|

23T30 Środki na bezpieczeństwo w służbie zdrowia2

PrzezPaweł Szczepski

Dofinansowanie Służby Zdrowia na Cyberochronę (2023r.)

Więcej miejsc do posłuchania:

Spotify

Transkrypcja

-> [Darek] Dzisiaj moim gościem jest Paweł Szczepski. Inżynier w Centrum e-Zdrowia. Mam tutaj Pawle wypisanych trochę informacji na Twój temat bo jest tego kilka elementów więc żebym czegoś nie pominął. Jesteś inżynierem w tej jednostce Centrum e-Zdrowia. Jest to jednostka budżetowa powołana przez Ministra Zdrowia i z tego co tu mam napisane ta jednostka zarządza ponad 50 centralnymi systemami IT. Ale to nie wszystko mam tutaj również napisane, że jesteś w Radzie programowej Konferencji PLNOG. Czyli rozumiem, że doceniają tam Twoją wiedzę i doświadczenie i Twój głos w tym jakie tematy się pojawiają na tej konferencji jest brany pod uwagę. Ale to również nie wszystko bo widzę, że jesteś również mentorem w Hackathonie HackYeah i masz tam rozumiem swój udział w tworzeniu tego całego wydarzenia. To tak w dwa słowa żeby przybliżyć trochę wszystkim, którzy nas oglądają i słuchają kim jesteś. No i zacznijmy może od tego tematu dzisiejszego czyli skupimy się na bezpieczeństwie zwłaszcza w kontekście zdrowia naszego publicznego i różnych jednostek, które w tym naszym systemie zdrowotnym funkcjonują i pierwsze pytanie, które mam do Ciebie to w jakich branżach według Ciebie dochodzi najczęściej do cyberataków.

-> [Paweł] Polska jest w związku z zaangażowaniem po jednej stronie konfliktu zbrojnego za naszą wschodnią granicą. Jest dość często atakowana przez grupy prorosyjskie oraz grupy z Azji. Głównie są atakowane oczywiście sektory państwowe, przemysłowe, instytucje publiczne, służby mundurowe ale oczywiście takie instytucje jak finansowe oraz firmy IT no i oczywiście służba medyczna.

-> [Darek] OK i tutaj jeżeli chodzi o ten sektor zdrowotny to tu jest jakiś wyszczególnienie, że jakieś jedne podmioty części i mniej czy tutaj już atakowane jest w zasadzie wszystko co tylko jest możliwe żeby było atakowane?

-> [Paweł] To znaczy tak: hakerzy szukają podatności. Czasami hakerzy strzelają na oślep i próbują wyłączyć bardzo kluczowe systemy informatyczne dla działania całego kraju. Czasami atakują też w sektor prywatny, też służby zdrowia i pojedyncze też szpitale tak i to najczęściej powiedzmy do incydentów zdarza się właśnie w szpitalach.

-> [Darek] A jakie najczęściej są spotykane formy ataków?

-> [Paweł] No to mamy DDoS tak. Na wszystkie powiedzmy, który może być z działaniem samym w sobie, żeby wyłączyć jakieś krytyczne systemy czyli mogą to być ataki wolumetryczne albo ataki aplikacyjne lub hybrydowe. Może polegać na tym, żeby wyłączyć jakieś systemy informatyczne żeby one nie działały, były niedostępne dla pacjentów dla jednostek laboratoryjnych czy powiedzmy producentów medykamentów. Może być to też przykrywką innych ataków cyberprzestępczych. Kolejnymi atakami to jest Phishing, vishing i smishing tak.

-> [Darek] Ja chciałem tylko tu Cię dopytać odnośnie tego
DDoSa jeszcze zanim pójdziemy dalej. Bo tak powiedziałeś że wolumetryczne ale tak chciałem też trochę przybliżyć dla tych którzy nie siedzą bardzo głęboko w tej tematyce czy tutaj chodzi o to, że po prostu duża ilość ruchu jest przesyłana dla danego systemu?

