Aktualności Baza wiedzy Bezpieczeństwo systemów informatycznych Edukacja i wsparcie

Wykonywanie kopii zapasowych – rekomendacje Ministerstwa Zdrowia

Posted on

W ostatnim czasie znacząco wzrosła liczba ataków hakerskich na systemy informatyczne. Problem ten dotyczy także sektora ochrony zdrowia. Hakerzy mają do wyboru wiele metod i form ataku (więcej o tym pisaliśmy TUTAJ), w tym oprogramowanie ransomware. Jest to rodzaj złośliwego oprogramowania, które blokuje dostęp do systemów i uniemożliwia odczytanie zapisanych w nich danych. Ataki te są przeprowadzane w celu uzyskania korzyści majątkowych przez atakujących. Systemy zapewniające cyberbezpieczeństwo stanowią linię obrony przed tego typu atakami, ale nie ma możliwości zapewnienia 100% ochrony przed nimi. W przypadku przełamania zabezpieczeń i udanego ataku ostatnią formą ochrony jest posiadanie skutecznej kopii zapasowej, umożliwiającej odtworzenie danych i systemów.

W związku z tym Ministerstwo Zdrowia przygotowało rekomendację dotyczącą wykonywania kopii zapasowych w podmiotach leczniczych. Przypomina w niej, że za funkcjonowanie w podmiocie wykonującym działalność leczniczą prawidłowego systemu kopii zapasowej odpowiada kierownik podmiotu. Dlatego do zadań kierownika w tym zakresie należy weryfikacja, czy jego służby IT:

  • wykonują codzienne kopie zapasowe danych medycznych, niemedycznych i konfiguracji systemów, (jeżeli świadczenia są udzielane w dni wolne od pracy także w te dni),
  • wynoszą codziennie z serwerowni wykonane kopie zapasowe do innego budynku oraz odłączają od dostępu do sieci i internetu,
  • testują regularnie kopie zapasowe i na ich podstawie odtwarzają systemy.

Ponadto Ministerstwo Zdrowia rekomenduje, aby kopie zapasowe były wykonywane na taśmach magnetycznych (np. LTO, DDS, RDX, inne), odpornych na działanie ransomware. Doraźną alternatywę stanowią dyski twarde, które po wykonaniu kopii zapasowej będą odłączane od serwerów. Od wykonania powyższych czynności zależy bezpieczeństwo systemu świadczeniodawcy.

Zgodnie z rozporządzeniem o Krajowych Ramach Interoperacyjności z dnia 12 kwietnia 2012 r. każdy podmiot realizujący zadania publiczne (SPZOZ, spółki) musi dostosować swój system teleinformatyczny do wymagań zawartych w normie ISO/IEC 27001. W tym celu należy wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodny z ISO/IEC 27001. Elementem SZBI są m.in. procedury wykonywania i testowania kopi zapasowych. Audyt KRI powinien się odbywać nie rzadziej niż raz w roku.

Po dokonaniu weryfikacji systemów kopii zapasowych i zidentyfikowaniu jakiejkolwiek słabości tych systemów, należy wykonać:

Działania doraźne:
  • zidentyfikować wszystkie bazy danych, repozytoria plików oraz pliki konfiguracyjne aplikacji,
  • robić regularnie dla wszystkich baz danych codzienne kopie zapasowe, zapisywane na zewnętrznych dyskach (np. dyskach USB). Alternatywę może stanowić zapisywanie kopii na płytach DVD.
  • po wykonaniu kopii zapasowych dyski lub inne nośniki odłączyć od serwerów i codziennie wynieść do innego budynku,
  • do wykonywania kopii zapasowych wykorzystać kilka dysków lub innych nośników, aby zachować rotację i możliwość zachowania kopii zapasowej co najmniej z przed tygodnia,
  • wykonane kopie zapasowe regularnie testować i próbnie odtwarzać poszczególne systemy.
Działania docelowe:
  • zidentyfikować wszystkie bazy danych, repozytoria plików oraz pliki konfiguracyjne aplikacji, ewentualnie całych obrazów maszyn wirtualnych,
  • wykonywać codziennie kopie zapasowe na taśmach magnetycznych lub bibliotekach taśmowych,
  • wyciągnąć codziennie taśmy z serwera i wynieść z serwerowni do innego budynku. Jeżeli podmiot dysponuje jednym budynkiem to do oddalonej części budynku.
  • wykorzystać do wykonywania kopii zapasowych kilka taśm, aby zachować rotację i możliwość zachowania kopii zapasowej co najmniej sprzed tygodnia,
  • testować regularnie wykonane kopie zapasowe i próbnie odtwarzać poszczególne systemy. Podmiot korzysta w miarę swoich możliwości z:
    • taśm,
    • biblioteki taśmowej – powinna się ona znajdować w innym budynku niż serwerownia podstawowa, a jeżeli podmiot dysponuje jednym budynkiem to w oddalonej części budynku,
    • systemu wykonywania kopii zapasowych, który musi być skonfigurowany przez inżynierów posiadających stosowne kompetencji, gwarantujące wykonanie skutecznych kopii zapasowych oraz konfigurację separacji sieciowej.

Dostawcy oprogramowania medycznego powinni przekazać świadczeniodawcom specyfikacje baz danych, plików konfiguracyjnych, które muszą być objęte systemem kopii zapasowej. Specyfikacja musi w sposób jasny i przejrzysty wskazywać wszystkie pliki jakie należy archiwizować, aby wykonać prawidłową i pełną kopię bezpieczeństwa systemu.

Pamiętajmy, że wykonywanie kopii zapasowych minimalizuje straty poniesione w przypadku cyberataku. Wszyscy świadczeniodawcy powinni zadbać o bezpieczeństwo danych posiadając procedury i systemy do tworzenia kopii zapasowych oraz stale weryfikując ich poprawność. Dzięki kopii zapasowej możliwe jest szybkie przywrócenie placówki do działania – bez szkody dla pacjentów – nawet wtedy, gdy infrastruktura IT zostanie naruszona, a dane ulegną zniszczeniu. Jednak, oprócz tworzenia backupu, należy zadbać o odpowiednią ochronę kopiowanych danych. Zachowanie ich spójności podczas tworzenia i przechowywania kopii oraz przywracania danych jest kluczowe dla powodzenia całego procesu.

Więcej informacji dotyczących architektury systemów kopii zapasowych znajduje się na stronach Centrum e-Zdrowia: ezdrowie.gov.pl

KATEGORIE WPISÓW

.

Aktualności Baza wiedzy Bezpieczeństwo systemów informatycznych Dokumentacja medyczna w formie elektronicznej i EDM Edukacja i wsparcie Instrukcje do Aplikacji EA24 Kontrakty NFZ mMedica przez internet Nowa placówka medyczna Opieka koordynowana Planowane zmiany w mMedica Podstawowa opieka zdrowotna POZ Podstawowe informacje o RODO Programy pilotażowe i dofinansowania Przepisy prawne w ochronie zdrowia w Polsce System mMedica instrukcje i porady Zarządzanie ryzykiem Zdarzenia medyczne Zmiany w mMedica