Cyberbezpieczeństwo w służbie zdrowia

Cyberbezpieczeństwo w szpitalach – ruszył program dofinansowań

Audyty bezpieczeństwa, Szkolenia, Zarządzanie bezpieczeństwem

W latach 2022-2023 służba zdrowia mogła korzystać z dofinansowania projektów związanych z cyberbezpieczeństwem. Środki dystrybuowane były przez NFZ z europejskiego funduszu przeznaczonego na zwalczanie skutków pandemii COVID. W roku 2024 miała ruszyć kolejna runda finansowania, jednak wbrew wcześniejszym zapowiedziom nie doszła ona do skutku.

Z tym większą radością branża przyjęła informację, iż od kwietnia 2025 rusza kolejny projekt, w ramach którego szpitale wnioskować mogą o refinansowanie wydatków związanych z cyberbezpieczeństwem. Tym razem środki pochodzą z funduszy KPO i przyznawane będą w ramach programu o nazwie: „Inwestycja D1.1.2 Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia (nabór konkurencyjny)”.

Co podlega finansowaniu?

W przeciwieństwie do poprzednich projektów tym razem zakres wsparcia obejmuje nie tylko obszar cyberbezpieczeństwa, ale również projekty związane z wdrożeniem sztucznej inteligencji oraz digitalizacją dokumentacji medycznej i integracją oraz rozbudową szpitalnych systemów informatycznych. Cytując zapisy programu, finansowany może być zakup sprzętu i usług na potrzeby:

  1. wdrożenia rozwiązań AI i podłączenia do Centralnego Repozytorium danych medycznych (integracja z Platformą Usług Inteligentnych i zakup narzędzi AI służących optymalizacji procesów szpitalnych oraz organizacji pracy personelu);
  2. digitalizacji dokumentacji medycznej istotnej z punktu widzenia leczenia i profilaktyki (karty informacyjne z leczenia szpitalnego od 2023 r.);
  3. integracji i rozbudowy systemów informatycznych szpitali (w tym integracja z 9 nowymi EDM);
  4. zwiększania poziomu cyberbezpieczeństwa w szpitalach.

Kto i o jakie wsparcie może się ubiegać?

Finansowanie przysługuje placówkom występującym w wykazie podmiotów leczniczych zakwalifikowanych do systemu podstawowego szpitalnego zabezpieczenia świadczeń opieki zdrowotnej, obowiązującym od 1 stycznia 2023 r. do 30 czerwca 2027 r., dostępnym na stronie internetowej Narodowego Funduszu Zdrowia: https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/nowa-kwalifikacja-do-sieci-szpitali,8270.html

Możliwa wysokość wsparcia

maksymalna:

  • szpitale I stopnia – 6 000 000 zł
  • szpitale II stopnia – 9 000 000 zł
  • szpitale III stopnia, ogólnopolskie, pulmonologiczne, onkologiczne, pediatryczne – 12 000 000 zł

minimalna:

  • szpitale I stopnia – 1 025 000 zł
  • szpitale II stopnia – 1 600 000 zł
  • szpitale III stopnia, ogólnopolskie, pulmonologiczne, onkologiczne, pediatryczne – 2 325 000 zł

Kwoty jak widać są pokaźne. Tym razem jednak aby otrzymać finansowanie nie wystarczy spełnić wszystkich warunków formalnych i kryteriów programu. Ma on bowiem formę konkursu i wsparcie przyznane zostanie nie więcej niż 325 najwyżej ocenionym przedsięwzięciom według listy rankingowej.

Co jeszcze warto wiedzieć?

Istotną różnicą w stosunku do poprzednich programów jest konieczność spełnienia pokaźnej listy obligatoryjnych kryteriów z zakresu cyberbezpieczeństwa na koniec projektu wdrożeniowego. Niezależnie zatem od tego na jakie cele wydatkowane zostaną środki, w ramach audytu końcowego placówka musi wykazać, iż:

Dla systemu kopii zapasowych:

  • Wdrożony system tworzy odmiejscowione kopie zapasowe. System posiada aktualne wsparcie producenta oraz wykonuje kopie kluczowych systemów podmiotu.
  • Infrastruktura systemu backupu jest odseparowana od systemu produkcyjnego
  • Przeprowadzono testy odtworzenia systemu i potwierdzono skuteczność/poprawność odtworzenia
  • Podmiot posiada dokumentację powdrożeniową systemu backupu.
  • Administratorzy systemu backupu podmiotu odbyli instruktaż z obsługi systemu kopii zapasowych.

Dla zapory sieciowej:

  • Wdrożono moduł ochrony przed złośliwym oprogramowaniem dla ruchu z/do Internetu, posiadający aktualne wsparcie.
  • Wdrożono i włączono moduł IPS/IDS przynajmniej dla ruchu z/do Internetu, posiadający aktualne wsparcie.
  • Wdrożono i włączono moduły filtrowania zawartości oraz reguły filtrowania po kategorii treści.
  • Na brzegu sieci zainstalowany Firewall, a sama sieć podzielona jest na podsieci.
  • Domyślne hasła przekazane przy odbiorze zostały zmienione i objęte procedurą zarządzania hasłami w organizacji.
  • Nieużywane porty, usługi oraz konta zostały wyłączone.
  • Dostęp do panelu zarządzania zaporą sieciowy został ograniczony jedynie dla wyznaczonych osób zgodnie z obowiązującą procedurą nadawania uprawnień oraz dostępny jest wyłącznie z wybranej podsieci.
  • Wdrożona została procedura cyklicznego wykonywania kopii zapasowych konfiguracji urządzenia (lub po każdej zmianie reguł i wersji) .Procedura ta jest stosowana.
  • Administratorzy posiadają kompetencje w postaci odbytego instruktażu stanowiskowego i/lub odbytych szkoleń z obsługi dedykowanego systemu Firewall.

Dla poczty e-mail:

  • Wdrożono mechanizmy ochrony poczty SPF, DMARC, DKIM.
  • Wdrożono ochronę antyspam oraz ochronę przed złośliwym oprogramowaniem, z aktualnym wsparciem producenta i aktualnymi sygnaturami.
  • Przeprowadzono testy wdrożonych mechanizmów ochrony poczty, które potwierdziły poprawne ich działanie.
  • Wdrożono obowiązkowy drugi składnik uwierzytelniający (2FA) dla poczty dostępnej z sieci publicznej.
  • Administratorzy posiadają kompetencje w postaci odbytego instruktażu stanowiskowego z obsługi dedykowanego systemu lub usługi.
  • Kopia bezpieczeństwa poczty jest regularnie wykonywana.

Dla sieci:

  • Wdrożono segmentację sieciową (na poziomie VLANów) zapewniającą odseparowanie sieci biurowej, systemów serwerowych, systemu kopii zapasowych, urządzeń medycznych, sieci gościnnej.
  • Wdrożono reguły bezpieczeństwa pomiędzy segmentami sieci oparte na zasadzie minimalnego niezbędnego dostępu.

Dla stacji roboczych i serwerów:

  • Wdrożono rozwiązanie ochrony przed złośliwym oprogramowaniem z aktualnym wsparciem producenta.
  • Wdrożono rozwiązanie klasy EDR, obejmujące wszystkie wspierane przez producenta oprogramowania stacje robocze oraz serwery.
  • Dla serwerów oraz stacji roboczych nieobjętych ochroną została wykonana analiza ryzyka.
  • Osoby administrujące systemami ochrony stacji i serwerów posiadają odpowiednie kompetencje potwierdzone odbytym szkoleniem.

Dla Systemu Zarządzania Bezpieczeństwem Informacji

  • Wdrożono politykę zarządzania dostępem i uprawnieniami.
  • Wdrożono politykę kryptografii z uwzględnieniem zalecanych dopuszczalnych protokołów szyfrowania.
  • Wdrożono politykę zarządzania podatnościami
  • Wdrożono politykę zarządzania ryzykiem z uwzględnieniem obszaru cyberbezpieczeństwa
  • Wdrożono politykę logowania zdarzeń z uwzględnieniem aplikacji, sieci, serwerów, bramy brzegowej, kontrolerem domeny.
  • Wdrożono politykę kopii bezpieczeństwa.
  • Wdrożono politykę zarządzania incydentami bezpieczeństwa.
  • Wdrożono politykę zarządzania ciągłością działania.
  • Wdrożono politykę ochrony danych osobowych z uwzględnieniem przetwarzania danych medycznych

Dla szkoleń z zakresu podnoszenia świadomości w obszarze cyberbezpieczeństwa (cyberhigieny)

  • Odbycie szkolenia przez kadrę kierowniczą, w okresie ostatniego roku, minimum w zakresie:
    • Podstaw prawnych w obszarze cyberbezpieczeństwa
    • Typów ataków
    • Reagowania na incydenty
    • Wykonywania badań bezpieczeństwa
    • Roli kadry zarządzającej w procesach bezpieczeństwa

  • Odbycie szkolenia przez kadrę biurową i medyczną – min. 75% pracowników pracujących na systemach informatycznych szpitala, w okresie ostatniego roku, minimum w zakresie:
    • Podstawowych zasad cyberhigieny
    • Typów ataków wraz z przykładami
    • Reagowania na incydenty

Zakres warunków, które muszą być spełnione po zakończonym projekcie jest jak widać całkiem pokaźny. Co więcej, do każdego z nich zdefiniowane zostały konkretne wytyczne i testy, które posłużą w audycie końcowym do weryfikacji zgodności. Warto zatem na etapie planowania wydatków uwzględnić wszystkie obszary, w których występują braki.

Jak złożyć wniosek?

Wnioski składać można do dnia 29 maja (początkowy termin 15 maja został przedłużony o 2 tygodnie). Wszystkie szczegóły oraz instrukcje znajdziecie na stronie informacyjnej Ministerstwa Zdrowia.

Wsparcie

Jeśli potrzebowalibyście wsparcia w obszarach związanych z audytem końcowym, szkoleniami pracowników oraz wdrożeniem SZBI – pozostawcie kontakt do siebie. Posiadamy już dedykowane szkolenia dla pracowników szpitali, które spełniają wszystkie kryteria akceptowalności w projekcie. Mamy też doświadczenie w audytach końcowych przy poprzednich dwóch programach finansowania. Współpracowaliśmy w tym zakresie z kilkunastoma szpitalami w całej Polsce.

facebookObserwuj
TwitterObserwuj

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *