Dotacje na cyberbezpieczeństwo dla szpitali- co zrobić by przejść audyt końcowy i uzyskać refundację?

Wiosną placówki medyczne otrzymały informację o możliwości uzyskania budżetów w zakresie budowy systemów cyberbezpieczeństwa.

Postanowiliśmy zebrać najczęściej zadawane pytania związane z zakresem zamówień w ramach budżetów na zwiększenie poziomu cyberbezpieczeństwa w placówkach medycznych, a także warunków jakie trzeba spełnić by uzyskać refundację po audycie końcowym.

• Jakie elementy powinien zawierać audyt końcowy, by otrzymać zwrot środków poniesionych na zwiększenie poziomu cyberbezpieczeństwa?
• Jakie uprawnienia musi posiadać audytor wykonujący końcowy audyt i do kiedy  należy przeprowadzić audyt?
• Audyt końcowy jest wykonywany w kontekście zrealizowanych zakupów w ramach projektu czy będzie dotyczył całej infrastruktury związanej z cyberbezpieczeństwem szpitala?
• Czy mając ISO 27001 jest potrzeba przeprowadzenia audytu końcowego?
• Jakie są najczęstsze nieprawidłowości i zalecenia po wykonanym audycie cyberbezpieczeństwa?
• Co można kupić w ramach dofinansowania dla szpitali i innych placówek medycznych?
• Czy szpitale niepubliczne posiadające umowy z NFZ mogą ubiegać się o środki na cyberbezpieczenstwo? Jaki rodzaj placówek medycznych może ubiegać się o dofinansowanie?
• Czy jeśli szacunkowa kwota wydatków jest poniżej 300 tys. zł. dotacja nie zostanie przyznana?
• Czy przedmiotem dofinasowania może być zakup usługi opłacanej cyklicznie np. co miesiąc?
• Jakie działania rekomenduje Centrum E-Zdrowia w zakresie budowy systemów Cyberbezpieczeństwa?

Masz więcej pytań? Chciałbyś bezpłatnie skonsultować się w kwestii realizacji projektu i audytu końcowego? Wypełnij poniższy formularz, skontaktujemy się z Tobą i pomożemy przejść cały proces, by zwiększyć bezpieczeństwo danych w Twojej placówce.

Po przesłaniu formularza otrzymasz od nas również dostęp do szkolenia technicznego Fortinet- Fortimail kontrola dostępu do sieci w dwóch ujęciach- Piotr Bartman!

---

Jakie elementy powinien zawierać audyt końcowy, by otrzymać zwrot środków poniesionych na zwiększenie poziomu cyberbezpieczeństwa?

Zgodnie z zapisami umownymi o dofinansowanie pozyskane z Funduszu NFZ, w okresie od dnia zawarcia umowy o finansowanie do  31 grudnia  2027 r.  Fundusz  oraz  Minister Zdrowia  są uprawnieni do kontroli  prawidłowości dokonywania przez  świadczeniodawcę rozliczeń   merytorycznych i finansowych wynikających z umowy i przyznanego finansowania, w szczególności w zakresie:

1. zgodności realizowanych działań z działaniami określonymi w zarządzeniu;
2. legalności i celowości wykorzystania finansowania przez świadczeniodawcę;
3. sposobu i rodzaju prowadzenia dokumentacji, określonej w przepisach szczególnych oraz zarządzeniu;
4. oceny  prawidłowości  dokonywania  przez świadczeniodawcę rozliczeń  merytorycznych  i finansowych wynikających z zarządzenia i przyznanego finansowania.

Zakres minimum audytu w zakresie wykonania podstawowego systemu cyberbezpieczeństwa wygląda następująco:

Skuteczność działania infrastruktury

− Urządzenia i konfiguracja w zakresie ochrony poczty

− Urządzenia i konfiguracja w zakresie ochrony sieci

− Urządzenia i konfiguracja w zakresie systemów serwerowych

− Urządzenia i konfiguracja w zakresie stacji roboczych

− Urządzenia i konfiguracja w zakresie systemów bezpieczeństwa

Procesy zarządzania bezpieczeństwem informacji

− Nośniki wymienne – udokumentowany sposób podstępowania

Monitorowanie i reagowanie na incydenty bezpieczeństwa

− Procedury zarządzania incydentami

− Raportowanie poziomów pokrycia scenariuszami znanych incydentów

− Dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa

− Monitorowanie i wykrycie incydentów bezpieczeństwa

− Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów

Zarządzanie ciągłością działania

− Konfiguracja oraz polityki systemów do wykonywania kopii bezpieczeństwa

− Raport z przeglądów i testów odtwarzania kopii bezpieczeństwa

− Procedury wykonywania i przechowywania kopii zapasowych

− Strategia i polityka ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP) − Procedury utrzymaniowe

Utrzymanie systemów informacyjnych

− Harmonogramy skanowania podatności

− Aktualny status realizacji postępowania z podatnościami

− Procedury związane ze z identyfikowaniem (wykryciem) podatności

− Współpraca z osobami odpowiedzialnymi za procesy zarządzania incydentami

Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług

− Polityka bezpieczeństwa w relacjach z dostawcami

− Standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa

− Dostęp zdalny

− Metody uwierzytelnienia

Co jeszcze rekomenduje ENISA?

• Organizacja zarządzania bezpieczeństwem informacji
• Procesy zarządzania bezpieczeństwem informacji
• Zarządzanie ryzykiem
• Monitorowanie i reagowanie na incydenty bezpieczeństwa
• Zarządzanie zmianą
• Zarządzanie ciągłością działania
• Utrzymanie systemów informatycznych
• Utrzymanie i rozwój systemów informatycznych
• Bezpieczeństwo fizyczne
• Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług

Jakie uprawnienia musi posiadać audytor wykonujący końcowy audyt i do kiedy  należy przeprowadzić audyt?

Najlepiej aby audytorem była osoba spełniająca wymagania rozporządzenia. 12 października 2018 r. zostało opublikowane rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu.

Audyt bezpieczeństwa należy przeprowadzić na zakończenie realizacji projektu w terminie do końca 2022 r. Będzie on podstawą refundacji wydatków.

Audyt końcowy jest wykonywany w kontekście zrealizowanych zakupów w ramach projektu czy będzie dotyczył całej infrastruktury związanej z cyberbezpieczeństwem szpitala?

Audyt tylko w kontekście dokonanych zakupów, mieszczących się w Zarządzeniu Prezesa NFZ z materiałem referencyjnym Centrum e-Zdrowia dot. tego działania.

Czy mając ISO 27001 jest potrzeba przeprowadzenia audytu końcowego?

Audyt po dokonaniu zakupów będzie ukierunkowany na skuteczność działania systemu cyber w tym, dofinansowanym działaniu. Audyt zgodności z KSC, KRI lub audyt ISO 27001 każdy kierownik jednostki organizuje przeprowadza zgodnie z przepisami w tym zakresie. Przeprowadzenie audytu będzie warunkiem rozliczenia dofinansowania z NFZ.

Jakie są najczęstsze nieprawidłowości i zalecenia po wykonanym audycie cyberbezpieczeństwa?

Najczęściej nieprawidłowości i zalecenia dotyczą:

• Polityki Bezpieczeństwa Informacji -zgodnie z KRI raz w roku należy badać SZBI.
• Inwentaryzacji sprzętu i oprogramowania.
• Nadawania i odbierania uprawnień w systemach.
• Brak przepływu informacji pomiędzy kadrami a IT.
• Przeprowadzania analizy ryzyka.
• Szyfrowania urządzeń przenośnych.
• Podnoszenia poziomu świadomości pracowników z zasad cyberbezpieczeństwa.

Najczęściej wykrywane podatności:

• Niezabezpieczone drukarki i urządzenia sieciowe na próby potencjalnych ataków i zmiany ustawień.
• Brak aktualizacji oprogramowania–korzystanie z programów nie posiadających wsparcia producenta.
• Brak podziału sieci(np. wydzielenia obszaru urządzeń biurowych od strefy klienta, pacjenta, maszyn medycznych itp.).
• Domyślne hasła producenta pozostawione po konfiguracji urządzeń sieciowych
• Niewłaściwa konfiguracja uprawnień dla użytkowników.
• Katalogi i dyski sieciowe udostępnione w sieci bez poświadczeń.

Co można kupić w ramach dofinansowania dla szpitali i innych placówek medycznych?

