie pobierania
bezpiecznie przetwarzać, jakich pułapek uni- jakiegokolwiek oprogramowania bez zgody kierow-
kać w środowisku teleinformatycznym oraz nictwa oraz o konieczności weryfikacji tożsamości
osób zdalnie kontaktujących się z naszą organizacją.
jak korzystać z konkretnego oprogramowania.
a) filmy instruktażowe Pamiętajmy też, że – jak wskazano

Przedstawiciel UODO wskazał na filmiki instruk- w decyzji UODO z 21 sierpnia 2020 r. (sygn.
tażowe zamieszczone przez Warszawski Insty- ZSOŚS.421.25.2019) – czynnik ludzki to jedno
tut Bankowości. Nagrania te mają stanowić ze źródeł ryzyka, które w procesie przetwa-
przykładową inspirację przy tworzeniu szko- rzania danych osobowych stanowi podsta-
leń dotyczących bezpiecznego poruszania się wowy element odzwierciedlający „immanentną
w cyberprzestrzeni. Są one dostępne w serwisie istotę systemu ochrony danych osobowych,
YouTube pod adresem https://www.youtube. jakim jest kontrola administratora nad pro-
com/c/WarszawskiInstytutBankowo%C5%9Bci . cesami przetwarzania danych osobowych”.
Zgodnie z tą samą decyzją „(p)owszechnie
b) właściwa weryfikacja wiedzy personelu przyjmuje się, że rozliczalność w systemach
W kontekście weryfikacji wiedzy w temacie informatycznych jest realizowana w formie
będącym przedmiotem szkoleń przedstawiciel automatycznie generowanych zapisów (tzw.
UODO polecił serwis Canarytokens (dostępny logów) zawierających określony zestaw infor-
Podstawa prawna:
pod adresem https://canarytokens.org/generate). macji umożliwiający stwierdzenie kto, kiedy,
f rozporządzenie Parlamentu Serwis ten umożliwia sprawdzenie, którzy jakie operacje, w odniesieniu do jakich danych
Europejskiego i Rady (UE) członkowie naszego personelu nie przestrze- wykonał w systemie”.
gają obowiązujących w naszej organizacji
osób fizycznych w związku zasad bezpieczeństwa. Używając ww. strony, Dlatego miejmy na uwadze, że samo przekazanie
z przetwarzaniem danych można wygenerować wybrany przez nas, spre- wiedzy nie zwolni nas, jako ADO, z odpowie-
osobowych i w sprawie parowany plik (np. w formacie Word lub Excel), dzialności za bezpieczeństwo danych osobo-
takich danych oraz uchy- a nawet jakiś adres internetowy. Taki plik/adres wych. Musimy wdrożyć wszelkie dostępne
lenia dyrektywy 95/46/WE możemy następnie wysłać z nieznanego adresu metody, aby zabezpieczyć nasze systemy tele-
(ogólne rozporządzenie e-mail do konkretnej osoby z naszej organiza- informatyczne przed błędami lub celowymi
cji. Ilekroć odbiorca otworzy taki załącznik/ i nielegalnymi działaniami personelu. Jeżeli
link, otrzymamy stosowne powiadomienie. powszechnie dostępna wiedza technologiczna
Podstawa merytoryczna: Pozwoli to nam ustalić, którzy członkowie nie pozwala na powstrzymanie tego typu dzia-
f webinarium „Zabezpiecze- naszego personelu wymagają dodatkowych łań, powinniśmy zapewnić sobie możliwość ich
nych danych osobowych” szkoleń w zakresie bezpieczeństwa w sieci. szybkiego wykrycia oraz niezwłocznej mini-
– zorganizowane przez malizacji ich skutków. Służyć temu mają m.in.
Urząd ochrony Danych c) opinia autora dotycząca szkoleń właśnie rozwiązania zmierzające do kontroli
adresem: https://uodo.gov. Zdaniem autora nie należy rezygnować z prze- tego, kto, kiedy i jakie dane przetwarzał (w tym
pl/pl/138/2451. kazywania informacji, które szkolącym mogą np. pobrał) w naszych systemach.
10
JAK ZAPEWNIĆ BEZPIECZNE OPROGRAMOWANIE

ORAZ POCZTĘ ELEKTRONICZNĄ
Jedne z wielu aspektów bezpieczeństwa danych, na których powinien skupić się
administrator danych osobowych, dotyczą rodzaju oprogramowania, które można
stosować, możliwość stosowania rozwiązań nieodpłatnych czy zabezpieczenia poczty
elektronicznej. Poznaj wytyczne UODO.
PROBLEM czające w sieciach i systemach informatycznych,

a wykorzystywanych przez podmioty chcące
Sprawdźmy, jak Urząd Ochrony Danych efektywnie zarządzać systemami bezpieczeń-
Osobowych (dalej: UODO) podchodzi do stwa informacji.
kwestii bezpiecznego pobierania oprogra-
mowania oraz bezpiecznego korzystania WAŻNE
z poczty elektronicznej. Wybierając oprogramowanie do instalacji, musimy MACIEJ LIPKA
zwrócić uwagę, na co pozwala związana z nim umowa specjalista w zakresie
ROZWIĄZANIE licencyjna. Musimy zatem sprawdzić, czy producent ochrony danych
oprogramowania zezwala na bezpłatne korzystanie osobowych
W celu wyboru właściwego oprogramowania z niego, a jeśli tak, to w jakich celach. Z wielu oprogra-
przedstawiciel UODO wskazał na wytyczne mowań możemy bowiem bezpłatnie korzystać w celach
użytku domowego, ale już nie w celach komercyjnych.
o nazwie Narodowe Standardy Cyberbezpieczeń-
stwa (dalej: NSC). Znajdziemy je pod adresem
https://www.gov.pl/web/baza-wiedzy/narodowe- UODO zwróca też uwagę na to, że przy pobiera-
-standardy-cyber. Wytyczne te dostosowano do niu konkretnego oprogramowania jego produ-
obowiązujących w Polsce norm o zarządzaniu cenci zamieszczają tzw. sumy kontrolne. Mają
bezpieczeństwem informacji przez podmioty one na celu weryfikację, czy ewentualnie w takie
Krajowego Systemu Cyberbezpieczeństwa. oprogramowanie nie zaingerowano w sposób
nieuprawniony – np. czy ktoś się nie podszył
Na NSC składają się takie dokumenty, jak np.: pod producenta oprogramowania i nie zmienił
• standardy kategoryzacji bezpieczeństwa (NSC go w celu nielegalnego wejścia w posiadanie
199 wer. 1.0); informacji przetwarzanych przez użytkownika.
• Minimalne wymagania bezpieczeństwa infor- Weryfikujmy zatem sumy kontrolne.
macji i systemów informatycznych podmio-
tów publicznych (NSC 200 wer. 2.0); Zwróćmy również uwagę, skąd pobieramy dane
• Zarządzanie ryzykiem bezpieczeństwa infor- oprogramowanie. Najlepiej bowiem pobierać
macji (NSC 800-39 wer. 1.0); je bezpośrednio ze strony producenta i unikać
• Przewodnik po telepracy w podmiocie pobierania z innych stron, na których takie
publicznym (NSC 800-46 wer. 1.0); oprogramowanie mogło zostać zmienione przez
• Zabezpieczenia i ochrona prywatności sys- nieuprawnione podmioty. Czasem nawet próba
temów informatycznych oraz organizacji pobrania oprogramowania ze strony jego pro-
(NSC 800-53 wer. 2.0); ducenta może zakończyć się podmianą strony
• Zabezpieczenia bazowe systemów informa- producenta na stronę atakującego za pomocą
tycznych oraz organizacji (NSC 800-53B tzw. metody ARP Spoofingu. Dlatego tego typu
wer. 1.0); ataki możemy wykryć za pomocą prowadzonego
• Wytyczne w zakresie określania katego- monitorowania sieci (patrz: kolejny artykuł).
rii bezpieczeństwa informacji i kategorii
bezpieczeństwa systemu informatycznego WERYFIKACJA POBIERANEGO PLIKU
część I (NSC 800-60 cz. 1 wer. 1.0) i II (NSC Pobierany plik instalacyjny możemy zwery-
800-60 cz. 2 wer. 1.0) czy też fikować, sprawdzając, czy ewentualny ataku-
• Standard Cyberbezpieczeństwa Chmur Obli- jący nie zamieścił w nim „złośliwego kodu”.
czeniowych. Do weryfikacji, jak wskazuje przedstawiciel
UODO, może służyć np. system Virusto-
Opracowania te stanowią zbiór rekomendacji, tal.com. (https://www.virustotal.com/gui/
home/upload)
które mają ujednolicić rozwiązania zabezpie-

