Защита для спасения жизней и здоровья – информационная безопасность в медицинских учреждениях

Здравоохранение – одна из ключевых сфер жизни не только государства, но и каждого его жителя. Кибератака на системы медучреждения может повлечь целый ряд серьезных, и даже катастрофических последствий, от утечки персональных данных сотрудников и пациентов, до выхода из строя оборудования, без которого больного может ждать летальный исход. Поэтому информационной безопасности (ИБ) медицинских организаций уделяется особое внимание. В этой статье я расскажу о наиболее актуальных угрозах для отрасли и как от них защититься.

С чем мы имеем дело?

Медицинские учреждения сегодня сталкиваются с постоянно растущим количеством ИБ-угроз. Медицинские информационные системы содержат чувствительную персональную информацию пациентов, включая историю болезни, результаты лабораторных исследований и данные о лечении.

В настоящий момент наиболее распространенными угрозами остаются:

• атаки вредоносных программ и шифровальщиков-вымогателей. Из-за отсутствия технической поддержки и своевременного обновления, организации часто используют устаревшее оборудование и ПО, содержащие большое количество уязвимостей, что делает их основной целью злоумышленников. К тому же, зачастую медоборудование не имеет даже базовой защиты от кибератак. В результате ИТ-инфраструктура медицинского учреждения может быть полностью парализована вымогательским ПО, вследствие чего диагностическое оборудование окажется неработоспособным, что приведет к невозможности оказания своевременной медицинской помощи;
• угрозы, связанные как со случайными (ошибочными) действиями персонала, так и со злонамеренными. Многие сотрудники могут не иметь достаточных знаний и навыков в области информационной безопасности, вследствие чего для них высок риск стать жертвами фишинговых атак и методов социальной инженерии. Кроме того, из-за недостаточных мер контроля персонал может использовать доступ к конфиденциальной информации в своих личных интересах, например, для получения финансовой выгоды.

Подход к построению системы защиты в медицинских учреждениях зачастую носит фрагментированный характер, ИБ-системы состоят из несвязанных и случайно выбранных элементов, а различные организационные процедуры и средства защиты информации (СЗИ) могут быть разработаны и внедрены отдельно друг от друга без согласованного подхода. Все это также служит причиной возникновения ИБ-инцидентов.

Что требуется по закону?

С ростом использования информационных технологий в медицинских учреждениях, внимание к вопросам ИБ в этой сфере становится все более значимым и важным. Требования по информационной безопасности в медучреждениях регламентируются федеральным законодательством, указами Президента РФ, приказами Роскомнадзора, ФСТЭК России и ФСБ России, а также отраслевыми рекомендациями Министерства здравоохранения России. Полностью описать все требования в рамках одной статьи невозможно, поэтому укажу самые главные.

При построении системы защиты требуется учитывать следующие требования законодательства:

Законодательство о персональных данных и врачебной тайне

Медучреждениям необходимо выполнить требования Федерального закона ФЗ-152, то есть разработать комплект документов по обработке и защите персональных данных (ПДн), уведомить Роскомнадзор об обработке персональных данных, провести моделирование угроз, классифицировать информационные системы ПДн в соответствии с Постановлением Правительства РФ №1119 и выстроить систему защиты персональных данных согласно приказу ФСТЭК России №21, обеспечив их сохранность сертифицированными средствами защиты информации.

Законодательство о критической информационной инфраструктуре

Медицинские организации являются субъектами критической информационной инфраструктуры (КИИ), поэтому им требуется провести категорирование объектов КИИ в соответствии с Постановлением Правительства РФ №127. В случае выявления значимых объектов следует внедрить системы защиты в соответствии с приказом ФСТЭК России №239. Для этой цели можно использовать только российские решения, т.к. использование иностранного ПО на значимых объектах КИИ запрещено Указом Президента РФ №166.

Также отмечу, что согласно Указу Президента РФ №250 на руководителя медучреждения возложена персональная ответственность за обеспечение информационной безопасности. Он обязан создать структурное подразделение, ответственное за решение всех задач и вопросов ИБ, а с 2025 года запрещается использование каких-либо средств защиты информации из недружественных стран.

Законодательство о государственных и медицинских информационных системах

Приказ Минздрава РФ №911н и Постановление Правительства РФ №1236 определяют набор требований к медицинским информационным системам медицинской организации (МИС МО). В частности, прямо запрещается применение иностранного программного обеспечения, а при взаимодействии с государственными информационными системами (ГИС) должны выполняться требования Приказа ФСТЭК России №17, в том числе по аттестации согласно Приказу ФСТЭК № 77.

Как мы видим, государство уделяет большое внимание защите медучреждений от кибератак, стараясь четко определить, как и чем стоит обеспечивать безопасность столь важных организаций. Посмотрим, как все это можно выполнить на практике.

Как защищаться?

Как и в случае с организациями в других сферах, первый вопрос, которым задаются ИБ-специалисты в медицине, это «какое решение выбрать». Перед выбором СЗИ необходимо определить приоритетные потребности медицинского учреждения в области информационной безопасности. В зависимости от классификации, архитектуры и особенностей функционирования систем для выполнения требований законодательства необходимо использовать ряд классов решений:

• средства антивирусной защиты информации, например, Kaspersky Endpoint Security (KES) или Dr.Web, предназначенные для обнаружения и предотвращения угроз, связанных с вредоносным программным обеспечением;
• средства защиты от несанкционированного доступа (СЗИ от НСД), такие как Secret Net Studio, Dallas Lock или сертифицированные версии ОС Linux, которые позволяют контролировать и ограничивать доступ к информационным ресурсам;
• средства управления уязвимостями, они же сканеры vulnerability management (VM) — XSpider, RedCheck, MaxPatrol VM. Они предназначены для обнаружения и предотвращения эксплуатации уязвимостей;
• межсетевые экраны, например, АПКШ «Континент», ViPNet Coordinator HW, обеспечивающие контроль и фильтрацию трафика;
• средства обнаружения и предотвращения вторжений (IPS/IDS), например, ViPNet IDS NS, СОВ «Континент»;
• средства защиты среды виртуализации, например, vGate R2, СЗИ ВИ «Dallas Lock», которые обеспечивают защиту управления виртуальной инфраструктурой и гипервизором;
• средства доверенной загрузки (СДЗ), такие как ПАК «Соболь», СЗИ НСД «Аккорд-АМДЗ», СДЗ «Dallas Lock», предназначенные для защиты информации от несанкционированного доступа на этапе загрузки операционной системы;
• средства криптографической защиты информации (СКЗИ), такие как АПКШ «Континент», VipNet, С-Терра, необходимые для безопасного удаленного доступа к сети, шифрования данных и создания защищенных каналов связи.

Это основной комплект, без которого медучреждение не сможет продолжать легитимную деятельность. Разумеется, ограничиваться только этими решениями не рекомендуется, ведь чем более развита система защиты информации, тем ниже риски реализации кибератак. В качестве дополнительных средств для защиты от актуальных угроз могут рассматриваться продукты для защиты от утечек данных (DLP), средства защиты конечных точек (EDR/XDR), системы защиты от целенаправленных атак (Anti-APT), решения для многофакторной аутентификации (MFA), межсетевые экраны нового поколения (NGFW) и системы управления событиями и инцидентами ИБ (SIEM), которые особенно актуальны для крупных организаций, где объем событий, генерируемый в системах, может быть слишком большим для обработки вручную ИБ-специалистами.

Теперь посмотрим, чем руководствоваться при выборе конкретных продуктов. Здесь необходимо обратить внимание на следующие аспекты:

• наличие сертификатов соответствия требованиям ФСТЭК России и ФСБ России;
• надежность поставщика СЗИ в части сопровождения, своевременного получения обновлений ПО и оказания технической поддержки;
• наличие необходимой функциональности для защиты данных, такой как контроль доступа, мониторинг безопасности и аудит событий;
• наличие у вендора экосистемы продуктов из всех необходимых классов СЗИ, и возможность интеграции и совместимости выбранных средств защиты информации между собой и с уже внедренными системами и оборудованием;
• уровень компетенций специалистов и необходимость их подготовки для эффективного использования выбранных средств защиты информации.

Чего опасаться?

Чтобы избежать фрагментированного подхода к построению системы защиты, важно подходить к этому систематически в отношении всех аспектов, начиная с определения требований безопасности, анализа угроз и рисков, разработки политик и процедур безопасности, выбора и внедрения инструментов защиты, и заканчивая обучением сотрудников и обнаружением инцидентов.

В первую очередь следует выбирать СЗИ с учетом особенностей ИТ-инфраструктуры. Стоит уделить время разработке проектной документации на систему защиты, включающей описание архитектуры, функциональных решений, схемы размещения средств защиты информации и поэтапный план внедрения.

В ходе самого внедрения СЗИ требуется:

• учитывать влияние наложенных средств защиты информации на работоспособность критичных систем и медицинского оборудования, их влияние на непрерывность процессов оказания медицинских услуг. СЗИ должны помогать, а не мешать работе;
• обеспечить подготовку персонала к внедрению. Любые изменения в организации могут быть и часто бывают встречены негативно, поэтому очень важно четко и своевременно информировать персонал, а в период адаптации оказывать ему информационную и техническую поддержку, во избежание негативной ответной реакции;
• обеспечить подготовку помещений и компонентов ИТ-инфраструктуры к внедрению в соответствии с необходимыми системными и техническими требованиями;
• учитывать необходимость комплексной защиты всех устройств сети;
• обеспечить корректную сегментацию сети для контроля сетевого трафика и повышения эффективности работы систем;
• обеспечить своевременное обновление программного обеспечения информационных систем и средств защиты информации;
• запланировать обучение специалистов работе с СЗИ;
• запланировать и провести обучение рядовых пользователей основам компьютерной грамотности и повышение осведомленности в области информационной безопасности. Чем выше уровень киберграмотности сотрудников, тем ниже риски успешной реализации атак, использующих социальную инженерию, например фишинга;
• обеспечить документирование процедур по обеспечению ИБ.

Что будет после?

Предположим, сейчас все в порядке, вы изучили и определили требования, внедрили средства защиты и наладили работу. Чего ожидать в дальнейшем и как к этому готовиться? Количество кибератак, направленных на медицинские учреждения, продолжает расти. В последние годы сфера здравоохранения стала одним из целевых секторов для киберпреступников и вошла в тройку лидеров по количеству разного рода преступлений, уступая только правительственным учреждениям и промышленности, вытеснив при этом из лидеров банки и финансовые организации.

Ситуация осложняется уходом иностранных поставщиков с российского рынка, что приводит к проблемам с получением технической поддержки и обновлений для тех, кто пока не перешел на российские решения.

С развитием технологий медучреждения будут сталкиваться с еще более растущими требованиями в области цифровизации, использования электронных медицинских систем, телемедицины и других инновационных решений. Различные кибератаки, вредоносное программное обеспечение и социальная инженерия будут продолжать развиваться и совершенствоваться в таком же, если не более высоком темпе, как показывает практика последних лет. В связи с этим, медицинским учреждениям необходимо улучшать свои меры защиты и обновлять средства защиты информации, чтобы справляться с новыми угрозами.

Это значит, что внедренные СЗИ требуется поддерживать в актуальном состоянии, ставя в приоритет внеплановые и срочные обновления, которые, как правило, выходят в случае появления особо опасных киберугроз. Помимо этого, требуется четкая работа с персоналом в области поддержания и повышения уровня киберграмотности, т.к. человеческий фактор остается одной из главных причин успешной реализации атак. Так что, задача обеспечения информационной безопасности в медучреждении – довольно комплексная, но точно реализуемая. Если вам понадобится консультация по любому из упомянутых в статье вопросов всегда рады помочь.

Автор: Алена Лукашева, ведущий консультант по информационной безопасности iTPROTECT.