Na podstawie art. 104 § 1 i art. 107 ustawy z dnia 14 czerwca 1960 r. – Kodeks Postępowania Administracyjnego (Dz. U. z 2021 r. poz. 735, z późn. zm.), w związku z art. 5 ust. 2, art. 41 pkt 5 oraz art. 42 ust. 1 pkt 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z późn. zm.), Decyzją Ministra Zdrowia z dnia 01 czerwca 2022 r. Zespół Zakładów Opieki Zdrowotnej w Cieszynie został uznany za operatora usługi kluczowej w sektorze ochrony zdrowia, polegającej na:
- Udzielaniu świadczeń opieki zdrowotnej przez podmiot leczniczy,
- Obrocie i dystrybucji produktów leczniczych.
Zespół Zakładów Opieki Zdrowotnej w Cieszynie (ZZOZ w Cieszynie), będąc operatorem usługi kluczowej, zobowiązany został ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa do zapewnienia użytkownikowi usługi kluczowej (pacjentom, firmom / instytucjom z którymi współpracuje) dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.
ZZOZ w Cieszynie wdrożył system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający:
- Prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem,
- Wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych.
W Szpitalu wdrożono Politykę ochrony danych oraz Instrukcję zarządzania systemem informatycznym. Każda osoba mająca dostęp do informacji zobowiązana jest, zgodnie z posiadanymi uprawnieniami, do zapoznania się i przestrzegania zasad wynikających z Polityki ochrony danych oraz Instrukcji zarządzania systemem informatycznym.
Celem polityki ochrony danych jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonywać obowiązki administratora danych w zakresie danych osobowych. Prawidłowe zarządzanie zasobami, w tym również zasobami informatycznymi, zwłaszcza w aspekcie bezpieczeństwa informacji, wymaga właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przechowywania. Wybór zaś odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją zależny jest od zastosowania nośników informacji, rodzaju zastosowanych urządzeń, sprzętu komputerowego i oprogramowania.
Szpital wdrożył i skutecznie wykorzystuje zaawansowane technologie sieciowe i systemowe. Każde stanowisko komputerowe posiada zainstalowane oprogramowanie antywirusowe. Zostały wdrożone fizyczne zabezpieczenia w postaci urządzeń firewall, które kontrolują i ograniczają przepływ informacji na styku sieci lokalnej i publicznej. Sieć publiczna, udostępniona pacjentom, odseparowana została od sieci wewnętrznej. Dostęp do systemu informatycznego, służącego do przetwarzania danych osobowych może uzyskać wyłącznie użytkownik systemu zarejestrowany w tym systemie przez Administratora systemów informatycznych. Pozostałe zabezpieczenia przygotowano zgodnie z „Rekomendacjami Centrum Systemów Informatycznych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w formie elektronicznej”. Szkolenia wewnętrzne pracowników upoważnionych do przetwarzania danych osobowych przeprowadzane są co najmniej raz na 3 lata, a w przypadku zmiany przepisów i procedur wewnętrznych, niezwłocznie po wejściu ich w życie. Ponadto każdy pracownik przed otrzymaniem upoważnienia do przetwarzania danych osobowych uczestniczy w szkoleniu z zakresu danych osobowych.
Szpital korzysta z usług zaufanych dostawców internetu celem zmniejszenia prawdopodobieństwa błędów po stronie dostawcy, które mogłyby wpłynąć na ciągłość usług szpitala, utratę komunikacji lub bezpieczeństwa przesyłanych informacji.
Z uwagi na krytyczność systemów informacyjnych, urządzeń i narzędzi wspomagających proces utrzymania pacjenta przy życiu, Szpital wyposażono w redundantne zabezpieczenia na wypadek różnych zakłóceń czy utraty zasilania.
Szpital zasilany jest z niezależnych przyłączy energii elektrycznej. W przypadku zaniku obu szpital wyposażony jest w agregaty prądotwórcze. Wszystkie agregaty z autostartem wyposażone są w uruchamianie ręczne. Raz w miesiącu odbywa się uruchamianie agregatów celem sprawdzenia poprawności ich działania. W Szpitalu zainstalowane są UPS-y podtrzymujące w przypadku zaniku napięcia, zasilanie wybranych obwodów / sprzętu medycznego oraz technicznego / do momentu uruchomienia agregatu prądotwórczego i osiągnięcia przez niego wymaganych parametrów pracy.
