CYBERBEZPIECZEŃSTWO
Miejskie Centrum Medyczne im. dr. Karola Jonschera w Łodzi

Informacja dla pacjentów, osób odwiedzających, pracowników, współpracowników i kontrahentów

Jeżeli zauważysz podejrzaną wiadomość, próbę wyłudzenia danych, problem z bezpieczeństwem systemu lub inne niepokojące zdarzenie, zgłoś je na adres: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

Dlaczego publikujemy tę informację?

Decyzją Ministra Zdrowia z dnia 16 maja 2022 r., wydaną na podstawie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Miejskie Centrum Medyczne im. dr. Karola Jonschera w Łodzi został ustanowiony Operatorem Usługi Kluczowej.

Oznacza to, że Centrum ma obowiązek dbać o bezpieczeństwo systemów i informacji niezbędnych do realizacji usług o szczególnym znaczeniu dla pacjentów i ciągłości opieki zdrowotnej. Dotyczy to zarówno danych, jak i infrastruktury teleinformatycznej wspierającej pracę placówki.

Publikacja tej informacji ma na celu zwiększenie świadomości zagrożeń oraz ułatwienie zgłaszania sytuacji, które mogą wpływać na bezpieczeństwo informacji, urządzeń, systemów lub procesu udzielania świadczeń zdrowotnych.

Jak dbamy o bezpieczeństwo informacji i systemów

W Miejskim Centrum Medycznym im. dr. Karola Jonschera w Łodzi bezpieczeństwo informacji jest traktowane jako element niezbędny dla prawidłowego funkcjonowania placówki, ochrony danych oraz utrzymania ciągłości świadczenia usług medycznych.

W tym celu wdrożono System Zarządzania Bezpieczeństwem Informacji, obejmujący zasady organizacyjne, środki techniczne, procedury wewnętrzne i działania nadzorcze służące ochronie informacji oraz systemów teleinformatycznych.

Działania te obejmują w szczególności analizę ryzyka, monitorowanie zagrożeń, stosowanie odpowiednich zabezpieczeń, reagowanie na incydenty oraz systematyczne doskonalenie przyjętych rozwiązań.

Obszary, na które zwracamy szczególną uwagę:

• bezpieczeństwo danych medycznych i administracyjnych,
• ochrona systemów informatycznych wykorzystywanych w działalności Centrum,
• ciągłość działania kluczowych procesów medycznych i organizacyjnych,
• ograniczanie ryzyka nieuprawnionego dostępu do danych i zasobów,
• szybkie wykrywanie oraz obsługa incydentów bezpieczeństwa.

Kiedy warto zgłosić incydent lub niepokojącą sytuację

Zgłoszenie warto przekazać zawsze wtedy, gdy pojawia się podejrzenie, że bezpieczeństwo informacji, systemu, urządzenia albo procesu pracy mogło zostać naruszone lub zagrożone. Nie trzeba mieć pewności, że doszło do incydentu — wystarczy uzasadniona wątpliwość.

• otrzymanie podejrzanej wiadomości e-mail, SMS lub komunikatu z linkiem do logowania,
• prośba o podanie hasła, kodu, danych osobowych lub danych dostępowych,
• nietypowe działanie komputera, telefonu, drukarki lub innego urządzenia,
• brak dostępu do systemu, plików lub konta bez wyraźnej przyczyny,
• podejrzenie zainfekowania urządzenia złośliwym oprogramowaniem,
• próba nieautoryzowanego wejścia do pomieszczenia, szafy, systemu lub sieci,
• zagubienie nośnika danych, telefonu służbowego, laptopa lub identyfikatora,
• zauważenie sytuacji, która może negatywnie wpłynąć na bezpieczeństwo danych lub ciągłość działania.

Jak zgłosić incydent

Zgłoszenia należy kierować na adres e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..

W wiadomości warto opisać, co się wydarzyło, kiedy zdarzenie zostało zauważone, jakiego urządzenia, systemu lub miejsca dotyczy oraz jakie objawy lub skutki zostały zaobserwowane.

Jeżeli to możliwe, należy dołączyć materiał pomocniczy, np. zrzut ekranu, treść wiadomości, nazwę nadawcy, numer telefonu, datę i godzinę zdarzenia albo inne informacje ułatwiające analizę.

