CHARLIE-CRP – rekomendacje Centrum e-Zdrowia

Stan alarmowy CHARLIE-CRP. Poznaj szczegóły rekomendacji Centrum e-Zdrowia dla jednostek Ochrony Zdrowia

W związku z wojną na Ukrainie, na terytorium Polski wprowadzono trzeci stopień alarmowy – CHARLIE-CRP.

Jest to jeden z czterech stanów alarmowych, które regulują stopień ochrony przed ryzykiem ataków cybernetycznych na infrastrukturę kluczową dla bezpieczeństwa państwa.

Dlatego też, Centrum e-Zdrowia opublikowało poniższe rekomendacje dla jednostek Ochrony Zdrowia:

1. Każda jednostka Ochrony Zdrowia powinna posiadać linię telefoniczną typu PSTN.
   
   • Linia ta powinna mieć doprowadzenie do centrum zarządzania, dyrektora jednostki lub innych osób koordynujących działania danej jednostki Ochrony Zdrowia w sytuacjach kryzysowych.
   • Ponadto, linia musi być odporna na brak zasilania w jednostce.
     
     
2. Zaleca się przygotowanie procedur i zespołów odpowiedzialnych za ciągłość pracy systemów informatycznych, a także za ich uruchamianie oraz awaryjne gaszenie.
   
   
3. Jednostka Ochrony Zdrowia powinna dokonać przeglądu stosowanych polityk wykonywania kopii zapasowych, które obejmują:
   
   
   1. system obsługi „części białej”, w którym gromadzi się dane medyczne,
   2. system kadrowo-płacowy a także finansowo-księgowy,
   3. inne, krytyczne dla jednostki ochrony zdrowia systemy z punktu widzenia ciągłości działania.
      
      
4. Kopie zapasowe systemów medycznych oraz danych medycznych muszą być wykonywane na bieżąco (ze względu na możliwość cyberataku).
   
   • Po wykonaniu kopii nośniki należy separować od sieci teleinformatycznej.
   • Ponadto, kopie muszą być wykonywane w trybie dobowym, jako kopie pełne lub przyrostowe z zachowaniem ostatniej pełnej kopii danych.
     
     
5. Rekomendacje dla zabezpieczenia transmisji danych:
   
   • ograniczenie dostępów zdalnych za pomocą protokołu RDP, SSH – w szczególności z zewnątrz organizacji,
   • szyfrowanie ruchu protokołem SSL,
   • wykorzystywanie sieci VPN do połączeń zdalnych.

Szczegółowe rekomendacje CeZ obejmują swoim zakresem rekomendacje dot. kopii bezpieczeństwa dla służb informatycznych:

• Przegląd systemu kopii zapasowych – zarówno pod kątem prawidłowości działania, jak i wykonywania zadań zgodnie z ustalonym harmonogramem.
• Wykonywanie kopii bezpieczeństwa zgodnie z harmonogramem: raz dziennie kopia różnicowa lub przyrostowa oraz raz w tygodniu pełna kopia.
• Wereryfikacja, czy wykonane kopie zapasowe faktycznie pozwolą na odtworzenie całych systemów wraz z danymi i konfiguracją.
• Wykonywane kopie zapasowe nie mogą być podłączone jako zasób sieciowy jako jedyny zasób.
• Wykonanie testów odtworzenia systemów w izolowanym środowisku. Działanie takie powinno odbywać się cyklicznie.
  
• Stosowanie strategii 3-2-1:
  
  
  1. należy przechowywać co najmniej 3 kopie zapasowe,
  2. co najmniej 2 z nich należy przechowywać na różnych nośnikach,
  3. co najmniej 1 z nich należy odizolować od pozostałych oraz sieci lokalnej (odmiejscowienie).
     
     
• Przygotowanie planu działania na wypadek utraty systemu kopii zapasowych razem z kopiami – powołanie nowej maszyny, instalacja OS oraz systemu kopii, wgranie kopii konfiguracji systemu kopii, podłączenie kopii zapasowych.
• System kopii zapasowych powinien być w dedykowanej podsieci.
• Przepuszczony ruch pomiędzy hostami i systemem kopii powinien być minimalny, niezbędny – określone porty. System kopii powinien działać na dedykowanych kontach bez praw administratora domenowego.
• Systemem kopii zapasowych należy objąć systemy niezbędne dla zachowania ciągłości działania podmiotu oraz systemy przetwarzające dane osobowe i wrażliwe.