Czego dowiesz się z tego artykułu?

  • Jak potraktować ankietę CSIRT CeZ jako pierwszy test gotowości KSC, a nie zadanie wyłącznie dla informatyka.
  • Co zebrać przed formularzem: status podmiotu, osobę kontaktową, systemy, dostawców i minimalną dokumentację.
  • Kiedy warto wypełnić ankietę od razu, a kiedy najpierw uporządkować odpowiedzialność w placówce.

Ankieta CSIRT CeZ nie jest kolejnym formularzem, który manager może odesłać do „kogoś od komputerów”. W polskiej przychodni dotyka ona kwalifikacji pod KSC, osoby kontaktowej ds. cyberbezpieczeństwa i tego, czy placówka ma podstawowe informacje o systemach, dostawcach oraz procedurach.

Nie traktowałbym jej jak egzaminu, tylko jak szybki przegląd gotowości. Jeśli odpowiedzi trzeba dopiero odtwarzać z maili, umów i pamięci recepcji, to problemem nie jest sama ankieta. Problemem jest brak właściciela bezpieczeństwa i brak jednego miejsca z decyzjami, zanim pojawi się incydent albo pytanie od dostawcy.

Najważniejsze

  • Ankieta samooceny pomaga sprawdzić, czy KSC może dotyczyć placówki i czy bliżej jej do podmiotu kluczowego, czy ważnego.
  • Pierwszy wynik dla managera to nie „zielone światło”, tylko lista braków do domknięcia: kontakt, systemy, dostawcy, procedura incydentu, dokumenty.
  • Osoba kontaktowa do CSIRT CeZ powinna znać organizację i umieć koordynować działania, nawet jeśli technicznie wspiera ją zewnętrzny dostawca.
  • AI może pomóc uporządkować wewnętrzną listę pytań, ale człowiek zatwierdza kwalifikację, zakres danych i kontakt z CSIRT CeZ.

Karta decyzji przed ankietą

To ma sens, gdy placówka ma już podstawową mapę systemów: EDM, grafik, pocztę, telefonię, stronę, formularze i dostawców utrzymania. Wtedy ankieta CSIRT CeZ pomaga sprawdzić luki, a nie rozpoczyna gorączkowe szukanie informacji po całej organizacji.

To nie ma sensu, gdy nikt nie wie, kto odpowiada za cyberbezpieczeństwo, kto odbiera ostrzeżenia i kto zatwierdza zgłoszenie incydentu. W takiej sytuacji ja bym najpierw wyznaczył właściciela decyzji i osobę kontaktową, a dopiero potem wypełniał formularz.

Pytanie manageraCo ustalić przed ankietąKto potwierdza
Czy KSC może nas dotyczyć?zakres świadczeń, wielkość organizacji, rola w systemie ochrony zdrowiawłaściciel lub zarząd z prawnikiem
Jaki mamy kontakt bezpieczeństwa?imię, skrzynka, telefon, zastępstwo, ścieżka eskalacjimanager operacyjny
Jakie systemy obsługują pacjentów?EDM, grafik, poczta, telefonia, formularze, kopie zapasowedostawca IT lub administrator
Co zrobimy przy incydencie?procedura zgłoszenia, logi, załączniki, decyzja o ciągłości świadczeńmanager, IOD i dostawca techniczny

Co zebrać, zanim wejdziesz do formularza

Najbardziej praktyczny pakiet startowy mieści się w jednej tabeli roboczej. Wpisz system, dostawcę, właściciela po stronie placówki, kanał wsparcia, miejsce przechowywania logów i informację, czy system przetwarza dane pacjentów. Nie chodzi o perfekcyjną inwentaryzację, tylko o to, żeby ankieta nie była pierwszym momentem, w którym placówka odkrywa zależności.

Drugim pakietem są dokumenty: procedura obsługi incydentu, zasady dostępu do kont, opis kopii zapasowych, kontakt do IOD i lista osób upoważnionych do rozmowy z dostawcami. Jeżeli placówka korzysta z narzędzi AI przy mailach, formularzach albo analizie zgłoszeń, warto od razu wrócić do tematu cyberbezpieczeństwa AI w placówce, bo automatyzacja nie może omijać zasad danych pacjenta.

Mała przychodnia: przykład bez danych pacjenta

Wyobraźmy sobie prywatną przychodnię specjalistyczną w Polsce. Kierownik rejestracji wie, kto obsługuje grafik, ale nie wie, kto ma logi z poczty. Właściciel ma umowę z dostawcą EDM, ale nie ma wpisanej osoby kontaktowej do zdarzeń bezpieczeństwa. IOD zna procedurę naruszenia danych, ale nie uczestniczy w rozmowie o KSC. To nie jest zła wola zespołu, tylko typowy rozjazd odpowiedzialności.

W takim układzie ankieta CSIRT CeZ może być bardzo pożyteczna, jeśli poprzedzi ją krótka narada: właściciel, manager, IOD, rejestracja i dostawca IT. AI może przygotować pustą kartę pytań albo uporządkować notatki bez danych pacjentów, ale human-in-the-loop zostaje obowiązkowy: człowiek decyduje, co wolno wpisać, co trzeba sprawdzić prawnie i kto bierze odpowiedzialność za odpowiedź.

Jeżeli później okaże się, że placówka musi przygotować procedurę zgłoszenia zdarzenia, dobrym uzupełnieniem jest plan zgłoszenia incydentu do CSIRT CeZ. Tam pracujesz nad reakcją po zdarzeniu; tutaj nad tym, czy w ogóle masz kontakt, dane wejściowe i minimalny porządek, zanim zdarzenie przerwie pracę recepcji.

Pierwszy ruch po lekturze

Pierwszy krok: sugeruję zacząć od 30 minut i jednej osoby odpowiedzialnej. Niech manager wpisze systemy, dostawców, osobę kontaktową, zastępstwo i brakujące dokumenty. Potem można wejść w ankietę CSIRT CeZ z konkretem, a nie z nadzieją, że formularz sam wyjaśni organizację placówki.

Na koniec zostaw jedną prostą metrykę: czy po spotkaniu placówka ma komplet odpowiedzi do ankiety oraz wskazany kontakt bezpieczeństwa. Jeśli nie, to jest pierwszy backlog do zamknięcia. Nie obiecuj pełnej zgodności po jednym formularzu. Obiecaj zespołowi coś rozsądniejszego: mniej chaosu, gdy pojawi się pytanie o KSC albo cyberincydent.

Źródła