Pod podanym adresem możemy zweryfikować celów, w których je przetwarzamy (art. 5

dany plik pod kątem występowania ewentu- ust. 1 lit. e) oraz
alnych zagrożeń. • regularne testowanie, mierzenie i ocenianie
skuteczności środków technicznych i organi-
WAŻNE zacyjnych w celu zapewnienia bezpieczeństwa
Zwróćmy uwagę, aby przesyłany do weryfikacji plik przetwarzania danych osobowych (art. 32
nie zawierał danych osobowych. Załadowanie takiego ust. 1 lit. d).
pliku może bowiem doprowadzić do przesłania ich Powinniśmy przede wszystkim usuwać zbędne
na serwer podmiotu weryfikującego, a tym samym nam (w tym zbędne wskutek upływu czasu)
do wycieku danych osobowych. pliki z poczty elektronicznej oraz zabezpieczać
hasłami pliki zawierające informacje poufne.
Bezpieczniejszą metodą będzie zatem przesła-
nie samego hasła danego pliku, dzięki czemu W kontekście dostosowania środowiska domo-
system zweryfikuje jego bezpieczeństwo, gdy wego do pracy zdalnej przedstawiciel UODO
ktokolwiek wcześniej przesłał wcześniej na wspomniał, że warto zapoznać się z „Przewod-
wspomnianą stronę taki sam plik. nikiem po telepracy w podmiocie publicz-
nym (NSC 800-46 wer. 1.0)” wspomnianym
Kolejną metodą na weryfikację plików pod w związku z NSC (https://www.gov.pl/web/
kątem bezpieczeństwa jest np. Sandbox dostępny baza-wiedzy/narodowe-standardy-cyber). Jeżeli
np. z poziomu serwisu Any Run (https://any. korzystamy z poczty elektronicznej spoza orga-
run/). Tam możemy przesłać sprawdzany plik, nizacji (np. z domu), to konieczne jest zadbanie
po uprzednim założeniu konta i zalogowa- o to, żeby takich transmisji dokonywać poprzez
niu. Portal Any Run poinformuje nas o fakcie tunelowanie z wykorzystaniem kryptogra-
zainfekowania danego pliku. Tego typu opro- fii. W praktyce chodzi tu o odpowiednią pry-
gramowania należy uruchamiać w odizolowa- watną wirtualną sieć (VPN) dobraną przez
nym, najlepiej wirtualnym środowisku, aby nasz podmiot.
nie zainfekować sobie pozostałej części sieci.
Warto odnotować naszą weryfikację, w myśl ODIZOLOWANIE SIECI
wyrażonej w RODO zasady rozliczalności. Korzystając ze służbowej poczty elektronicz-
nej w domu, warto dokonać tzw. segmentacji
Zabezpieczenie poczty sieci. Jeżeli w sieci domowej znajdują się inne
elektronicznej komputery, należy bowiem odizolować je od
sieci służbowej, dokonując właśnie odizolo-
UODO zwraca uwagę na fakt, że wysyłanie poczty wania (np. poprzez segmentację).
elektronicznej przede wszystkim funkcjonuje
na podstawie protokołu SMTP (tj. Simple Mail Kolejnym elementem przy korzystaniu z poczty
Transfer Protocol). Protokół ten opracowano elektronicznej z domu jest bieżąca aktuali-
Podstawa prawna:
w latach 80. XX wieku. Obecnie cyberprzestępcy zacja oprogramowania urządzeń, których
f rozporządzenie Parlamentu wykorzystują go przy tzw. e-mail spoofingu. używamy w domowym środowisku. Przed-
Europejskiego i Rady (UE) W ramach tego działania przestępca podszywa stawiciel UODO zwraca też uwagę na aktu-
się pod nadawcę konkretnej wiadomości e-mail. alizację oprogramowania routera.
osób fizycznych w związku Ponadto e-mail spoofingowi przeciwdziałać mogą
WSKAZÓWKA DOTYCZĄCA ROUTERA
z przetwarzaniem danych takie zabezpieczenia antyphishingowe i antyspo- Czasem po weryfikacji oprogramowania
osobowych i w sprawie ofingowe jak SPF, DKIM oraz DMARC. Warto
swobodnego przepływu routera dojdziemy do wniosku, że nie aktu-
takich danych oraz uchy- również, przy zabezpieczaniu poczty elektronicz- alizowano go już od dłuższego czasu. W takiej
lenia dyrektywy 95/46/WE nej, zastosować uwierzytelnianie dwuskładni- sytuacji warto zweryfikować, czy nie ma moż-
(ogólne rozporządzenie kowe. Oznacza to, że obok loginu i hasła można liwości zamiany właściwego dla niego opro-
wprowadzić dodatkowe elementy weryfikujące gramowania. Przedstawiciel UODO wskazał
użytkownika, takie jak np. kod SMS. Niezależnie na możliwość zastosowania oprogramowania
Podstawa merytoryczna: od powyższego powinniśmy cyklicznie wery- Open WRT. Pozwala ono często na wykorzy-
f webinarium „Zabezpiecze- fikować, jakie dane osobowe przechowujemy stanie dodatkowych funkcjonalności routerów,
nia techniczne przetwarza- w tym routerów domowych. Przed instalacją
nych danych osobowych” na skrzynkach e-mail w naszej organizacji.
zorganizowane przez Urząd Wykonujemy tym samym takie wynikające takiego oprogramowania musimy jednak
ochrony Danych Osobo- uprzednio sprawdzić umowę licencyjną urzą-
z RODO obowiązki, jak:
wych, dostępne pod adre- dzenia. Może ona bowiem zakazywać tego
sem: https://uodo.gov.pl/ • przechowywanie danych osobowych przez typu instalacji.
pl/138/2451. okres nie dłuższy, niż jest to niezbędne do
12
JAK WDRAŻAĆ ANALIZĘ RYZYKA W ZAKRESIE

ATAKU RANSOMWARE W PLACÓWCE
Przyjrzyjmy się bliżej zagadnieniom dotyczącym wdrożenia przeprowadzonej analizy ryzyk
a, zarządzenia podatnościami, sporządzania i przechowywania kopii zapasowych oraz
monitorowania sieci.
PROBLEM nik identyfikatorów odpowiadających powszechnie

znanym podatnościom oraz zagrożeniom. Można
Jakie są preferowane rozwiązania monito- na ww. stronie wyszukać zgłoszone podatności pod
rujące zdarzenia i nieprawidłowości w sie- różnymi kryteriami, takimi jak: nazwa produktu,
ciach lokalnych? nazwa dostawcy czy też typ luki.
ROZWIĄZANIE PRZYKŁAD MACIEJ LIPKA

W bazie CVE możemy wyszukać informacje o podat- specjalista w zakresie
Warto korygować analizy ryzyka o nowe zagroże- nościach, podając nazwę sprzętu lub oprogramo- ochrony danych
nia, zwłaszcza związane z phishingiem i atakiem wania, które podsiadamy w swoich zasobach. osobowych
ransomware. W zależności od tego, co wykaże Wyniki wyszukiwania mogą zwrócić informacje
np. odnośnie do tego, która wersja oprogramowania
nam analiza ryzyka, powinniśmy podjąć sze-
danego urządzenia posiada luki, i zweryfikować to
reg działań wynikających z jej aktualizacji (np. z oprogramowaniem zainstalowanym na naszych
wdrożyć dodatkowe szkolenia personelu czy też urządzeniach.
na nowo przetestować nasze zabezpieczenia).
Portal https://www.cvedetails.com/ umożliwia
WSKAZÓWKA DLA ADO również przeglądanie wykrytych luk w zabezpie-
Sprawdź, czy Twoja analiza ryzyka objęła czeniach według typu (patrz: https://www.cve-
również urządzenia mobilne, używane przez details.com/vulnerability-search.php). Można
Twój personel. Pamiętaj, że wdrożenie zało- dzięki temu sprawdzić, która podatność ma
żeń analizy ryzyka powinno objąć wszystkie tendencję wzrostową (np., jak ostatnio, wzrost
urządzenia mobilne, na których Twój perso- podatności typu SQL Injection).
nel przetwarza dane osobowe, w stosunku do
których pełnisz funkcję ADO. Nie możesz
stracić kontroli nad przetwarzaniem tych
Monitorowanie sieci
danych, toteż powinieneś uniemożliwić ich Jeżeli nie monitorujemy przepływu pakietów
przetwarzanie na nieautoryzowanych przez
danych, nie wiemy, jakie działania w tej sieci
Ciebie urządzeniach przenośnych.
zostają wykonane. Wśród przepływających
danych znajdziemy także nasze dane uwie-
Zarządzanie podatnościami rzytelniające, które wprowadzamy w panelu
Nie ma prawnej definiji podatności. Za podat- logowania danej aplikacji. Monitorowanie
ność na ryzyko możemy uznać pewien słaby sieci ma przeciwdziałać nieuprawnionemu
punkt wynikający z cech danego środowiska, skanowaniu adresów sieciowych przez osoby
w tym infrastruktury informatycznej, który postronne w celu zaatakowania naszych sys-
może prowadzić do określonych, mierzalnych temów teleinformatycznych. Jest to istotne
strat (np. naruszenia bezpieczeństwa ochrony głównie dla mniejszych podmiotów, które
danych osobowych). w swojej infrastrukturze posiadają kilka lub
kilkanaście komputerów i nie sprawują kon-
PRZYKŁAD troli nad przepływem danych tej sieci. Procesy
Dane zawarte na laptopie może przejąć osoba nie- przepływu danych w sieci możemy podejrzeć,
uprawniona. Laptop niezabezpieczony hasłem jest uruchamiając dowolny analizator protokołów
bardziej podatny na takie przejęcie informacji niż sieciowych.
laptop zabezpieczony hasłem.
WAŻNE
W kontekście omawiania podatności UODO odsyła
W celu zapewnienia bezpieczeństwa powinniśmy
na stronę https://www.cvedetails.com/. Common zaszyfrować transmisję danych w naszej sieci.
Vulnerabilities and Exposures (dalej: CVE) to słow-

Tabela nr 1: Rozwiązania monitorujące zdarzenia i anomalie w sieciach lokalnych

wskazane podczas webinarium UODO (przykłady)
Lp. Rodzaj rozwiązania Opis
1. IDS (Intrusion Detection System) System służący do wykrywania podejrzanych działań
i generowania alertów w związku z ich wykryciem.
2. IPS (Intrusion Prevention System) System ma tę przewagę nad IDS, że może zablokować
niepożądane działania w sieci.
3. Next Generation Firewall Jest to zapora sieciowa nowej generacji, wyposażona
w dodatkowe funkcje, takie jak kontrola aplikacji, zinte-
growane zapobieganie włamaniom i bardziej zaawanso-
wane funkcje zapobiegania zagrożeniom (np. Sandbox).
4. Serwery pośredniczące (np. proxy Zapewniają bezpieczeństwo użytkownikom Internetu
lub Secure Gateway) i mogą też dostarczać informacje o ruchu aplikacyjnym.
5. Logi systemowe oraz logi aplika- Umożliwiają wykrycie takich zdarzeń jak np. urucho-
cyjne mione procesy, fakt zalogowania się do systemu czy też
wykonane połączenia.
6. EDR (Endpoint Detection and System chroniący i monitorujący stację roboczą,
Response) a wyposażony m.in. w możliwość rozpoznawania i blo-
kowania wskaźników ataków w czasie rzeczywistym.
7. DLP (Data Loss Prevention) System do wykrywania naruszeń bezpieczeństwa zwią-
zanych z wyciekami danych; analizuje on przesłane pliki
oraz ich zawartość w poszukiwaniu wrażliwych infor-
macji (np. numerów PESEL) oraz innych danych oso-
bowych atrakcyjnych dla atakującego. DLP chroni też
przed przypadkowymi lub celowymi wyciekami infor-
macji.
8. Next Generation Antywirus Systemy antywirusowe nowej generacji, uwzględnia-
jące centralnie zarządzaną architekturę i zapobiegające
wszelkim typom ataków, poprzez monitorowanie, reago-
wanie na różne strategie atakujących atakujących (przyp.
aut.).
9. DNS (Domain Name System) System umożliwia wykrycie połączeń do potencjalnie
złośliwych domen. Jednakże wiele ataków na systemy
teleinformatyczne przeprowadza się właśnie z użyciem
tego protokołu.
Wskazówki dotyczące kopii Umieszczanie kopii zapasowych na tym samym