-> [Paweł] Tak, jest generowana duża ilość ruchu i to w warstwie ISO/OSI jest to warstwa 3 i 4 tak a w przypadku warstwy aplikacyjnej No to dotyczy ataku na siódmą warstwę modelu ISO/OSI.

-> [Darek] Czyli bardziej chodzi o to, że ta siódma warstwa czyli ta warstwa aplikacyjna to już jest szukanie jakiś takich mechanizmów tej samej aplikacji, która powoduje, że ona musi dużo obliczeń wykonać tak? Tak, tak. Że nie musi być tego ruchu bardzo dużo ale specyficzny typ ruchu powoduje bardzo duże obciążenie systemu. To o to chodzi, tak?

-> [Paweł] Tak. Na przykład właśnie przerzucenie na serwer żeby często renegocjację klucza, tak gdzie tak de facto jest zestawione połączenie i to nagle serwer zaczyna generować nowy klucz, który ma być do podtrzymywania sesji no i to niestety zajmuje obliczenia a za chwilę powiedzmy ma kilka takich sesji. Po pewnym czasie wymaga kolejnej renegocjacji no i się okaże niestety ale serwer klęknął.

-> [Darek] Rozumiem – czyli tutaj też pewnie zabezpieczenia na różne typy tego typu ataku czyli atak DDoS ale on może mieć różne takie swoje specyficzne zachowania to też ta obrona przed tego typu zachowaniem czy takim atakiem będzie różna prawdopodobnie, tak i różne produkty, które temu służą. No dobrze to przejdźmy teraz do tego drugiego który wspomniałeś czyli do Phishingu. Na czym polega ten atak?

-> [Paweł] Dobrze, mamy właśnie trzy rodzaje – wszyscy przeważnie trafili w swoim życiu na Phishing. Często właśnie użytkownicy domowi. Właśnie przychodzi powiadomienie z DHL-a, że Zaloguj się, jest twoja paczka wstrzymana. Zaloguj się żeby czy dopłacić, tak. Czyli żeby powiedzmy pozyskać dane, pozyskać dane o danej osobie. Przeważnie na tym polega. Może być też tak, że połączone jeszcze oprócz tego że phishingu może być jeszcze złośliwe oprogramowanie, ale o tym później. Kolejną opcją jest smishing czyli podobny atak tylko, że nie jest tym medium e-mail tylko wiadomość SMS, MMS i vishing czyli taki atak działający właśnie, że ktoś dzwoni do nas, podaje się za jakiś biuro, instytucje. Przeważnie jest to powoływanie się na instytucje tak i później próbuje pozyskać dane albo wynikiem, kolejnym krokiem będzie to, że będzie oczekiwało się, że jakiś oprogramowanie zostanie przez daną osobę zainstalowane wejdzie na jakąś stronę wypełnię pewne dane a w międzyczasie może być też, że jakieś złośliwe oprogramowanie zostanie ściągnięte na na komputer.

->[Darek] Czyli przede wszystkim w tej części czy w tym rodzaju ataku phishingowego chodzi o pozyskanie danych i ewentualnie dodatkowych dostępów czy dodatkowych sposobów np jakiegoś przejęcia
komputera czy jakiegoś innego oprogramowania, które będzie zapisywało hasła na przykład, tak? Czyli chodzi o przejęcie jakieś podstawowych danych. No to pewnie powoduje, że umożliwiamy wtedy atak jakiś kolejny, innego rodzaju, dalej tak?

-> [Paweł] Tak, kolejny wektor uruchomi. To, że np ktoś już ma nasze dane uwierzytelnienia i na przykład jeżeli mamy oparciu o jakiegoś usługodawcę, który ma konta w chmurze może przyjąć nasze uprawnienia lub jak się dostanie a nie mamy kolejnego składnika do autentykacji i uwierzytelnienia w postaci tokenu sprzętowego albo sms-a to może przejąć nasze uprawnienia i w następstwie dokonać ich eskalacji. Kolejną rzeczą może być  dociągnięcie złośliwego oprogramowania na komputer. A w najgorszym przypadku dokonanie właśnie będzie się panoszył w sieci Ransomware albo co gorsze WIPER.

->[Darek] Dobrze to do tego jeszcze przejdziemy bo tak dużo wymieniłeś nazw. Myślę, że nie wszystko może być jasne dla wszystkich naszych słuchaczy ale jeżeli chodzi o ten element eskalacji uprawnień. Może to jakbyś tak rozwinął i wytłumaczył na czym to polega. Czyli ktoś pozyska jakieś hasło rozumiem login i na czym polega ta eskalacja.

-> [Paweł] Właśnie często bywa tak, że pracownicy w firmach, prezesi czy kadra managerska chce mieć uprawnienia na komputerze administratorskie, umożliwiające modyfikację wszelkich parametrów na komputerze. To jest błędną metodologią. Tak samo chcą administratorzy. Nie powinno się tak według dobrej praktyki pracować ale niestety jest to normą, że pracujemy na możliwych uprawnieniach. Nawet jeżeli powiedzmy w firmie są pewne procedury i są niższe uprawnienia właśnie dla pracowników biurowych przez prace właśnie takiej osoby, hakera. O właśnie próbuje podwyższyć uprawnienia tak i to na kilka sposobów, tak, W pewnym momencie okaże się, że ma ściągniętą bazę haseł tak firmy bo był też niedawno wyciek najczęściej spotykanych loginów i haseł i próbuje wykorzystać właśnie pozyskane dane. Może być też tak, że może próbować standardowych haseł to tak zwanych tęczowych tablicy, które są typowo spotykanymi hasłami. Jeżeli to powiedzmy się nie udaje próbuje teraz na przykład zmanipulować kogoś z serwis descu, żeby dokonał pewnej modyfikacji czy instalacji oprogramowania a w międzyczasie będzie spróbował włączyć się w sesję tak lub ewentualnie jeżeli zobaczy, że administrator coś nie działa no to odpali na przykład jakiś skrypt czy coś żeby w międzyczasie się uruchomił i w ten sposób dochodzi do rozszerzenia uprawnień tak i przez to może dojść takich przypadków, że ktoś zacznie modyfikować dane na serwerach, dokonywać exfiltracji, nie będzie to monitorowane przez systemy zabezpieczeń bo wyłączy po prostu Logi i nie będą one odkładane lub na przykład je skasuje.

-> [Darek] Czyli tutaj chodzi o to, że zakładamy ten lepszy przypadek. Czyli, że w danej firmie jest ten różny poziom uprawnień różnych osób, że nie wszyscy mają administratora. No bo jak wszyscy mają administratora to rozumiem, że nie trzeba eskalować tych uprawnień no bo już jest najwyższy poziom uprawnień więc jest ułatwiona sytuacja. No ale jeżeli jest tak, że faktycznie ma dany pracownik biurowy inny poziom uprawnień niż Administrator domenowy czy nawet administrator domenowy nie używa swojego poziomu uprawnień codziennie tylko do czynności, które powinien wykonać jako administrator no to wtedy przy takim ataku jest potrzebna ta eskalacja żeby ten lepszy efekt uzyskać tego atakującego. No bo potrzebne są najczęściej uprawnienia administratora żeby móc coś zmieniać, tak. Czy na stacji końcowej czy na serwerze czy jak wspomniałeś wyłączenie logów to wymaga uprawnień administratora. Czyli jeżeli będziemy pilnować tego żeby z minimalnymi potrzebnymi uprawnieniami pracować z danym systemem i dane osoby, które tam mają dostęp do tego systemu mają minimalne uprawnienia to wtedy jesteśmy już w lepszej sytuacji, lepiej jesteśmy chronieni, tak. Dobrze rozumiem?

-> [Paweł] Tak, bardzo dobrze rozumiesz też są dodatkowe narzędzia właśnie do nagrywania powiedzmy właśnie sesji uprzywilejowanych ale to powiedzmy możemy zostawić na inny czas.

-> [Darek] To możemy zagłębić się w przy jakimś kolejnym spotkaniu w ten temat. Natomiast tutaj jeżeli chodzi o te typy ataku to już rozmawialiśmy o przejęciu konta, o potencjalnej eskalacji uprawnień może jeszcze przejdźmy i kilka słów powiedzmy o tym Randsomwere. Czyli co to jest za typ ataku i na czym on polega?

-> [Paweł] Dobrze, to jest jeden złośliwego oprogramowania, który szyfruje dane na dysku, na komputerze, na serwerze i żąda okupu, tak ale zdarzają się też Wipery, które udają Randsomware po to żeby powiedzmy pozyskać właśnie kwotę w kryptowalucie ale dane są nie do odzyskania. Mogą być nadpisane albo w ogóle atakujący ignoruje kwestie zachowania klucza, którym było szyfrowane dane.

-> [Darek] Czyli z założenia od razu jest taki cel żeby po prostu wyczyścić wszystkie dane, ewentualnie pozorować że one są do odzyskania ale cel jest taki, żeby po prostu pozyskać pieniądze w ramach okupu a dane i tak nigdy nie zostaną przywrócone.

-> [Paweł] Albo tylko kompletnie zniszczyć. Tak było na przykład z atakiem na Ukrainie, że został zmodyfikowany. Oprogramowanie, nadpisane oprogramowanie i później trzeba było chyba wymienić tysiące modemów żeby działał internet.

-> [Darek] Chodziło o to, że tam zmodyfikowali Filmware tak i zapdate’owali ten Filmware na wszystkich urządzeniach dostępnych w związku z tym nie dało się już nic zrobić z tymi urządzeniami tylko wymienić. No dobrze wróćmy teraz do takiego pytania w kontekście tych podmiotów medycznych. Czyli jeżeli będzie taki atak no na przykład tam są łeb to co to oznacza dla takiej jednostki medycznej, która ma tam te dane medyczne pacjentów, obsługuje ich, przeprowadza jakieś badania, przechowuje jakieś dane. Co to może oznaczać, jaki poziom problemu dla takiej jednostki medycznej, która prowadzi taką funkcję i stała się ofiarą takiego ataku?

-> [Paweł] Najgorsza rzecz co dla nich to przestój w działaniu przestój w działaniu bo może być zagrożone życie ludzkie. To jest najgorsza rzecz, która może spotkać. Może powiedzmy aparatura nie dostarczać tlenu i pacjent po prostu umrze lub jego uszczerbek na zdrowiu będzie zbyt duży, że będzie powiedzmy niepełnosprawny, może być na resztę życia. To jest najgorszy przypadek. Kolejna rzecz – mogą być powiedzmy właśnie zaszyfrowane wszystkie dane medyczne, które tak jak wspomniałem może zostaną odzyskane, może nie będą odzyskane. Kolejna rzecz ucierpi reputacja danego szpitala. Zaczną się też powiedzmy pacjenci czy to dzwonić, będzie taki DDoS telefoniczny osób czy ich dane wyciekły, tak. Dane medyczne, często powiedzmy w takich danych są nasze dane personalne, na których ktoś może wyrobić dowód kolekcjonerski i później wziąć na nas kredyt. Więc to też zależy. Ktoś na przykład może pozyskać dane po to żeby sprzedać to na czarnym rynku, nasze dane medyczne. Koszt takiego na czarnym rynku to jest około 1000 dolarów za dane medyczne i są zaciekawieni tym zarówno i czasami fundusze ubezpieczeniowe bo żeby powiedzmy podwyższyć koszt  ubezpieczenia. Kolejna rzecz tak jak wspomniałem żeby przejąć czyjeś dane uwierzytelniające umożliwiające właśnie się podszycie pod kogoś lub zaciągnięcie kredytu.