WYTYCZNE ENISA W ZAKRESIE ZAMÓWIEŃ DOTYCZĄCE CYBERBEZPIECZEŃSTWA W SZPITALACH

Rodzaj zamówień	Opis rodzaju zamówień
Systemy informacji klinicznych	Zamówienia dotyczące różnego rodzaju oprogramowania związanego z opieką zdrowotną.
Wyroby medyczne	Wszelkiego rodzaju sprzęt komputerowy przeznaczony do leczenia, kontroli lub diagnozowania chorób.
Sprzęt sieciowy	Linie sieciowe (koncentryczne, światłowodowe), bramy, routery, przełączniki, zapory, VPN-y, IPS-y, IDS-y itp.
Systemy teleopieki	Obiekty lub urządzenia do świadczenia opieki poza środowiskiem szpitalnym, zwłaszcza tzw. „szpitalnych usług opieki domowej”.
Mobilne urządzenia obsługi klienta	Wszystkie części oprogramowania wspomagającego opiekę zdrowotną lub gromadzącego dane medyczne, które nie są bezpośrednio podłączone do sieci szpitalnej; na przykład aplikacje do świadczenia telemedycyny.
Systemy identyfikacji	Systemy jednoznacznej identyfikacji pacjentów bądź personelu medycznego (skanery biometryczne, czytniki kart itp.) oraz gwarantowanej identyfikacji lub autoryzacji na potrzeby dostępu do systemów informatycznych.
Systemy zarządzania budynkami	Wszelkiego rodzaju konstrukcje, w których mogą się znajdować obiekty medyczne.
Przemysłowe systemy sterowania	Systemy sterowania wszystkimi fizycznymi elementami ośrodków, na przykład systemy regulacji zasilania, systemy zamykania drzwi, systemy ochrony przemysłowej (o obwodzie zamkniętym).
Usługi specjalistyczne	Wszelkiego rodzaju usługi, w tym zlecane na zewnątrz, świadczone przez specjalistów lub przedsiębiorstwa: usługi medyczne, transportowe, księgowe, techniczne, informatyczne, prawne, konserwacyjne, porządkowe, gastronomiczne itp.
Usługi w chmurze	Komputerowe systemy informacyjne (CIS) lub inne systemy informacyjne zlokalizowane poza budynkiem medycznym lub obiektem centrum danych będącym pod pełną kontrolą działu informatycznego ośrodka medycznego.

Czy szpitale niepubliczne posiadające umowy z NFZ mogą ubiegać się o środki na cyberbezpieczenstwo? Jaki rodzaj placówek medycznych może ubiegać się o dofinansowanie?

O dofinansowanie będą mogli ubiegać się świadczeniodawcy posiadający umowę z NFZ o udzielanie świadczeń opieki zdrowotnej w rodzaju „leczenie szpitalne”, a także:

– szpitale psychiatryczne nieposiadające umów o udzielanie świadczeń opieki zdrowotnej w rodzaju leczenie szpitalne, a posiadające umowy o udzielanie świadczeń opieki zdrowotnej w rodzaju opieka psychiatryczna i leczenie uzależnień;

– szpitale rehabilitacyjne nieposiadające umów o udzielanie świadczeń opieki zdrowotnej w rodzaju leczenie szpitalne, a posiadające umowy o udzielanie świadczeń opieki zdrowotnej w rodzaju rehabilitacja lecznicza;

– szpitale uzdrowiskowe nieposiadające umów o udzielanie świadczeń opieki zdrowotnej w rodzaju leczenie szpitalne

Czy jeśli szacunkowa kwota wydatków jest poniżej 300 tys. zł. dotacja nie zostanie przyznana?

Maksymalna wysokość planowanej do wypłaty dotacji wynieść może od 300 do 900 tys. zł, jeżeli szpital wyda mniej to dotacja będzie wynosiła kwotę nieprzewyższająca faktycznie poniesione koszty. Zasady ubiegania się o środki i rozliczeń będą opublikowane w zarządzeniu Prezesa NFZ. Środki z przyznanej dotacji należy wydatkować do 31 grudnia 2022 roku.

Czy przedmiotem dofinasowania może być zakup usługi opłacanej cyklicznie np. co miesiąc?

Tak ale usługa musi zamknąć się do końca roku 2022. Szczegółowe rozliczenia będą prowadziły oddziały NFZ.

Jakie działania rekomenduje Centrum E-Zdrowia w zakresie budowy systemów Cyberbezpieczeństwa?

Rekomendacje w zakresie architektury cyberbezpieczeństwa

Niniejsza rekomendacja skupia się na typowych zagadnieniach cyberbezpieczeństwa, nie rozwijając wątku zasilania gwarantowanego oraz zagadnień związanych z ciągłością działania i dokumentacji procesów oceny ryzyka i polityk w tym zakresie.

Konieczność ochrony danych medycznych w przypadku skutecznego ataku Ransomware.

Ochrona poczty elektronicznej jako usługi własnej lub dzierżawionej.

Ochrona brzegu sieci- konieczne jest uaktualnienie bądź zakup nowych urządzeń typu firewall.

Ochrona stacji roboczych- segmentacja sieci lokalnych oraz stałe monitorowanie stacji roboczych będzie czynnikiem podnoszącym odporność zasobów na atak.