zapasowych nośniku w tej samej lokalizacji skutkować może
ich zaszyfrowaniem wraz z zaatakowanymi
Personel UODO dużą wagę przywiązał do zasobami wskutek ataku ransomware.
omówienia kwestii właściwego sporządzania
kopii zapasowych, chroniących ADO przed WAŻNE
utratą przetwarzanych danych osobowych. UODO poddaje pod rozwagę wdrożenie zasady posia-
W oparciu o swoje doświadczenie ze skon- dania trzech egzemplarzy danych oraz przechowy-
wanie danych osobowych na co najmniej dwóch
trolowanymi UODO wskazuje na:
różnych typach pamięci masowej.
• brak regularnego testowania, mierzenia oraz
oceniania wykonanych kopii zapasowych, co
skutkowało niemożnością ich odtworzenia Dane osobowe możemy przechowywać:
po wystąpieniu incydentu; • zarówno na wewnętrznym dysku twardym,
• konieczność odtwarzania danych z wersji jak i na nośniku wymiennym (np. na taśmie,
papierowej; serwerze, zewnętrznym, dysku twardym,
• brak procedur wykonywania kopii zapaso- dysku USB, karcie SD czy też płycie CD/
wych oraz DVD) lub
• zapisywanie kopii zapasowych na tym samym • na 2 wewnętrznych dyskach twardych, które
nośniku w tej samej lokalizacji. jednak znajdują się w różnych lokalizacjach
14
– w tym przypadku musimy wdrożyć fizyczne zapasowej danych należy wytworzyć pisemny
odseparowanie kopii danych. dowód zawierający wynik tego działania. Cho-
dzi w tym przypadku o dowód, jak podkreśla
Warto również dodać, że w związku z wykony- przedstawiciel UODO: „wiarygodny i zgodny
waniem przez ADO testu przywracania kopii ze stanem faktycznym”.
REGUŁA 3-2-1
W stosunku do kopii zapasowych UODO zwraca uwagę na możliwość zastosowania tzw. reguły
3-2-1. Polega ona na:
• posiadaniu co najmniej 3 egzemplarzy danych – tworzymy w tym celu kilka kopii zapa-
sowych każdej maszyny wirtualnej;
• przechowywaniu egzemplarzy danych na co najmniej 2 różnych nośnikach – np. w chmu-
rze i na dysku twardym, oraz
• przechowywaniu 1 kopii zapasowej na zewnątrz organizacji – np. przesyłać kopie zapa-
sowe do zewnętrznego repozytorium udostępnianego przez danego usługodawcę.
REJESTR NARUSZEŃ BEZPIECZEŃSTWA
Działanie
Odpowie- zapobie-
dzialny gawcze /
Naru- Źródło
za błąd/ korygu-
szenie zgłoszenia Ocena
narusze- jące wraz
bezpie- – osoba/ Data skutecz-
Data roz- nie lub ze wska-
czeństwa podmiot zakończe- Przyczyna ności
poczęcia infor- zaniem
– opis zgłasza- nia podjętych
macja osoby
narusze- jący incy- działań
o braku odpowie-
niaa dent
takiej dzialnej
osoby za wyko-
nanie
Podstawa prawna:
f rozporządzenie Parlamentu
Europejskiego i Rady (UE)
osób fizycznych w związku
osobowych i w sprawie
takich danych oraz uchy-
lenia dyrektywy 95/46/WE
(ogólne rozporządzenie
Podstawa merytoryczna:
f webinarium „Zabezpiecze-
– zorganizowane przez
Dla .......................................................... Urząd ochrony Danych
dane administratora adresem: https://uodo.gov.
pl/pl/138/2451.

CZY PRZYSTĄPIĆ DO STOSOWANIA KODEKSU

POSTĘPOWANIA DLA SEKTORA MEDYCZNEGO
Prezes Urzędu Ochrony Danych Osobowych zatwierdził 14 grudnia pierwszy w Polsce
kodeks postępowania precyzujący zasady stosowania RODO. Dotyczy on małych
placówek medycznych. Co zatwierdzenie takiego kodeksu oznacza w praktyce dla takich
podmiotów?
PROBLEM miało już miejsce w przypadku omawianego

dokumentu.
Prezes Urzędu Ochrony Danych Osobowych
(dalej: UODO) zatwierdził projekt Kodeksu Adresaci Kodeksu
postępowania dotyczącego ochrony danych
osobowych przetwarzanych w małych placów- Kodeks ma zastosowanie jedynie do danych
MACIEJ LIPKA kach medycznych, a współtworzony przez osobowych przetwarzanych w związku z działal-
specjalista w zakresie Porozumienie Zielonogórskie. Czy mamy nością leczniczą małych placówek medycznych
ochrony danych obowiązek go stosować jako mała przychod- (dalej: MPM). Do jego stosowania przystąpić
osobowych nia medyczna? mogą MPM będące członkami struktur regio-
nalnych Porozumienia Zielonogórskiego.
ROZWIĄZANIE
UWAGA
Sam fakt istnienia zatwierdzonego kodeksu Za małe placówki medyczne Kodeks uznaje podmioty
wykonujące działalność leczniczą, realizujące zwłasz-
postępowania nie rodzi po stronie małych pla-
cza świadczenia w rodzaju podstawowa opieka zdro-
cówek medycznych obowiązku jego stosowania. wotna oraz ambulatoryjna opieka specjalistyczna.
Kodeks ten może jednak pomóc w praktycz-
nym stosowaniu przepisów o ochronie danych Kodeks dotyczy danych osobowych pacjentów,
osobowych. Jego zapisy mogą też nas chronić. osób upoważnionych przez pacjentów czy też
Kodeks postępowania dotyczący ochrony danych ich osób bliskich. Nie dotyczy on natomiast
osobowych przetwarzanych w małych placów- przetwarzania danych osobowych pracowników,
kach medycznych (dalej: Kodeks) opracowały współpracowników, kandydatów do pracy lub
Federacja Związków Pracodawców Ochrony innych osób, których dane gromadzi MPM.
Zdrowia „Porozumienie Zielonogórskie” oraz Do stosowania Kodeksu nie mogą też przystą-
Jamano Sp. z o.o., tj. firma wyspecjalizowana pić placówki, które posiadają status podmiotu
w ochronie danych osobowych. Prezes UODO publicznego (w tym zwłaszcza samodzielne
ten Kodeks zatwierdził oraz opublikował jego publiczne zakłady opieki zdrowotnej). Za
treść na swojej stronie internetowej pod adre- swój główny cel Kodeks postawił doprecy-
sem https://uodo.gov.pl/pl/426/1110 . zowanie zasad ochrony danych zawartych
w RODO i podniesienie poziomu tej ochrony
Podstawa prawna Kodeksu przez MPM.
Zgodnie z art. 40 ust. 1 ogólnego rozporządze- Do omawianego Kodeksu nie mogą zatem
nia o ochronie danych (dalej: RODO) państwa przystąpić wszystkie podmioty. Część z nich
członkowskie, organy nadzorcze, Europejska może natomiast wyrazić zainteresowanie sto-
Rada Ochrony Danych oraz Komisja Europejska sowaniem skierowanego do wszystkich pod-
zachęcają do sporządzania kodeksów postępo- miotów wykonujących działalność leczniczą
wania mających pomóc we właściwym stoso- Kodeksu postępowania dla sektora ochrony
waniu RODO – z uwzględnieniem specyfiki zdrowia. Dotyczy on podmiotów wykonują-
różnych sektorów dokonujących przetwarza- cych działalność leczniczą i podmiotów prze-
nia oraz szczególnych potrzeb mikroprzedsię- twarzających. Stworzyła go Polska Federacja
biorstw oraz małych i średnich przedsiębiorstw. Szpitali. Jakkolwiek UODO pozytywnie zaopi-
Warto w tym miejscu podkreślić, że opraco- niował jego projekt, to wciąż czekamy na jego
wanie takich kodeksów ani ich stosowanie nie oficjalne zatwierdzenie przez urząd. Dopiero
jest niczyim obowiązkiem. Tego typu kodeksy po tym fakcie ten drugi kodeks można będzie
wymagają jednak oficjalnego zatwierdzenia, co wykorzystać w praktyce.
16
Rola Kodeksu Jak wskazuje UODO, przystąpienie do stoso-

wania danego kodeksu postępowania może
Zatwierdzony Kodeks opracowano dla MPM, przynieść administratorowi danych osobowych
aby wesprzeć je we właściwym stosowaniu liczne korzyści. Wykorzystywanie Kodeksu
przepisów RODO. Dokument ten ma zatem daje bowiem gwarancję pewności stosowania
charakter pomocniczy, a nie obowiązkowy. określonych rozwiązań zatwierdzonych przez
Niemniej jednak warto zapoznać się z jego UODO. Zasadniczo administratorzy mogą
treścią, nawet gdy nie zamierzamy lub nie także liczyć na nadzór nad prawidłowym sto-
możemy przystąpić do jego stosowania. Kodeks sowaniem kodeksu przez niezależny podmiot
zawiera bowiem szereg wskazówek praktycz- monitorujący kodeks. UODO podkreśla, że
nych, które możemy przeanalizować i zesta- w praktyce – w związku z przystąpieniem do
wić z rozwiązaniami, które już wdrożyliśmy stosowania danego kodeksu – np. kontrola
u siebie. Niewykluczone, że treść Kodeksu podmiotu czy też rozpatrywanie skarg osób,
zainspiruje nas do modyfikacji istniejących których dane dotyczą, mogą mieć miejsce bez
procedur. Jak wskazano w Kodeksie, ma on udziału UODO. Jak zauważa organ, do korzy-
także na celu zwiększenie zaufania pacjentów ści ze stosowania kodeksu zaliczyć można też
do MPM. objęcie ochroną w kontekście ewentualnych
kar pieniężnych. W razie nakładania kary na
PRZYKŁADOWE KWESTIE, KTÓRE dany podmiot UODO weźmie bowiem pod
REGULUJE KODEKS uwagę w każdym przypadku, czy podmiot ten
W Kodeksie znajdziemy wskazówki doty- właściwie stosował zatwierdzony kodeks postę-
czące m.in.: powania, do którego stosowania przystąpił.
• warunków pozyskania ważnej zgody na
przetwarzanie danych osobowych; Przystąpienie do Kodeksu
• zasad powierzania danych osobowych;
• sposobu zarządzania bezpieczeństwem Pierwszym krokiem jest złożenie deklaracji przy-
danych osobowych; stąpienia, którą twórcy udostępnią w styczniu 2023
• sytuacji, w których możemy wykorzystać roku. Po pozytywnym wyniku kontroli wstępnej
dane osobowe pacjentów bez ich zgody; w MPM, dokonanej przez podmiot monitorujący,
• sposobów realizacji praw pacjenta;
Porozumienie Zielonogórskie, wpisze zaintere-
• przeprowadzania teleporad;
• stosowanie monitoringu w placówkach; sowaną MPM na listę podmiotów stosujących
• postępowania przy badaniu satysfakcji ze Kodeks. Lista podmiotów, które przystąpiły do
świadczonych usług; Kodeksu, będzie opublikowana na stronach inter-
• danych osobowych pacjentów, których netowych Porozumienia Zielonogórskiego oraz
nie możemy przetwarzać, czy też podmiotu monitorującego. Podmiotem moni-
• procedur, jakie należy opracować w związku torującym Kodeks została JAMANO Sp. z o.o.
ze zbieraniem danych.
UWAGA
Co daje stosowanie Kodeksu Tylko te placówki, które wpisano na listę podmiotów,
które przystąpiły do stosowania Kodeksu, mogą
powoływać się na stosowanie jego postanowień
Przystąpienie danej placówki medycznej do w celu wykazywania zgodności z RODO. Podstawa prawna:
stosowania Kodeksu ma zagwarantować, że f rozporządzenie Parlamentu
zapewniamy bezpieczeństwo danych osobo- Europejskiego i Rady (UE)
wych na odpowiednio wysokim poziomie: Podsumowanie 2016/679 z 27 kwietnia
• poprzez stosowanie odpowiednich zasad osób fizycznych w związku
i instrumentów prawnych ochrony danych Stosowanie Kodeksu nie jest naszym obowiąz- z przetwarzaniem danych
• przy uwzględnieniu ryzyka dla praw lub kiem. Jednakże fakt oficjalnego przystąpienia osobowych i w sprawie
wolności pacjentów wynikającego z prze- do jego stosowania może: takich danych oraz uchy-
twarzania ich danych osobowych. • zwiększyć naszą konkurencyjność z uwagi lenia dyrektywy 95/46/WE
Z RODO wynika, że ochrona danych osobo- na wprowadzenie szeregu zatwierdzonych (ogólne rozporządzenie
o ochronie danych, RODO);
wych to proces ciągły, w ramach którego stale przez UODO rozwiązań chroniących dane f Kodeks postępowania
monitorujemy ryzyko dla danych osobowych pacjentów; dotyczący ochrony danych
i stale poprawiamy wdrożone przez nas proce- • zagwarantować pewność stosowanych pro- osobowych przetwarza-
nych w małych placówkach
dury. Warto zatem polegać na opracowanym cedur ochrony danych osobowych;
medycznych dostępny pod
przez specjalistów i – w razie potrzeby – stale • wpłynąć na fakt lub wysokość ewentualnych adresem https://uodo.gov.
doskonalonym Kodeksie. kar pieniężnych wymierzanych przez UODO. pl/pl/426/1110.