-> [Darek] No czyli logiczne się wydaje, że wszystkie jednostki, które przetwarzają takie dane medyczne czy dane osobowe powinny w zasadzie robić wszystko co tylko jest możliwe w ich zakresie żeby te dane zabezpieczać zarówno pod kątem dbania o zdrowie pacjentów tak jak powiedziałeś, że może ich zdrowie być zagrożone w związku z atakiem jakimś na systemy które są związane z tymi usługami jak i konkretnie same dane. No bo tu mamy też różne scenariusze, są szpitale ale są też jakieś przychodnie, są różne systemy, które może nie bezpośrednio wpływają na to czy ktoś żyje czy ma problem zdrowotny ale na pewno przynajmniej w dłuższej perspektywie te dane są bardzo krytyczne bo lekarze z nich korzystają przecież żeby jakieś wnioski wyciągać i planować jakieś leczenie więc tutaj pytanie które mi się pojawia: Co może być zrobione i czy jak Ty widzisz jakby ten obraz w Polsce dzisiaj zabezpieczania takiego całego segmentu zdrowotnego pod kątem właśnie rozwiązań bezpieczeństwa i chronienia się przed tymi atakami o których powiedzieliśmy?

-> [Paweł] Więc tak jedno z takich narzędzi to jest powiedzmy właśnie dofinansowanie cyberbezpieczeństwa, które to jest od zeszłego roku i mogą z niego skorzystać wybrane placówki medyczne. Czyli właśnie wszystkie podmioty medyczne, leczenie rehabilitacyjne, opiekę psychiatryczną i leczenie uzależnień oraz opiekę uzdrowiskową. Opieka uzdrowiskowa tak i te podmioty mogą skorzystać z dofinansowania, które wynosi od 240 tysięcy do 900 tysięcy złotych na wybrane systemy cyberbezpieczeństwa.

-> [Darek] Od czego jest zależna taka kwota? Bo to jest rozumiem jakiś przedział i od czego on zależy?

-> [Paweł] Trzeba wypełnić ankietę przez system, jest system statystyki Opieki Zdrowotnej i trzeba wypełnić – dany podmiot ankietę o posiadanych
systemach zarówno zabezpieczeń jak i również wykorzystywanych urządzeń medycznych i przechowywanych danych.

-> [Darek] Czyli chodzi o taki punkt wyjściowy żeby ktoś kto potem podejmuje decyzję czy przydziela dane dofinansowanie mógł się zorientować co tam są za systemy i jaki jest pomysł na to jakie zabezpieczać. O to chodzi tak?

-> [Paweł] Dokładnie tak.

-> [Darek] A jeżeli chodzi o samą kwotę, ona jest zależna od wielkości danej jednostki, od jakiś budżetu, od ilości pacjentów.

-> [Paweł] Akurat tych danych nie posiadam, nie interesowały mnie. Bardziej moją tą rolą jest właśnie żeby doradzić system, przeanalizować ale algorytmu nie znam.

-> [Darek] Czyli krótko mówiąc jest takie narzędzie dla tych wszystkich podmiotów, które z jednej strony chciałyby się zabezpieczyć a z drugiej strony wiadomo że wszystko teraz kosztuje i raczej kosztuje więcej niż mniej to jest takie narzędzie żeby im pomóc i ułatwić zaopatrzenie się w takie rozumiem narzędzia, które podwyższą poziom bezpieczeństwa w utrzymywaniu tych systemów za które odpowiada dana jednostka, o to chodzi, tak? No dobrze to chciałem jeszcze wrócić tutaj do pytania na jakie konkretnie rzeczy mogą być przeznaczone takie środki.