Ważne: nie należy podejmować działań „na własną rękę”, takich jak samodzielne usuwanie plików, odpowiadanie oszustowi, resetowanie urządzenia czy testowanie podejrzanych linków. Wyjątkiem są wyłącznie działania konieczne do ochrony życia, zdrowia, osób lub mienia.

Najczęstsze zagrożenia cyberbezpieczeństwa

Phishing

Phishing polega na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia danych, pieniędzy albo nakłonienia użytkownika do kliknięcia w niebezpieczny link. Wiadomość może przypominać korespondencję z banku, urzędu, firmy kurierskiej, dostawcy usług lub pracownika organizacji.

Złośliwe oprogramowanie

Złośliwe oprogramowanie może spowolnić pracę urządzenia, zablokować dostęp do danych, przechwycić hasła, a nawet umożliwić osobom nieuprawnionym zdalny dostęp do systemu. Do infekcji często dochodzi po otwarciu podejrzanego załącznika, pobraniu niezweryfikowanego pliku lub wejściu na niebezpieczną stronę.

Fałszywe strony i podszywanie się

Przestępcy mogą tworzyć strony internetowe łudząco podobne do prawdziwych serwisów logowania lub płatności. Celem jest skłonienie użytkownika do wpisania loginu, hasła, kodu SMS albo innych danych wrażliwych.

Socjotechnika

Socjotechnika polega na manipulowaniu użytkownikiem tak, aby sam ujawnił informacje lub wykonał określone działanie. Oszust może wywoływać presję czasu, powoływać się na pilność sprawy, przełożonego, pacjenta, kontrolę albo awarię systemu.

Podstawowe zasady bezpiecznego korzystania z Internetu i urządzeń

• korzystaj wyłącznie z legalnego i aktualnego oprogramowania,
• pobieraj aplikacje oraz pliki wyłącznie z oficjalnych i zaufanych źródeł,
• nie otwieraj podejrzanych wiadomości ani załączników, nawet jeśli wyglądają wiarygodnie,
• zawsze sprawdzaj adres nadawcy wiadomości e-mail i adres strony internetowej przed zalogowaniem,
• stosuj silne, unikalne hasła i nie używaj jednego hasła do wielu systemów,
• blokuj ekran urządzenia, gdy z niego nie korzystasz,
• nie udostępniaj nikomu loginu, hasła, kodów dostępowych ani tokenów,
• unikaj logowania do ważnych usług z publicznych sieci Wi‑Fi,
• regularnie wykonuj kopie zapasowe ważnych danych,
• włączaj Wi‑Fi i Bluetooth tylko wtedy, gdy są potrzebne,
• przed przekazaniem urządzenia innej osobie usuń z niego wszystkie dane,
• zwracaj uwagę na ostrzeżenia systemowe i nietypowe komunikaty pojawiające się na ekranie.

Dobre praktyki dotyczące haseł i poufnych danych

• hasło powinno być odpowiednio długie i trudne do odgadnięcia,
• nie należy tworzyć haseł opartych o imię, datę urodzenia, numer telefonu lub inne łatwe do powiązania dane,
• nie zapisuj haseł w widocznych miejscach ani na niechronionych kartkach,
• nie przechowuj poufnych danych w sposób dostępny dla osób postronnych,
• wiadomości zawierające dane wrażliwe należy zabezpieczać zgodnie z obowiązującymi zasadami, np. hasłem lub szyfrowaniem, a hasło przekazywać innym kanałem komunikacji.

Wspólna odpowiedzialność za bezpieczeństwo

Bezpieczeństwo informacji w Centrum zależy nie tylko od rozwiązań technicznych, ale również od codziennej uważności wszystkich osób korzystających z systemów, urządzeń i zasobów placówki.

Szybkie zgłoszenie nawet drobnej nieprawidłowości może pomóc ograniczyć skutki incydentu, ochronić dane oraz wesprzeć ciągłość świadczenia usług medycznych.

W przypadku jakichkolwiek wątpliwości dotyczących bezpieczeństwa informacji prosimy o kontakt pod adresem: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.