LISTA KONTROLNA: CO POWINNA ZAWIERAĆ

DOKUMENTACJA SYSTEMU ZARZĄDZANIA
BEZPIECZEŃSTWEM INFORMACJI
System Zarządzania Bezpieczeństwem Informacji (SZBI) – z ang. Information Security
Management System (ISMS), to część całościowego systemu zarządzania oparta na
podejściu wynikającym z oceny ryzyka, odnosząca się do ustanawiania, wdrażania,
eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.
System zarządzania obejmuje strukturę organizacyjną, polityki, planowane działania,
odpowiedzialności, zasady, procedury, procesy i zasoby (aktywa).
Dokumenty składające się na Dokumentację Systemu Zarządzania Bezpieczeństwem Informacji:

• ZSZ.ISO.PBI-Polityka_Zintegrowanego_Systemu_Zarzadzania
• ZSZ.ISO.PBI-Ksiega_Zintegrowanego_Systemu_Zarzadzania
• ZSZ.ISO.SOA-Deklaracja_Stosowania
• ZSZ.ISO.PR.7.5.3-Nadzor_nad_Udokumentowanymi_Informacjami
• ZSZ.ISO.PR.9.2-Audyt_Wewnetrzny_ZSZ
• ZSZ.ISO.PR.9.3-Przeglad_Zarzadzania
• ZSZ.ISO.PR.A.12.6.1-Zarzadzanie_Podatnosciami
• ZSZ.ISO.PR.A.16-Z2-Instrukcja_Zabezpieczania _Materiału_Dowodowego
• ZSZ.ISO.PR.A.16-Z1-Rejestr_Zdarzen_i_Incydentow
• ZSZ.ISO.PR.A.16-Zarzadzanie_Incydentami_Bezpieczenstwa
• ZSZ.ISO.PR.A.8.3-Zarzadzanie_Nosnikami_Informacji
• ZSZ.ISO.PR.A.7-Zarzadzanie_Bezpieczenstwem_Zasobow_Ludzkich
• ZSZ.ISO.P.01-Polityka_Dostepu_do_Srodowiska_Teleinformatycznego
• ZSZ.ISO.P.A.15-Polityka_Bezpieczenstwa_Informacji_dla_Wykonawców
• ZSZ.ISO.PR.10.1-Dzialania_Korygujace
• ZSZ.ISO.P.A.14-Polityka_Pozyskiwania_Rozwoju_i_Utrzymania_Systemow
• ZSZ.ISO.PR.9.1-Monitorowanie_Skutecznosci_Zintegrowanego Systemu Zarządzania
• ZSZ.ISO.PR.A.18.2.2-Zarzadzanie_Wyjatkami_Bezpieczenstwa_Informacji
• ZSZ.ISO.SL-01-Slownik_Definicji_i_Skrotow
• ZSZ.ISO.PR.A.8.2-Zasady_Postepowania_z_Informacjami_- zmiany
Źródło:
f „Plan działania w zakre- • Polityka-i-metodyka-zarzadzania-ryzykiem
sie cyberbezpieczeństwa
w ochronie zdrowia”, Cen- • Polityka nadawania, odbierania, modyfikacji uprawnień
trum e-Zdrowia
18
LISTA KONTROLNA: JAKIE SĄ ZASADY

BEZPIECZNEGO UŻYTKOWANIA SPRZĘTU IT
Sprawdź, jakie wytyczne dotyczące prawidłowego korzystania ze sprzętu informatycznego
należy wprowadzić do swojej organizacji. Kilka najważniejszych zasad na tan temat warto
stosować, aby uniknąć błędów.
Użytkownik zobowiązany jest korzystać ze sprzętu IT w sposób zgodny z jego przeznacze-

niem i chronić go przed jakimkolwiek zniszczeniem lub uszkodzeniem.
Użytkownik zobowiązany jest do zabezpieczenia sprzętu IT przed dostępem osób nieupo-

ważnionych, a w szczególności zawartości ekranów monitorów.
Użytkownik ma obowiązek natychmiast zgłosić zagubienie, utratę lub zniszczenie powie-

rzonego mu sprzętu IT.
Samowolne otwieranie (demontaż) sprzętu IT, instalowanie dodatkowych urządzeń (np.

twardych dysków, pamięci) lub podłączanie jakichkolwiek niezatwierdzonych urządzeń do
systemu informatycznego są zabronione.
Za bezpieczne użytkowanie urządzeń przenośnych typu laptop lub pendrive, szczegól-

nie w trakcie transportu, jeśli Użytkownik otrzymał zgodę na ich wynoszenie poza obszar
przetwarzania danych, odpowiada Użytkownik.
Wszelkie narzędzia pracy przekazane przez pracodawcę, czyli zarówno komputer, jak
i dostęp do Internetu, są własnością pracodawcy i powinny być wykorzystywane zgodnie
z jego wymaganiami.
Wykorzystywanie prywatnego sprzętu komputerowego do wykonywania zadań służbo-

wych może odbywać się za zgodą pracodawcy. Warunki wykorzystywania prywatnych
urządzeń oraz zasady bezpieczeństwa danych określa umowa pomiędzy pracodawcą a pra-
cownikiem regulująca zasady korzystania ze sprzętu i aplikacji.

LISTA KONTROLNA: JAKIE SĄ REGUŁY

KORZYSTANIA Z OPROGRAMOWANIA
Zweryfikuj, czy personel Twojej organizacji korzysta z dostępnego im oprogramowania
w sposób bezpieczny. Dzięki poniższej liście kontrolnej sprawdzisz, czy faktycznie
niezbędne zasady funkcjonowania w organizacji są przestrzegane.
Użytkownik zobowiązuje się do korzystania wyłącznie z oprogramowania objętego pra-

wami autorskimi.
Użytkownik nie ma prawa kopiować oprogramowania zainstalowanego na sprzęcie IT

przez Pracodawcę na swoje własne potrzeby ani na potrzeby osób trzecich.
Instalowanie jakiegokolwiek oprogramowania na sprzęcie IT może być dokonane

wyłącznie przez osobę upoważnioną.
Użytkownicy nie mają prawa do instalowania ani używania oprogramowania innego niż
przekazane lub udostępnione im przez Pracodawcę. Zakaz dotyczy między innymi insta-
lacji oprogramowania z zakupionych płyt CD, programów ściąganych ze stron interneto-
wych, a także odpowiadania na samoczynnie pojawiające się reklamy internetowe.
Użytkownicy nie mają prawa do zmiany parametrów systemu, które mogą być zmie-
nione tylko przez osobę upoważnioną.
W przypadku naruszenia któregokolwiek z powyższych postanowień Pracodawca ma

prawo niezwłocznie i bez uprzedzenia usunąć nielegalne lub niewłaściwie zainstalowane
oprogramowanie.
20
EWIDENCJA CZYNNOŚCI W SYSTEMIE

INFORMATYCZNYM ORAZ EWIDENCJA NAPRAW
SYSTEMU INFORMATYCZNEGO
Większość działań w ramach organizacji powinno być ewidencjonowanych. Pozwala
to m.in. administratorowi na zachowanie zasady rozliczalności. Prowadzenie ewidencji
dotyczy również czynności prowadzonych w systemie informatycznym dla danego
podmiotu oraz napraw i konserwacji sprzętu. Do tego przydadzą się poniższe wzory.
WZÓR
EWIDENCJA CZYNNOŚCI W SYSTEMIE INFORMATYCZNYM DLA PODMIOTU
………………………………
Opis wydarzenia Podpis
Lp. Data Uwagi
w systemie adminstratora
EWIDENCJA NAPRAW, PRZEGLĄDÓW I KONSERWACJI SYSTEMU INFORMATYCZNEGO

DLA ………………………………
Osoba/podmiot
Zakres wykonywa-
Lp. Data dokonujący naprawy/ Uwagi
nych czynności
przeglądu/konserwacji

JAK UCHRONIĆ PLACÓWKĘ MEDYCZNĄ

PRZED CYBERATAKIEM – WSKAZÓWKI
DLA ADMINISTRATORÓW
Cyberatak w Instytucie Centrum Zdrowia Matki Polki (dalej: ICZMP), który doprowadził
do przełożenia planowanych badań i prowadzenia dokumentacji medycznej w postaci
papierowej, skierował naszą uwagę na kwestie zabezpieczenia danych wrażliwych
w systemach elektronicznej dokumentacji medycznej. Sprawdź, jak uchronić placówkę
przed cyberatakiem.
PROBLEM otwierajmy niesprawdzonych załączników czy