-> [Paweł] W zeszłym roku była większe elastyczność bo nie było kryteriów
powiedzmy na jakie rozwiązania ma być przeznaczone. W tym roku zostały zaostrzona wymagania więc przede wszystkim na system backupu i ich rozbudowy czyli to mogą być oczywiście macierze, biblioteki taśmowe i wymagane jest to żeby to znajdowało się w innym obiekcie albo w innej lokalizacji. Może to być również oczywiście oprogramowanie do tego backupu, do zarządzania jak już mamy właśnie system do backapu, który jest kluczowy właśnie do uzyskania kolejnych dofinansowań na kolejne elementy. Jest dofinansowanie na systemy Firewall i rozbudowy. Czyli to oczywiście może być wymiana obecnych Firewalli, UTM’ów, Next Generation Firewall, różnie są nazywane rozwiązania, czasami też zapory ogniowe. Może być to przez wymianę takich urządzeń albo software’u. Może być dokupienie licencji rozszerzających funkcjonalności, zakup kontraktów serwisowych ale również często nie jest to brane pod uwagę: systemów do zbierania i zarządzania logami, które są bardzo istotne. Kolejnym punktem dofinansowania jest system rozbudowy i ochrony poczty e-mail. Następnie systemy klasy EDR i to teraz klient, podmiot może albo upgrade’ować posiadane antywirusy o rozwiązanie czy rozwiązanie klasyczne Endpoint Protection Platform do rozwiązań klasy EDR albo zakupić dodatkowe oprogramowanie spełniające te funkcjonalności i ostatnią opcją jest dofinansowanie na szkolenia. To mogą być szkolenia z budowania świadomości tzw. Security awareness jak również szkolenia dla administratorów z zarządzania i konfiguracji posiadanych systemów cyberbezpieczeństwa oraz planowanych do zakupu systemów.

-> [Darek] Czyli to mogą być zarówno szkolenia dla tych osób, które zarządzają tą infrastrukturą jak i dla osób, które korzystają z tej infrastruktury tak? Bo tak jak powiedziałeś to ataki typu Phishing czy jakieś ataki na tych użytkowników końcowych mniej świadomych też są dużym zagrożeniem i rozumiem, że te szkolenia mają pomóc zwiększać tą świadomość i dzięki temu podwyższać poziom bezpieczeństwa. Czyli tak jak powiedziałeś to najbardziej zapamiętałem czyli tak backup to jest po to żeby się chronić przede wszystkim przed atakami typu Randsomware. W szczególności rozumiem taki rodzaj backupu, który jest niedostępny dla tego kto ewentualnie uda mu się dostać do tych wewnętrznych systemów. Czyli jeżeli wszystko nawet by się okazało, że zostanie w jakimś nie korzystnym
wariancie zaszyfrowane to żeby można było wszystko odtworzyć przynajmniej w jakiejś bliskiej perspektywie.

-> [Paweł] Możnaby właśnie mieć – zależy też od procedur w danej firmie bo może być robiony backup, może być system backupowy ale nigdy nie było testowane jego odtworzenie. Teraz kolejna rzecz to jest polityka. Jak często jest robiony backup pełny, inkrementalny i to też jest może się okazać, że będzie na przykład przerwa w informacjach żeby był robiony backup co godzinę i będziemy stratni tą jedną godzinę ale to lepsza jedna godzina niż jednak 24 godziny albo wszystko. Kolejna rzecz warto też rozważyć biblioteki taśmowe mimo, że często się mówi o szybkich dyskach, szybkie odtworzenie ale często warto rozważyć przechowywanie taśm, bibliotek taśmowych w odrębnym miejscu czy to właśnie w odrębnym budynku albo na przykład
u usługodawcy, który świadczy taką usługę żeby w przypadku pożaru, powodzi można było otworzyć.

-> [Darek] Tutaj też wspomniałeś o tych Firewallach to rozumiem, że podstawowym założeniem jakby takiego Firewalla jest ta segmentacja i ograniczenie dostępów pomiędzy różnymi i systemami i typami użytkowników czy grupami użytkowników to tak sobie wyobrażam, że jednak większość tych naszych instytucji czy organizacji jakiś rodzaj Firewalla ma ale jeżeli by chciało rozbudować do bardziej zaawansowanego Firewalla albo dokupić nowe funkcjonalności tego Firewalla no to wtedy jakby może skorzystać z tego programu dofinansowania i starać się jakby podnieść ten poziom bezpieczeństwa też w tym obszarze.

