Rekomendacje dotyczące wykonywania kopii zapasowych

W związku z atakami hakerskimi na podmioty lecznicze, resort zdrowia rekomenduje zabezpieczenie kopii zapasowych danych na zewnętrznych nośnikach danych odłączonych od sieci komputerowej.

Hakerzy stosują złośliwe oprogramowanie ransomware, by zaszyfrować i zablokować dostęp do danych, systemów informatycznych i zażądać okupu za ich odszyfrowanie. Systemy zapewniające cyberbezpieczeństwo stanowią linię obrony przed tego typu atakami, ale w przypadku przełamania zabezpieczeń i udanego ataku ostatnią formą ochrony  jest posiadanie skutecznej kopii zapasowej, umożliwiającej odtworzenie danych i systemów.

Za funkcjonowanie w podmiocie wykonującym działalność leczniczą prawidłowego systemu kopii zapasowej odpowiada kierownik podmiotu. Dlatego musi on zweryfikować, czy jego służby IT:

1. wykonują codzienne kopie zapasowe danych medycznych, niemedycznych i konfiguracji systemów, (jeżeli świadczenia są udzielane w dni wolne od pracy także w te dni),
2. wynoszą codziennie z serwerowni wykonane kopie zapasowe do innego budynku oraz odłączają od dostępu do sieci i internetu,
3. testują regularnie kopie zapasowe i na ich podstawie odtwarzają systemy.

Rekomendujemy, aby kopie zapasowe były wykonywane na taśmach magnetycznych (np. LTO, DDS, RDX, inne), odpornych na działanie ransomware. Doraźną alternatywę mogą stanowić dyski twarde, które po wykonaniu kopii zapasowej będą odłączane od serwerów. Od wykonania powyższych czynności zależy bezpieczeństwo systemu świadczeniodawcy.

Wszystkie SPZOZ oraz spółki muszą wdrożyć systemy zarządzania bezpieczeństwem informacji (SZBI), w tym procedury wykonywania i testowania kopi zapasowych (§ 20, Krajowe Ramy Interoperacyjności (KRI) z 12 kwietnia 2012 r.). Audyt KRI powinien się odbywać nie rzadziej niż raz w roku.

Jeżeli została zidentyfikowana jakakolwiek słabość systemów kopii zapasowych, należy wykonać:

- działania doraźne:

• zidentyfikować wszystkie bazy danych, repozytoria plików oraz pliki konfiguracyjne aplikacji,
• robić regularnie dla wszystkich baz danych codzienne kopie zapasowe, zapisywane na zewnętrznych dyskach (np. dyskach USB) - alternatywę może stanowić zapisywanie kopii na płytach DVD,
• po wykonaniu kopii zapasowych dyski lub inne nośniki odłączyć  od serwerów i codziennie wynieść do innego budynku,
• do wykonywania kopii zapasowych wykorzystać kilka dysków lub innych nośników, aby zachować rotację i możliwość zachowania kopii zapasowej co najmniej z przed tygodnia,
• wykonane kopie zapasowe regularnie testować i próbnie odtwarzać poszczególne systemy;

- działania docelowe:

• zidentyfikować wszystkie bazy danych, repozytoria plików oraz pliki konfiguracyjne aplikacji, ewentualnie całych obrazów maszyn wirtualnych,
• wykonywać codziennie kopie zapasowe na taśmach magnetycznych lub bibliotekach taśmowych,
• wyciągnąć codziennie taśmy  z serwera i wynieść z serwerowni do innego budynku, a jeżeli podmiot dysponuje jednym budynkiem to do oddalonej części budynku,
• wykorzystać  do wykonywania kopii zapasowych kilka taśm, aby zachować rotację i możliwość zachowania kopii zapasowej co najmniej sprzed tygodnia,
• testować regularnie wykonane kopie zapasowe i próbnie odtwarzać poszczególne systemy. Podmiot korzysta w miarę swoich możliwości z:

• • taśm,
  • biblioteki taśmowej - powinna się ona znajdować w innym budynku niż serwerownia podstawowa, a jeżeli podmiot dysponuje jednym budynkiem to w do oddalonej części budynku,
  • systemu wykonywania kopii zapasowych, który musi być skonfigurowany przez inżynierów posiadających stosowne kompetencji, gwarantujące wykonanie skutecznych kopii zapasowych oraz konfigurację separacji sieciowej.

Specyfikację baz danych oraz plików konfiguracyjnych wymagających wykonania kopii zapasowej powinien przekazać dostawca oprogramowania.

Dostawcy oprogramowania medycznego powinni przekazać świadczeniodawcom specyfikacje baz danych, plików konfiguracyjnych, które muszą być objęte systemem kopii zapasowej. Specyfikacja musi w sposób jasny i przejrzysty wskazywać wszystkie pliki jakie należy archiwizować, aby wykonać właściwą i pełną kopię bezpieczeństwa systemu.