linków z niezamówionej czy podejrzanej kore-
Hakerzy zaatakowali systemy informatyczne spondencji e-mailowej, np. o niezapłaconej
Centrum Zdrowia Matki Polki w Łodzi. fakturze, nieodebranej paczce, zawierającej
W związku z tym incydentem pamiętajmy komunikat o zablokowaniu dostępu do ban-
o tym, co może nas ustrzec przed wyciekiem kowości internetowej, a nawet zawiadomienie
danych w placówce medycznej, Upewnijmy o wszczęciu kontroli skarbowej. Może to spowo-
Piotr Glen
się, że logujemy się na oryginalnej, bezpiecz- dować zainfekowanie komputerów złośliwym
inspektor ochrony
nej stronie, korespondujemy z prawdziwą, oprogramowaniem szpiegującym. Umożliwi
danych, audytor
systemów zarządzania uprawnioną osobą bądź instytucją, otwie- ono hakerom przejęcie władzy nad naszym
bezpieczeństwem ramy sprawdzone załączniki i linki. Na co komputerem, zablokuje lub zaszyfruje pliki.
informacji jeszcze należy zwrócić uwagę? Przy instalowaniu dodatkowych aplikacji często
ryzykujemy niejawną instalację takich progra-
ROZWIĄZANIE mów (ang. spyware). Gdy nasz komputer np.
zaczyna działać zbyt wolno, cały czas poja-
Incydent spowodował, że czasowo wyłączono wiają się wyskakujące reklamy, zmienione są
systemy informatyczne, aby zminimalizować ustawienia, przeglądarka zawiera dodatkowe
skalę ataku. W przywróceniu stanu do normy składniki, których nie instalowaliśmy, może
zaangażowano zespół IT ICZMP, Ministerstwo padliśmy ofiarą ataku.
Zdrowia, Centrum e-Zdrowia i NASK. W cza-
sie cyberataku najbardziej ucierpiały badania JAK UCHRONIĆ SIĘ PRZED CYBERATAKIEM
w pracowni radiologicznej: tomografie kompu- 1. Nie otwierajmy niesprawdzonych załączni-
terowe i rezonansy magnetyczne. Te nowoczesne ków, linków z niezamówionej, czy podej-
urządzenia są całkowicie skomputeryzowane rzanej korespondencji e-mailowej.
i bez podłączenia do sieci nie działają. Należy 2. Dobrze przyjrzyjmy się adresowi nadawcy
przypomnieć, że do wycieku czy kradzieży danych e-maila.
nie musi dochodzić przy użyciu wyrafinowanych, 3. Jeśli korzystamy z szyfrowanych stron,
pamiętajmy, że adres powinien się zaczy-
skomplikowanych, długo przygotowywanych
nać od https://.
cyberataków, choć takowe często się zdarzają. 4. Używajmy haseł lub innych środków kryp-
tograficznej ochrony do danych chronio-
Najsłabszym ogniwem w najbardziej nych, przekazywanych e-mailem.
zaawansowanych systemach bezpieczeństwa jest
człowiek. Na co z punktu widzenia przeciętnego
użytkownika komputera zwrócić szczególną Jak rozpoznać fałszywego
uwagę, aby nie paść ofiarą cyberprzestępców? nadawcę
Jak wymagania dotyczące bezpieczeństwa
teleinformatycznego stosować w praktyce? Często nasze dyski są szyfrowane. Jeśli nie
robimy regularnie kopii bezpieczeństwa, to
Jak uniknąć złośliwego odzyskanie dostępu do danych może się wiązać
oprogramowania z zapłaceniem dużego haraczu. Dlatego dobrze
przyglądajmy się adresowi nadawcy. Cza-
Aby nie dopuścić do instalacji złośliwego sem dostrzeżemy w nim niewielkie różnice
oprogramowania na naszym komputerze, nie w nazwie, inną literę czy domenę, a czasami
22
zupełnie przypadkowe adresy e-mailowe Następnie w zdenerwowaniu lub kierując się

nadawcy. Przestępca może się też podszywać chęcią pomocy, przekażemy informacje, któ-
pod inną osobę lub instytucję, żeby wyłudzić rych nie powinniśmy przekazać, osobie nie-
określone informacje (np. dane logowania, uprawnionej. Miejmy zawsze na uwadze, że
szczegóły karty kredytowej) bądź nakłonić nigdy do końca nie jest wiadomo, kto jest po
ofiarę do określonych działań. drugiej stronie telefonu czy skrzynki e-mailowej.
Do akcji dezinformacyjnych, SPAM-u czy nie-
Spotykamy również strony internetowe łudząco uczciwych ofert handlowych służą m.in. przepisy
podobne do niektórych firm, instytucji, dotyczące ochrony danych i ich niedostateczna
programów. Najczęściej ofiarami padają klienci znajomość. Nie dajmy się więc zastraszyć. Jeden
banków czy użytkownicy portali społeczno- z najlepszych hakerów powtarzał: „nie trzeba łamać
ściowych. Można spotkać się z fałszywymi haseł, wystarczy złamać (podejść) człowieka”.
stronami np. programu Rodzina 500+ czy
rabatowymi kuponami o wartości 100 zł do Dlaczego warto szyfrować
KFC i McDonald’s. Nie należy im wierzyć . pocztę elektroniczną
Pojawiały się też już fałszywe domeny jak np. i załączniki
www.abwgov.pl, www.cbagov.pl czy nawet Używajmy odpowiednio silnych, trudnych
www.gusgov.pl. Bez kropki przed gov. Ktoś, do złamania, ale łatwych do zapamiętania
kto na to nie zwrócił uwagi, wysyłał często haseł. Nie przyklejajmy karteczek z hasłami
poufne informacje, bynajmniej nie do ABW czy do monitora czy obudowy komputera. Nie
CBA. Nie logujmy się więc nigdzie z poziomu ujawniajmy ich też w inny sposób, nie poży-
wyszukiwarki. Uważajmy na to, co ściągamy czajmy. Stosujmy także hasła lub inne środki
z Internetu, jakie strony odwiedzamy i jakie kryptograficznej ochrony do danych chronio-
aplikacje uruchamiamy. nych, które przekazujemy drogą teletransmi-
sji. Zabezpieczmy załącznik e-maila hasłem,
WAŻNE które wyślemy inną drogą, np. SMS-em. Gdy
przesyłamy dane podlegające ochronie, kore-
Nie ignorujmy komunikatów i ostrzeżeń typu „witryna
zgłoszona jako dokonująca ataków” z czerwoną ikonką
spondencja e-mailowa nie jest bezpiecznym
policjanta. Zgłaszajmy takie problemy informatykom. kanałem komunikacji. Przy wysyłaniu wia-
domości drogą elektroniczną, zwłaszcza gdy
chce się jedną wiadomość przesłać do wielu
Pamiętajmy, że oryginalna, szyfrowana strona osób, często zdarza się karygodny błąd i adresy
powinna zaczynać się od https:// (nie od http:// wszystkich odbiorców wkleja się do paska
jak zwykle). Powinien znajdować się na niej adresowego lub „do wiadomości”.
symbol zamkniętej kłódki widoczny na pasku
adresu wykorzystywanej przeglądarki. Po klik- W cyfrowym świecie każdy adres e-mail to dane
nięciu kłódki zapoznajmy się z informacjami osobowe i przy takiej wysyłce będą ujawnione.
na temat certyfikatu bezpieczeństwa danej Jeśli wiadomość dotyczy kwestii wrażliwych,
witryny. Przed zalogowaniem się sprawdźmy, czy związanych chociażby ze stanem zdrowia,
w adresie strony nie ma literówki, cyfry udają- ujawnimy też dane wrażliwe. Skutki i konse-
cej literę itp. Cyberprzestępcy celowo rejestrują kwencje takiego błędu mogą być kosztowne,
domeny z literówkami w nazwach oraz bez zwłaszcza w perspektywie obowiązywania
kropki między www a właściwą częścią adresu ogólnego rozporządzenia Unii Europejskiej
(np. wwwgazeta.pl). Liczą na to, że użytkow- o ochronie danych osobowych. Musimy więc
nik oryginalnej witryny nie zauważy różnicy. być świadomi zagrożeń, umieć bezpiecznie
korzystać z Internetu.
Jak uniknąć wycieku UWAGA
informacji Zadbajmy o to, aby w naszej placówce wdrożyć zestaw
prostych i ważnych zasad korzystania z infrastruk-
Czasami nie trzeba programu szpiegującego, tury teleinformatycznej i stosować je w praktyce.
aby ujawnić cenne czy chronione informacje.
Jeśli jesteśmy nieostrożni lub zbyt łatwowierni, Jeżeli padniemy ofiarą przestępstwa interne-
wystarczy, że otrzymamy e-maila o urzędo- towego, napotkamy w sieci nielegalne bądź
wej treści lub telefon od funkcjonariusza czy obraźliwe treści, możemy zgłosić incydent do
inspektora. jednego z funkcjonujących w Polsce Zespołów

Reagowania na Incydenty Komputerowe (CERT 2) https://www.cert.orange.pl/ – dla użytkow-

– Computer Emergency Responce Team): ników sieci Orange Polska,
1) https://www.cert.pl/ – dla wszystkich użyt- 3) http://www.cert.gov.pl/ – dla użytkowni-
kowników polskiego Internetu, ków sieci administracji publicznej.
Lista kontrolna: Bezpieczeństwo danych przechowywanych w aplikacjach klasy EDM

Lp. Obszar kontrolny Tak/Nie
I. Ograniczenia w serwerowni
1. Czy przebywanie osób w pomieszczeniach o znaczeniu krytycznym ma ograniczenia:
a) podlega autoryzacji
b) jest dozwolone wyłącznie dla osób upoważnionych lub mających zezwolenia
wydane przez kierownika jednostki
c) jest możliwe wyłącznie w celu wykonywania obowiązków służbowych
d) nie wolno podłączać urządzeń mogących spowodować zakłócenia zasilania, lub
mogących mieć negatywny wpływ na dyski magnetyczne oraz sprzęt
e) obowiązuje zakaz posiłków, napojów, palenia papierosów oraz pozostawiania
odpadów
II. Bezpieczeństwo fizyczne gabinetu
1. Obszary o podwyższonym poziomie bezpieczeństwa typu: gabinet lekarski, laboratorium,
powinny spełniać następujące wymagania:
a) izolację fizyczną w postaci bezpiecznych drzwi
b) kontrole dostępu w postaci przynajmniej jednego z zabezpieczeń: karta dostępowa
z czytnikiem elektronicznym, przepustka
c) instalację przeciwpożarową
d) monitoring wizyjny drzwi wejściowych
e) zastosowanie monitoringu zdarzeń, systemu wykrywania włamań
f) stosowanie zabezpieczeń, np. krat w oknach
III. Źródła zasilania i UPS
1. Czy w celu zachowania ciągłości działania infrastruktury informatycznej zapewniłeś
w placówce więcej niż jedno źródło zasilania (np. dodatkowe niezależne przyłącze
energetyczne lub przez zakup generatora prądotwórczego)?
2. Czy zapewniłeś zasilanie gwarantowane (urządzenie UPS, agregaty prądotwórcze)?
3. Czy regularnie testujesz sprawność działania UPS-ów i generatorów
prądotwórczych?
IV. Niszczenie nośników danych
1. Czy likwidację sprzętu wykonujesz w obecności osób wyznaczonych przez
kierownika organizacji?
2. Czy przed przekazaniem sprzętu do niszczenia trwale usuwasz z niego dane (samo
wykasowanie danych z dysku przed oddaniem go do utylizacji nie powoduje
trwałego usunięcia)?
3. Czy niszczenie nośników danych zawierających dane medyczne odbywa się przez
ich fizyczne zniszczenie, np. przez fizyczne niszczenie talerzy dysku, połamanie,
zmielenie lub pocięcie nośników danych?
4. Czy niszczysz nośniki danych przez zastosowanie metody termicznej albo
chemicznej, powodującej zamianę dysków w ciecz, bez możliwości przywrócenia
struktur nośnika?
5. Czy po zakończonej procedurze brakowania sprzętu sporządzasz protokół
zniszczenia?
24
LISTA KONTROLNA: CZY PRZESTRZEGASZ

NAJWAŻNIEJSZYCH ZASAD OCHRONY DANYCH
PACJENTA
Gromadząc dane o pacjencie, w tym również dane o jego stanie zdrowia, należy pamiętać
o przestrzeganiu kilku podstawowych zasad przetwarzania danych osobowych zgodnych
z RODO. Dotyczą one przede wszystkim bezpieczeństwa. Poniższa lista kontrolna pomoże
zweryfikować poprawność praktyk w placówce.
Czy przestrzegasz najważniejszych zasad ochrony danych pacjenta – lista kontrolna
1. Czy do wykonywania jakichkolwiek operacji na danych osobowych dopuszczasz jedynie

osoby upoważnione?
2. Czy pamiętasz, że przyznany zbyt szeroki zakres uprawnień, zwłaszcza umożliwiający
dostęp do historii choroby pacjenta, narusza prawo pacjenta do zachowania w tajemnicy
wszelkich informacji z nim związanych?
3. Czy przypominasz lekarzom, że nie mogą udostępnić swojego konta użytkownika w syste-
mie informatycznym służącym do przetwarzania dokumentacji medycznej czy „pożyczyć”
swojego loginu i hasła innej osobie, aby ta za niego wprowadzała wpisy?
4. Czy uczulasz pracowników rejestracji, aby chronili nie tylko dane osobowe pacjentów, ale
również ich prawo do poszanowania intymności i godności?
5. Czy przypominasz, aby pracownicy rejestracji nie powtarzali tak głośno danych uzyska-
nych od pacjenta, że osoby postronne mogą je usłyszeć?
6. Czy monitory komputerów są ustawione w sposób uniemożliwiający wgląd osobom
postronnym w wyświetlane dane?
7. Czy przypominasz rejestratorkom, że nie mogą udostępnić dokumentacji osobie, która
nie jest upoważniona przez pacjenta i nie może też być przymuszona na przykład przez
lekarza słowami typu: „na moją odpowiedzialność proszę wydać tej pani dokumenty jej
męża”?
8. Czy przestrzegasz zasady, że dokumentację prowadzoną w postaci elektronicznej udostęp-
nia się z zachowaniem jej integralności oraz ochrony danych osobowych?
9. Czy w sytuacji, gdy dokumentację medyczną udostępniasz za pośrednictwem środków
komunikacji elektronicznej, szyfrujesz plik i zabezpieczasz hasłem załączniki?
10. Czy wysyłając e-maila do większej liczby pacjentów, na przykład z zaproszeniem na nie-
odpłatne badania profilaktyczne czy z życzeniami świątecznymi, nie zamieszczasz adresów
takich osób w pasku adresowym czy w okienku „do wiadomości”?
11. Czy pracownik rejestracji umie wskazać konkretną podstawę prawną nakładającą na
osobę korzystającą ze świadczeń zdrowotnych obowiązek podania określonych danych?
12. Czy w przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu
pracownicy umieszczają wszelkie dokumenty i nośniki zawierające dane osobowe w bez-
piecznym miejscu, np. w zamykanej szafce?
13. Czy w sytuacji, gdy opuszczasz stanowisko pracy, wylogowujesz się albo blokujesz dostęp
do pulpitu?
14. Czy pamiętasz, że nie można przechowywać haseł do systemów czy aplikacji w dostęp-
nych miejscach, np. na karteczkach przyklejonych do obudowy komputera?
15. Czy dokumentację medyczną przewidzianą do zniszczenia usuwasz lub poddajesz mody-
fikacji, aby nie można było ustalić tożsamości osób, których dane dotyczą?
16. Czy nie wyrzucasz na śmietnik dokumentacji zawierającej dane pacjentów?

LISTA KONTROLNA: CZY NIE DOPUSZCZASZ SIĘ

NAJCZĘSTSZYCH UCHYBIEŃ W PROWADZENIU
DOKUMENTACJI MEDYCZNEJ
Podczas prowadzenia dokumentacji o stanie zdrowia pacjenta bardzo łatwo o pomyłkę,
a ta z kolei może mieć tragiczne skutki. Dlatego warto przestrzegać najważniejszych reguł,
aby uniknąć nieprawidłowości. Sprawdź poniższą listę kontrolną i uniknij błędów.
Lista kontrolna: Czy nie dopuszczasz się najczęstszych uchybień w prowadzeniu
dokumentacji medycznej
1. Nieprawidłowe prowadzenie dokumentacji medycznej to najczęściej:
a. brak wpisów o udzielonych świadczeniach
b. brak adnotacji o wystawionych receptach
c. brak autoryzacji poprawek
d. brak daty porady
e. brak numeracji stron
f. brak chronologii wpisów
g. nieprawidłowe oznaczenie pacjenta, personelu i podmiotu
h. brak czytelności
2. Nieprawidłowe wystawianie recept między innymi w zakresie:
a. poziomu odpłatności
b. wskazań refundacyjnych
c. nieprawidłowych uprawnień dodatkowych pacjenta
3. Niezgodności między wystawionymi dokumentami a dokumentacją medyczną

pacjenta
26
LISTA KONTROLNA: JAKIE ZABEZPIECZENIA

DANYCH ZASTOSOWAĆ ZGODNIE Z RODO
Jako administrator danych osobowych placówki leczniczej powinieneś pamiętać
o obowiązkach związanych z zabezpieczeniem danych przetwarzanych w tej placówce.
Zweryfikuj za pomocą poniższej listy kontrolnej, czy metody stosowane w Twojej placówce
są poprawne.
Lista kontrolna: Jakie zabezpieczenia danych zastosować zgodnie z RODO
Lp. Obszar kontrolny Tak/Nie
1. W każdym procesie przetwarzania danych osobowych uwzględnij ryzyko dla

praw i wolności osób fizycznych, jakie może nieść to przetwarzanie, wynikające
np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji
danych lub nieuprawnionego ujawnienia danych albo dostępu do nich.
2. Pamiętaj, że w sytuacji, gdy dojdzie do naruszenia ochrony danych osobowych,

które będzie powodowało ryzyko dla praw i wolności osób fizycznych, musisz
zawiadomić o nim organ nadzorczy.
3. W określonych sytuacjach o naruszeniu ochrony danych osobowych powiadom

osobę, której dane dotyczą.
4. Każdorazowo dostosowuj wykorzystywane narzędzia zabezpieczające dane oso-

bowe do ryzyka naruszenia praw i wolności osób fizycznych.
5. Decydując, jakie środki bezpieczeństwa wdrożyć, weź pod uwagę (zgodnie

z zasadą rozliczalności):
• aktualny stan wiedzy technicznej,
• koszt wdrażania,
• charakter, zakres i cele przetwarzania danych.
6. Zadbaj o to, by środki bezpieczeństwa – techniczne i organizacyjne – chroniły
dane osobowe przed:
• niedozwolonym lub niezgodnym z prawem przetwarzaniem,
• przypadkową utratą, zniszczeniem lub uszkodzeniem danych,
• nieuprawnionym udostępnieniem.
7. Ogólne rozporządzenie o ochronie danych (RODO) nie zawiera szczegółowych
wskazówek, jakie środki techniczne i organizacyjne należy wdrożyć, wskazując
jedynie na przykładowe rozwiązania. Zgodnie ze wskazówkami RODO zastosuj:
• pseudonimizację,
• szyfrowanie danych.
8. Zastosuj branżowy kodeks postępowania zatwierdzony przez organ nadzorczy.
Dokumenty te doprecyzowują przepisy ogólnego rozporządzenia o ochronie
danych, także te dotyczące bezpieczeństwa danych osobowych.
9. Uzyskaj certyfikat, który potwierdzi, że właściwie zabezpieczasz dane osobowe.

Dzięki niemu wykażesz, że wywiązujesz się z obowiązku zabezpieczania danych
osobowych.
Certyfikatów ma udzielać organ nadzorczy (Prezes Urzędu Ochrony Danych
Osobowych) i podmioty akredytowane przez Polskie Centrum Akredytacji.
10. Tworząc środki bezpieczeństwa danych osobowych i zarządzając nimi, skorzystaj

z krajowych, europejskich lub międzynarodowych norm, w tym normy ISO.

PROCEDURA NADAWANIA UPRAWNIEŃ

W SYSTEMIE INFORMATYCZNYM
W placówkach leczniczych przetwarzane są dane osobowe pacjentów w różnego rodzaju
systemach IT nie tylko przez administratora, ale również przez inne osoby na polecenie
ADO i według ustalonych przez niego reguł. W tym celu konieczne jest posiadanie
odpowiednich uprawnień. Warto zatem zadbać o przygotowanie stosownej procedury.
Artykuł 32 ust. 4 RODO Treść procedury

Ogólne rozporządzenie o ochronie danych Poniższa procedura to przykładowy zbiór zasad
(dalej: RODO) stanowi, że administrator danych dotyczących nadawania uprawnień do przetwa-
osobowych (dalej: ADO) oraz podmiot prze- rzania danych osobowych w systemach informa-
twarzający dane muszą podjąć odpowied- tycznych. Może ona stanowić odrębną całość lub
MACIEJ LIPKA nie działania zapewniające, aby każda osoba wejść w skład większej procedury bezpieczeństwa.
specjalista w zakresie fizyczna działająca z upoważnienia ADO lub Każdy ADO powinien taką przykładową proce-
ochrony danych podmiotu przetwarzającego, która ma dostęp durę dostosować zarówno do swoich potrzeb, jak
osobowych do danych osobowych, przetwarzała je wyłącz- i do bieżącego postępu technologicznego. Nie-
nie na polecenie administratora danych oso- mniej jednak systematyka poniższego wzoru ma
bowych, chyba że wymaga tego od niej prawo pomóc stworzyć przejrzystą procedurę realizującą
unijne lub krajowe. wymaganą przez RODO zasadę rozliczalności.
WZÓR
Procedura nadawania uprawnień w systemie informatycznym w (X Sp. z o.o.) z dnia (...)
§ 1. Zakres procedury
Niniejsza procedura opisuje proces nadawania, modyfikacji i odbierania uprawnień do pracy w systemach
informatycznych używanych w X Sp. z o.o.
§ 2. Definicje
Ilekroć w niniejszej procedurze jest mowa o:
1) ADO – należy przez to rozumieć administratora danych osobowych, tj. (X Sp. z o.o działającą poprzez jej
najwyższe kierownictwo);
2) danych osobowych – należy przez to rozumieć informacje o zidentyfikowanej lub możliwej do zidenty-
fikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpo-
średnio lub pośrednio zidentyfikować, zwłaszcza na podstawie identyfikatora, takiego jak imię i nazwisko,
numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych
czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub
społeczną tożsamość osoby fizycznej;
3) IOD – należy przez to rozumieć inspektora ochrony danych zatrudnionego w (X Sp. z o.o.);
4) najwyższym kierownictwie – należy przez to rozumieć (np. wszystkich członków zarządu X sp. z o.o.);
5) systemie informatycznym – należy przez to rozumieć zarówno własne, jak i zewnętrzne systemy infor-
matyczne używane w organizacji ADO, a wymienione w załączniku nr 5 do procedury;
6) Upoważniającym – należy przez to rozumieć osobę wskazaną w załączniku nr 1, która ma prawo, z woli
ADO, nadawać, modyfikować i odbierać upoważnienia do pracy w danym systemie informatycznym;
7) Użytkowniku – należy przez to rozumieć osobę, w tym pracownika ADO, jak też inne osoby współpracu-
jące z ADO na innej niż umowa o pracę podstawie prawnej, w stosunku do których ADO i Upoważniający
poodejmują decyzje w zakresie ich dostępu do systemów informatycznych.
§ 3. Adresaci procedury
Z niniejszą procedurą ma obowiązek się zapoznać cały personel (X Sp. z o.o.), tj. wszyscy pracownicy, jak
też osoby współpracujące z (X Sp. z o.o.) na innej podstawie prawnej, które wykonują zadania wymagające
dostępu do systemów informatycznych.
§ 4. Upoważnienie do pracy w systemach informatycznych

1. Prace na jakimkolwiek systemie informatycznym można podjąć wyłącznie na pisemne upoważnienie do
wykonywania takich prac.
2. Najwyższe kierownictwo upoważnia pisemnie Upoważniających wskazanych w załączniku nr 1 do wyda-
wania Użytkownikom upoważnień do pracy w konkretnym systemie informatycznym oraz do modyfikacji
i odbierania tych upoważnień.
3. Najwyższe kierownictwo ma prawo modyfikować i cofać upoważnienia, o których mowa w ust. 2, oraz
– w związku ze zmianami w ich zakresie – także zmieniać treść niniejszej procedury.
4. Upoważniający każdorazowo zapewnia, aby zakres uprawnień nadawanych Użytkownikom odpowiadał
zakresowi ich obowiązków i aby nie otrzymywali oni uprawnień nieadekwatnych do takich obowiązków.
28
§ 5. Zapewnienie Użytkownikom dostępu do systemów informatycznych

1. Na polecenie Upoważniającego upoważnienie do pracy w konkretnym systemie informatycznym może
nadawać, modyfikować i odbierać (np. kierownik działu informatyki).
2. Upoważniający może również zmodyfikować lub odebrać uprawnienia do pracy w konkretnym systemie
informatycznym poprzez (np. skierowanie do upoważnionego oraz kierownika działu informatyki wiado-
mości e-mail, z której treści jasno wynika wola Upoważniającego).
3. Najwyższe kierownictwo może nakazać nadanie, modyfikację lub odebranie uprawnień Użytkowników
do pracy w konkretnym systemie informatycznym.
§ 6. Działania przed wydaniem upoważnienia

1. Przed wydaniem upoważnienia do pracy w systemach informatycznych należy przeszkolić przyszłego
Użytkownika z korzystania z danego systemu informatycznego oraz z ochrony danych osobowych.
2. Przed wydaniem upoważnienia użytkownik podpisuje oświadczenie, w którym oświadcza, że:
a) został przeszkolony w zakresie, o którym mowa w ust. 1;
b) zobowiązuje się do zachowania w tajemnicy wszelkich informacji, w jakich posiadanie wszedł w związku
z uzyskaniem upoważnienia do korzystania z danego systemu informatycznego, oraz
c) zobowiązuje się zachować te informacje w tajemnicy również po zakończeniu współpracy z (X Sp. z o.o.).
3. Wzór oświadczenia, o którym mowa w ust. 1, stanowi Załącznik nr 2 do niniejszej procedury.
§ 7. Forma upoważnienia
1. Upoważnienie do pracy w systemie informatycznym nadaje się Użytkownikom w (np. pisemnej formie
elektronicznej).
2. Wzór upoważnienia do pracy w systemie informatycznym stanowi Załącznik nr 3 do niniejszej procedury.
§ 8. Przechowywanie upoważnień
Każde nadane upoważnienie należy przechowywać w [np. biurze informatyki, w szafach zamykanych na
klucz/w folderze Y zabezpieczonym hasłem, do którego dostęp mają wyłącznie (...)].
§ 9. Uzyskanie, modyfikacja i utrata dostępu do systemów informatycznych

1. Każdy Upoważniający powinien niezwłocznie poinformować o zamiarze nadania, modyfikacji lub ode-
brania upoważnienia Użytkownikowi do pracy w konkretnym systemie informatycznym (np. kierownika
działu informatyki).
2. W przypadku zaistnienia jakiejkolwiek podstawy do nadania, modyfikacji lub odebrania uprawnień (np.
kierownik działu informatyki), niezwłocznie po powzięciu informacji o ich nadaniu, modyfikacji lub odebra-
niu, nadaje, modyfikuje lub odbiera te uprawnienia we właściwym systemie informatycznym. Wspomniane
czynności obejmują również zablokowanie możliwości zalogowania się w systemie użytkownika, który
utracił do niego dostęp.
§ 10. Ewidencja uprawnień

1. (np. kierownik działu informatyki) prowadzi w formie elektronicznej i na bieżąco ewidencję uprawnień
według wzoru wskazanego w załączniku nr 4.
2. Ewidencję uprawnień (np. kierownik działu informatyki) udostępnia na każde żądanie (np. Upoważniają-
cego, IOD, najwyższego kierownictwa), z tym że na żądanie Upoważniającego (np. kierownik działu infor-
matyki) udostępnia mu tylko te fragmenty ewidencji uprawnień, które dotyczą systemu informatycznego,
w ramach którego ten Upoważniający może nadawać, modyfikować lub cofać uprawnienia.
3. Każdą zmianę w zakresie uprawnień (np. kierownik działu informatyki) powinien niezwłocznie odnoto-
wać w ewidencji uprawnień.
§ 11. Historia działań w systemach informatycznych

(np. kierownik działu informatyki) zapewnia możliwość przeglądania historii operacji przeprowadzanych
przez Użytkowników w systemach informatycznych.
§ 12. Szczegółowe procedury informatyczne

1. (np. kierownik działu informatyki) opracowuje w formie pisemnej szczegółowe zasady zapewniające
realizację niniejszej procedury, w tym sposoby zapewnienia i skutecznej blokady dostępu użytkowników
lub byłych użytkowników do systemów informatycznych.
2. Zasady, o których mowa w ust. 1, podlegają stałemu udoskonalaniu, z uwzględnieniem postępu tech-
nologicznego.
§ 13. Dane do logowania

1. Każdy Użytkownik uzyskujący uprawnienia do pracy w konkretnym systemie otrzymuje do niego unikalny
i niepowtarzalny identyfikator oraz unikalne hasło, nadawane przez (np. kierownika działu informatyki).
2. Hasło, o którym mowa w ust. 1, użytkownik musi zmienić przy pierwszym logowaniu do systemu informatycznego.
§ 14. Polityka zarządzania hasłami

1. W związku z nadawanymi uprawnieniami obowiązuje polityka zarządzania hasłami do kont utworzonych
w związku z nadaniem konkretnych uprawnień.
2. Hasła powinny składać się (np. z co najmniej 9 znaków, zawierać małe i duże litery oraz znaki specjalne).
3. (np. kierownik działu informatyki) pełni nadzór nad polityką zarządzania hasłami i zapewnia jej realizację
poprzez wprowadzenie rozwiązań informatycznych wymuszających cykliczną zmianę haseł na hasła wcze-
śniej nieużywane.
§ 15. Obowiązki Użytkowników

Upoważnieni Użytkownicy:
a) powinni zachować w tajemnicy unikalne identyfikatory i hasła nadane w ramach przyznanych uprawnień;
b) powinni niezwłocznie zgłaszać (np. kierownikowi działu informatyki) wszelkie zaobserwowane nieprawi-
dłowości związane z użytkowanymi systemami informatycznymi, w tym awarie i zaobserwowane próby
ingerencji w system osób nieuprawnionych.

§ 16. Kontrola
1. (np. najwyższe kierownictwo oraz IOD) mogą w każdej chwili żądać dostępu do ewidencji uprawnień
oraz do systemów informatycznych w celu sprawdzenia, komu uprawnienia nadano oraz czy zarządzanie
uprawnieniami następuje zgodnie z zasadami opisanymi w niniejszej procedurze.
2. W przypadku opisanym w ust. 1 polecenia związane z kontrolą wydaje się (np. kierownikowi działu infor-
matyki).
Załącznik nr 1:
Osoby uprawnione do wydawania upoważnień (Upoważniający)
Stanowisko Zakres uprawnień do wydawania upoważnień

np. Kierownik działu informatyki Nadaje uprawnienia w systemie Windows
np. Kierownik działu sprzedaży Nadaje uprawnienia do pracy w systemie e-klient
(…) (...)
Załącznik nr 2:
Oświadczenie użytkownika składane przed przystąpieniem do pracy w danym systemie
informatycznym
Miejscowość i data, (...)

Imię i nazwisko użytkownika (...)
Stanowisko (…)
Oświadczam, że w związku z planowanym nadaniem mi upoważnienia do pracy w systemie informatycz-

nym (…):
• zapoznałem się z zasadami ochrony danych osobowych obowiązującymi w X Sp. z o.o. zawartymi w mate-
riałach (np. Polityka bezpieczeństwa);
• zobowiązuję się zachować w tajemnicy wszelkie informacje uzyskane w związku z korzystaniem z systemu
informatycznego (…), również po ustaniu współpracy z X Sp. z o.o.
Podpis użytkownika
Załącznik nr 3:
Wzór upoważnienia
Upoważnienie do przetwarzania danych osobowych w systemach informatycznych, których używa

(X sp. z o.o.)
Numer upoważnienia
Z upoważnienia (X sp. z o.o.) nadaję Użytkownikowi poniższe upoważnienie:

Imię i nazwisko Stanowisko zajmowane przez Identyfikator
upoważnionego Użytkownika upoważnionego w chwili otrzymany w systemie
nadania uprawnień teleinformatycznym
np. Albin Bielecki np. starszy specjalista ds. sprze- np. albin_bielecki
daży
w następującym zakresie:
System Data nadania Zakres czynności Data obowiązywania Uwagi
informatyczny, upoważnienia w ramach upoważnienia
do którego systemu,
przyznawany jest których dotyczy
dostęp upoważnienie
np. System e-klient 16.09.2022 r. Wprowadzanie, Do czasu rozwiązania n/d
edycja, podgląd umowy o pracę
i usuwanie danych
(...)
Osoba wydająca upoważnienie:

Imię i nazwisko Stanowisko Data i czytelny podpis
Upoważniającego
(np. kierownik działu sprzedaży)
Informacja o faktycznym wydaniu upoważnienia:

Imię i nazwisko Stanowisko Data i czytelny podpis
(np. kierownik działu informatyki)
30
Załącznik nr 4:
Ewidencja uprawnień
Arkusz 1: np. System e-klient
Czy użyt-
Dane
Informacje
kow-
identy-
Imię Obecny o mody-
nik ma
fikujące Data nada- Upo-
i nazwi- zakres fikacji
obecnie Historia
użytkow- nia upraw- ważnia-
sko Użyt- upraw- uprawnień
dostęp uprawnień
nika (np. nienia jący
kownika nienia lub ich cof-
do sys-
nazwa sta-
nięciu
temu?
nowiska)
TAK/NIE
Albin Starszy 16.03.2019 r. Np. kie- Brak Uprawnie- NIE 16.03.2019
Bielecki specjalista rownik upraw- nia cofnięto – nadano upraw-
ds. sprze- działu nień w pełnym nienie w zakresie
daży sprze- zakresie „Wprowadza-
daży 31.12.2020 r. nie i podgląd
danych” w syste-
mie e-klient
16.04.2019 r.
– rozszerzono
uprawnienia na
„Wprowadza-
nie, edycja, pod-
gląd i usuwanie
danych” w syste-
mie e-klient
31.12.2020 r.
– umowę
o pracę rozwią-
zano z dniem
31.12.2020 r.
31.12.2020 r.
– cofnięto
wszystkie upraw-
nienia w systemie
e-klient
(…) (…) (…)
(…) (…) (…)
Arkusz nr 2: np. system e-PUAP

(…)
Załącznik nr 5:
Systemy informatyczne używane w organizacji ADO
Dział wiodący
Do czego dany system
Nazwa systemu w użytkowaniu Upoważniający
służy
systemu
np. system Windows System operacyjny do tworze- Dział informatyki Np. kierownik działu informatyki Podstawa prawna:
nia podstawowej dokumentacji f rozporządzenie Parlamentu
elektronicznej oraz wymiany Europejskiego i Rady (UE)
informacji w (X Sp. z o.o.) 2016/679 z 27 kwietnia
np. e-klient System do podtrzymywania Dział sprzedaży Np. kierownik działu sprzedaży 2016 r. w sprawie ochrony
relacji z klientem osób fizycznych w związku
np. e-PUAP Krajowa platforma teleinforma- Dział prawny Np. kierownik działu prawnego osobowych i w sprawie
tyczna służąca do komunikacji swobodnego przepływu
obywateli z jednostkami admi- takich danych oraz uchy-
nistracji publicznej lenia dyrektywy 95/46/WE
(...) (...) (...) (ogólne rozporządzenie
o ochronie danych).

ZASADY KORZYSTANIA Z POCZTY

ELEKTRONICZNEJ
Personel placówki ochrony zdrowia musi pamiętać o najważniejszych zasadach
dotyczących ochrony danych osobowych i ich bezpieczeństwa. Odnosi się to m.
in. do urządzeń teleinformatycznych i korzystania z poczty elektronicznej.
Poznaj najważniejsze reguły.
WZÓR
Zasady korzystania z poczty elektronicznej
1. System Poczty Elektronicznej jest przeznaczony wyłącznie do wykonywania obowiązków służ-
bowych.
2. Przy korzystaniu z Systemu Poczty Elektronicznej Użytkownicy mają obowiązek przestrzegać
prawa własności przemysłowej i prawa autorskiego.
3. Użytkownicy mają prawo korzystać z Systemu Poczty Elektronicznej do celów prywatnych
wyłącznie okazjonalnie i powinno być to ograniczone do niezbędnego minimum.
4. Korzystanie z Systemu Poczty Elektronicznej do celów prywatnych nie może wpływać na jakość
i ilość świadczonej przez Użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez
niego obowiązków służbowych, a także na wydajność Systemu Poczty Elektronicznej.
5. Użytkownik jest świadomy, że wszelkie wiadomości o charakterze prywatnym utworzone lub
odebrane za pośrednictwem Systemu Poczty Elektronicznej Pracodawcy przetwarzane są wyłącznie
na jego własną odpowiedzialność. Użytkownik jest świadomy możliwości prowadzenia kontroli
tych wiadomości przez Pracodawcę. Pracodawca nie będzie w tej sytuacji odpowiadać za przypad-
kowe naruszenie dóbr osobistych Użytkownika w postaci naruszenia tajemnicy korespondencji.
6. Użytkownicy nie mają prawa korzystać z Systemu Poczty Elektronicznej w celu przeglądania
lub rozpowszechniania treści o charakterze obraźliwym, niemoralnym lub niestosownym wobec
powszechnie obowiązujących zasad postępowania.
7. Użytkownik nie ma prawa wysyłać wiadomości zawierających informacje poufne w rozumie-
niu tajemnicy przedsiębiorstwa, jego pracowników, klientów, dostawców lub kontrahentów za
pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej.
8. Zakazuje się uczestnictwa w tzw. łańcuszkach szczęścia.
9. Użytkownicy nie powinni otwierać przesyłek od nieznanych sobie osób, których tytuł nie suge-
ruje związku z wypełnianymi przez nich obowiązkami służbowymi.
10. Użytkownicy nie powinni uruchamiać wykonywalnych załączników dołączonych do wiado-
mości przesyłanych pocztą elektroniczną.
11. Użycie systemów teleinformatycznych i zasobów systemowych Pracodawcy dla własnych
celów komercyjnych jest zakazane.
12. Zakazane jest wygłaszanie prywatnych opinii jako oficjalnego stanowiska Pracodawcy.
13. W przypadku przesyłania plików danych osobowych do podmiotów zewnętrznych Użytkow-
nik zobowiązany jest do ich spakowania i opatrzenia silnym hasłem (duże i małe litery i cyfry lub
znaki specjalne). Hasło należy przesłać odrębnym e-mailem.
14. Cała korespondencja wpływająca na służbową skrzynkę jest korespondencją służbową.
32
SERWIS ZOZ .PL
ZARZĄDZANIE W OCHRONIE ZDROWIA
NOWOŚĆ! APLIKACJA DLA MENEDŻERÓW OCHRONY ZDROWIA „TWÓJ ASYSTENT”
Zarządzaj placówką efektywnie i skutecznie

BEZPŁATNE KONTO TESTOWE
na SerwisZOZ.pl 24 h/7 dostęp do pełnych zasobów portalu!
Możesz z niego korzystać na swoim
laptopie, tablecie czy telefonie
nielimitowany dostęp
wideoporady do 6000 porad ekspertów
naszych ekspertów
aktualne informacje
o zmianach
w przepisach
i alert prawny
800 wzorów
dokumentów
3 pytania
do eksperta
na e-mail w każdym
miesiącu
co miesiąc
1BV0135
nowy top temat i e-booki

do pobrania bezpłatny udział w cyklicznych
webinariach
z czatem na żywo
Jesteś zainteresowany płatną subskrypcją? Zadzwoń do nas lub napisz e-mail.

Nasi konsultanci dopasują najlepszą dla Ciebie ofertę.
SerwisZOZ.pl dostępny jest 24 h/7 dni w tygodniu na laptopie, telefonie i tablecie.
Korzystaj wygodnie z wiedzy, gdziekolwiek jesteś!
Zamówienia przyjmuje Centrum Obsługi Klienta: 22 518 29 29, e-mail: cok@wip.pl.

Cyberbezpieczeństwo W Placówkach Medycznych

Uploaded by

Copyright:

Available Formats

You might also like

Cyberbezpieczeństwo W Placówkach Medycznych

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cyberbezpieczeństwo W Placówkach Medycznych

Uploaded by

Copyright:

Available Formats

Cyberbezpieczeństwo

Wiedza i Praktyka sp. z.o.o.

Zapisz się na bezpłatny newsletter RODO w Ochronie Zdrowia

E-book „Cyberbezpieczeństwo w placówce medycznej” jest chroniony prawem autorskim.

Centrum Obsługi Klienta

• Infolinia: od poniedziałku do piątku w godz. 8.00-16.00, tel. 22 518 29 29

Rekomendacje w zakresie architektury cyberbezpieczeństwa placówek medycznych ..................................... 4

Jak stosować przepisy dotyczące zabezpieczenia danych osobowych ........................................................... 5

Analiza ryzyka w placówce ochrony zdrowia – o czym należy pamiętać ......................................................... 8

Zabezpieczenie danych przetwarzanych w systemach teleinformatycznych od strony technicznej ................... 9

Jak zapewnić bezpieczne oprogramowanie oraz pocztę elektroniczną .......................................................... 11

Jak wdrażać analizę ryzyka w zakresie ataku ransomware w placówce ........................................................ 13

Czy przystąpić do stosowania kodeksu postępowania dla sektora medycznego ............................................ 16

Lista kontrolna: Jakie są zasady bezpiecznego użytkowania sprzętu IT ........................................................ 19

Lista kontrolna: Jakie są reguły korzystania z oprogramowania .................................................................... 20

Lista kontrolna: Jakie zabezpieczenia danych zastosować zgodnie z RODO .................................................. 27

Procedura nadawania uprawnień w systemie informatycznym ...................................................................... 28

Zasady korzystania z poczty elektronicznej .................................................................................................. 32

Więcej porad na www.rodomed24.pl 3

REKOMENDACJE W ZAKRESIE ARCHITEKTURY

Poniższe rekomendacje opierają się na następują- cyberprzestępców. Podatności i niedostatki

Priorytet drugi PODSTAWOWE DZIAŁANIA W CELU

JAK STOSOWAĆ PRZEPISY DOTYCZĄCE

PROBLEM • zgodności z prawem, rzetelności i przej-

Więcej porad na www.rodomed24.pl 5

administracyjnych, co oznacza, że przy oce- PRZYKŁAD

Zdaniem autora warto również wziąć pod DO ROZWAŻENIA PRZEZ ADO

Więcej porad na www.rodomed24.pl 7

ANALIZA RYZYKA W PLACÓWCE OCHRONY

ZABEZPIECZENIE DANYCH PRZETWARZANYCH

PROBLEM tacji oraz certyfikacji, o których mowa w art. 13

ZASADY ZABEZPIECZANIA DANYCH OSOBOWYCH, KTÓRE WSKAZUJE UODO, TO:

Więcej porad na www.rodomed24.pl 9

WAŻNE się wydać oczywiste. Nawet najlepszy zatrud-

a) filmy instruktażowe Pamiętajmy też, że – jak wskazano

JAK ZAPEWNIĆ BEZPIECZNE OPROGRAMOWANIE

PROBLEM czające w sieciach i systemach informatycznych,

Więcej porad na www.rodomed24.pl 11

Pod podanym adresem możemy zweryfikować celów, w których je przetwarzamy (art. 5

JAK WDRAŻAĆ ANALIZĘ RYZYKA W ZAKRESIE

PROBLEM nik identyfikatorów odpowiadających powszechnie

ROZWIĄZANIE PRZYKŁAD MACIEJ LIPKA

Więcej porad na www.rodomed24.pl 13

Tabela nr 1: Rozwiązania monitorujące zdarzenia i anomalie w sieciach lokalnych

Wskazówki dotyczące kopii Umieszczanie kopii zapasowych na tym samym

REJESTR NARUSZEŃ BEZPIECZEŃSTWA

Więcej porad na www.rodomed24.pl 15

CZY PRZYSTĄPIĆ DO STOSOWANIA KODEKSU

PROBLEM miało już miejsce w przypadku omawianego

Rola Kodeksu Jak wskazuje UODO, przystąpienie do stoso-

Więcej porad na www.rodomed24.pl 17

LISTA KONTROLNA: CO POWINNA ZAWIERAĆ

Dokumenty składające się na Dokumentację Systemu Zarządzania Bezpieczeństwem Informacji:

• ZSZ.ISO.PR.9.1-Monitorowanie_Skutecznosci_Zintegrowanego Systemu Zarządzania

LISTA KONTROLNA: JAKIE SĄ ZASADY

Użytkownik zobowiązany jest korzystać ze sprzętu IT w sposób zgodny z jego przeznacze-

Użytkownik zobowiązany jest do zabezpieczenia sprzętu IT przed dostępem osób nieupo-

Użytkownik ma obowiązek natychmiast zgłosić zagubienie, utratę lub zniszczenie powie-