-> [Paweł] Tak bo właśnie tak jak wspomniałeś bardzo istotne jest właśnie zabezpieczenie punktów styku z internetem ale również odseparowanie części biurowej sieci LAN od strefy DMZ w której powiedzmy znajdują się, mogą znajdować się serwery.

-> [Darek] A jakbyś mógł jeszcze kilka słów powiedzieć o tych systemach EDR XDR. Co to są za systemy, jak one się różnią w porównaniu do tych antywirusów klasycznie do tej pory stosowanych, jak one podwyższają poziom bezpieczeństwa?

-> [Paweł] To oprócz EDRa to jeszcze opowiem o NDR. Jak już tak wspomnę. EDR to jest Endpoint Detection and Response czyli rozwiązanie które jest następcą  antywirusa, że on nie tylko bazuje na sygnaturach ale też bada anomalie i współpracuje z… dobrze mieć zespół Security Operations Center albo zespół bezpieczników, którzy patrzą na te Logi systemów i często właśnie połączenie takiego EDRa można zintegrować właśnie czy z Firewallem czy z backupem, że w przypadku Randsomware, tak zwanego impactu można było odtworzyć sprzed właśnie działania hakerów. Antywirus pewnych rzeczy nie zrobi, właśnie tych rzeczy nie zrobi. XDR zanim przejdziemy do XDRa jest właśnie NDR, to są rozwiązania klasy Network Detections and Response, które polegają na tym, że wykrywają anomalie w ruchu sieciowym. Może się okazać, że na serwerze na stacji roboczej nie ma EDRa. Może być to, też okazać się aparatura medyczna czy jakiś system klasy Linux na który nie ma powiedzmy agenta z którego nie są zbierane flow’y i po to właśnie jest rozwiązanie klasy Network Detection and Response, które zbiera właśnie anomalie w ruchu sieciowym i to też można właśnie zintegrować właśnie z takim Firewallem. No i warto właśnie żeby te Logi też były przechowywane właśnie w systemie zbierania logów a nawet lepiej właśnie systemu klasy SIEM.

-> [Darek] Czyli tutaj chodzi o to żeby rozumiem taką dynamikę wprowadzić w zabezpieczeniu. Czyli jeżeli wykryjemy takim czy innym systemem, że coś nic nie w porządku to na przykład zaczynałem blokować albo ograniczać dostęp do pewnych krytycznych systemów. O to chodzi tak?

-> [Paweł] Dokładnie tak I mamy właśnie rozwiązanie klasy Endpoint Detections and Response, że właśnie myślimy o tym komplementarnym podejściu, że mamy informacje z endpointa, właśnie stacji roboczej z sieci i staramy się zintegrować to z jak największą ilością rozwiązań właśnie z Firewallami, z Proxy, znakiem żeby zatrzymać tego hakera. Ewentualnie jeżeli widzimy, że było jakieś połączenie zwrotne i coś zaczęło złego dziać na naszej stacji to żeby można było właśnie odtworzyć przez backup.

-> [Darek] Ale to tak domyślam się, że też ci administratorzy  po stronie tych jednostek pracujących w służbie zdrowia będą potrzebowali pewnie dużej pomocy w tym no bo to jest dużo dodatkowych zadań, dużo nowych systemów no i też wiedza jest potrzebna dodatkowa jak te systemy obsługiwać, tak?

-> [Paweł] Tak, to z tym się zgodzę ale też powiedzmy tak – nie ma dofinansowania na to ale też osoby w podmiotach medycznych mogą skorzystać z usług oferowanych przez operatorów czy integratorów, którzy świadczą usługi typu Security Operations Center jak również wsparcie tak zwane usługi Managed Detection and Response, że mogą wesprzeć właśnie w obsłudze systemów cyberbezpieczeństwa.

-> [Darek] No dobrze a jeżeli chodzi o to kto może złożyć, jaki podmiot może złożyć wniosek o takie dofinansowanie? Każdy w służbie zdrowia czy czy to jakieś są kryteria dodatkowe?