Szpital posiada system kontroli, nadzoru i zasilania pomieszczeń użytkowanych medycznie, który zapewnia:
- kontrolę poziomu izolacji, obciążenia i temperatury uzwojeń transformatora medycznego zasilającego układ;
- odpowiednio szybkie przełączanie na bezpieczne źródło zasilania w przypadku zaniku zasilania podstawowego;
- pełną kontrolę stanu izolacji sieci w pomieszczeniach;
- ciągłą kontrolę stanu przewodów łączących układ z ziemią, z siecią oraz czujnikami temperatury;
- wskazywanie wszystkich komunikatów o stanie pracy, alarmach i zakłóceniach;
- w przypadku awarii system sygnalizuje nieprawidłową pracę sygnałem świetlnym, dźwiękowym oraz słownym na wyświetlaczu LCD kasety sygnalizacyjno-kontrolnej.
Szpital posiada odpowiednie zabezpieczenie w wodę. Zasilanie szpitala w wodę odbywa się z dwóch zbiorników napełnianych wodą wodociągową.
Wszystkie obiekty są w pełni dostosowane do przepisów p. pożarowych.
Dla wszystkich obiektów opracowano zmodyfikowane instrukcje bezpieczeństwa pożarowego (IBP). Opracowania te spełniają wymogi obowiązujących w tym zakresie przepisów określających obowiązek opracowywania instrukcji bezpieczeństwa pożarowego oraz dotyczących poza problematyką pożarów także klęsk żywiołowych i innych miejscowych zagrożeń (z zagrożeniem terrorystycznym i epidemiologicznym włącznie).
Bieżąca kontrola, okresowe przeglądy budynków oraz instalacji przeprowadzane są przez obsługę techniczną szpitala zgodnie z obowiązującymi przepisami. Systemy zabezpieczenia awaryjnego są regularnie sprawdzane. Baterie akumulatorów są konserwowane i na bieżąco doładowywane. Agregaty prądotwórcze są konserwowane, uzupełniane jest paliwo i dokonuje się ich próbnych uruchomień.
ZZOZ w Cieszynie ma opracowane zasady ochrony pomieszczeń. Całodobową ochronę zapewnia profesjonalna firma ochroniarska, która m.in. odpowiada za kontrolę dostępu do obiektów ZZOZ w Cieszynie, zarówno pracowników jak i pacjentów, odwiedzających, dostawców a także podwykonawców usług, poprzez system monitoringu oraz system identyfikacji pracowników (przepustki wjazdowe na teren Szpitala). Niektóre budynki na terenie ZZOZ w Cieszynie są wyposażone w system kontroli dostępu (zamki mechaniczne i elektroniczne).
W ZZOZ w Cieszynie dużą wagę przywiązuje do ochrony danych podczas komunikacji
z pacjentami. W tym celu wprowadzono do stosowania Procedurę udzielania informacji o stanie zdrowia pacjenta na odległość. Ma ona na celu zapobieganie wszelkim próbom podszywania się pod pacjenta w celu uzyskania informacji o jego stanie zdrowia.
ZZOZ w Cieszynie, jako operator usługi kluczowej, zobowiązany jest do szacowania ryzyka dla usług kluczowych, zbierania informacji o zagrożeniach i potencjalnych zagrożeniach oraz stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłaszania incydentów poważnych do właściwego zespołu reagowania (zgodnie z zapisami Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa).
Wszelkie próby podszywania się pod pacjenta, nieautoryzowane próby podłączeń do infrastruktury Szpitala, fałszywe wiadomości mailowe wysyłane do personelu Szpitala należy zgłaszać do: Działu Informatyki i Telekomunikacji, tel.: 33 8549230, e-mail: kontakt mailowy możliwy poprzez formularz kontaktowy w celu zapobiegania incydentom na wczesnym etapie ich rozwoju.