-> [Darek] No to tak jak wspomniałem mogą tylko cztery typy podmiotów medycznych: właśnie leczenie szpitalniane chyba medyczne, opieka udrowiskowa, leczenie rehabilitacyjne, opieka psychiatryczna i leczenie uzależnień ale to też ważne jest to żeby nie przespać powiedzmy teraz tych… Bo dofinansowanie jest do 31 października br. (zmieniono rozporządzeniem! Do 24 listopada 2023r.) i konieczne jest żeby złożyć w odpowiednim terminie tą ankietę tak i termin jest do 1 września br. (Zmieniono rozporządzeniem! Do25 września 2023r.)

-> [Darek] A co się wydarzy jeżeli taki podmiot medyczny dokona innych zakupów, które no nie są związane z tym co teraz wymieniłeś, czy czy będzie mógł jakoś wtedy skorzystać z takiego dofinansowania?

-> [Paweł] Ważne jest żeby poprawnie żeby poprawnie zrobić postępowanie na te wspomniane systemy bezpieczeństwa, które wspomniałem. Po każdym  dofinansowaniu, po każdych zakupach podmiot medyczny musi zrobić audyt na bazie którego zostaną zweryfikowane posiadane systemy zabezpieczeń. To jest raz. Przez niezależną firmę. Kolejna rzecz to na podmiocie medycznym leży przygotowanie specyfikacji systemu na którym jest postępowanie oraz przedstawienie później faktur dowodów na to że dokonał takie zakupy. Jeżeli dojdzie także, że kupi jakąś centralkę telefoniczną czy inne systemy nieobjęte dofinansowaniem no to nie dostanie środków na to i będzie musiał pokryć wydatki z własnej kieszeni, z własnego budżetu.

-> [Darek] Rozumiem, czyli jak to zwykle przy takich dofinansowaniach, takich czy innych to po prostu trzeba to rozliczyć później zgodnie z tymi zasadami, które są w danym programie dofinansowania. No dobrze ale to rozumiem że to też dla niektórych osób wyzwanie i czy mogą w takim przypadku liczyć na jakąś pomoc, można gdzieś zadzwonić, napisać, dowiedzieć się jakie zadać pytanie czy jest taka możliwość?

-> [Paweł] Tak jak najbardziej jest taka możliwość, można właśnie z pytaniami zgłosić się do Centrum e-Zdrowia zarówno w przypadku systemu statystyki ochrony zdrowia gdzie się wypełnia ankietę jeżeli nie można się zalogować, działa ona błędnie to można wysłać mail lub zadzwonić na numer telefoniczny ale również można do nas wysłać maila z doradztwem, konsultacją systemu bezpieczeństwa – czy to obejmuje czy co byśmy zasugerowali ale to później od klienta już w postępowaniu przetargowym zależy jaki jej oferent wygra.

-> [Darek] Rozumiem czyli jakby dostanie pomoc taką merytoryczną natomiast ten kto składa ten wniosek, przygotowuje cały proces jest odpowiedzialny za to żeby właściwe rzeczy zaplanować, zakupić a następnie rozliczyć z tą rozumiem instytucją która to wsparcie finansowe udziela, tak. No dobrze z mojej strony dzisiaj to tyle. Dziękuję Ci bardzo za udział w dzisiejszym spotkaniu. Dla mnie dużo ciekawych rzeczy, mam nadzieję, że dla wszystkich którzy nas słuchają również. Jeżeli macie jakieś pytania do tego co dzisiaj rozmawialiśmy albo jakieś inne dotyczące aspektów czy cyberbezpieczeństwa czy służby zdrowia to oczywiście możecie napisać pod tym odcinkiem. Jeżeli będzie kolejna okazja spotkania się z Pawłem to pytania, które zadacie ja przekażę i będziemy mogli poznać odpowiedzi na te rzeczy, które was nurtują. Na dzisiaj to tyle dziękuję wam za uwagę i do zobaczenia w kolejnym odcinku.

-> [Paweł] Ja też serdecznie dziękuję, do usłyszenia.

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *