Доктор КиберАйболит

Как организовать систему информзащиты в больнице и уберечь данные пациентов от утечек

Медицинские учреждения – цель номер один для злоумышленников, а ущерб от инцидентов, связанных с утечками, уничтожением данных и фальсификацией информации в них, является наиболее критичным. Эксперты поделились своим мнением, как выстроить систему кибербезопасности в организациях здравоохранения.

БОЛЬ ПО ВСЕМУ ПЕРИМЕТРУ

Роскомнадзор с конца февраля зафиксировал свыше 140 утечек персональных данных (ПД) россиян. В том числе была нарушена конфиденциальность медицинских ПД, которые подлежат особой защите, отметили в ведомстве.

В своем выступлении на семинаре «Защита от внутренних угроз и утечек данных в медицинских организациях» ведущий аналитик «СёрчИнформ» Леонид Чуриков подчеркнул, что

утечки данных о пациентах нередко становятся причиной давления или шантажа больных и медперсонала, а также невозможности оказания медицинских услуг и предоставления лекарств, в том числе по курсам лечения, которые нельзя прерывать

Леонид Чуриков, «СёрчИнформ»:

– В глобальном масштабе медицинская информация сегодня ценится в три раза дороже обычных персональных данных, а ущерб от атак на информационные системы медорганизаций в разы выше, чем в других отраслях. Например, свыше 60% медицинских учреждений в США вынуждены платить цифровым вымогателям, чтобы избежать разглашения сведений.

По словам эксперта,

В даркнете стоимость данных одного пациента составляет около 360 долларов, при этом средний финансовый ущерб от утечки в медицинской отрасли превышает 9,2 млн долларов

Ситуацию усугубляет низкая цифровая грамотность медперсонала, а также недостаток или полное отсутствие в таких организациях специалистов по защите данных. При этом отдельная группа охотников за всевозможными медицинскими документами, данными для ритуальных агентств и торговцев биоактивными добавками сложилась еще до цифровизации.

В российской медицине денежные потери еще не так заметны. Пока наблюдается только репутационный ущерб, наносимый коммерческим и государственным учреждениям, обратил внимание Леонид Чуриков.

Для определения подходов к киберзащите Минздрав РФ в начале 2022 года разработал «Концепцию информационной безопасности в сфере здравоохранения». В документе обращается внимание на нехватку специализированного оборудования, квалифицированных кадров и, самое главное, на недостаток понимания важности защиты систем в медучреждениях, рассказал аналитик.

ЛЕЧИТЬСЯ НАДО

Правила работы с данными в здравоохранении были определены еще в 2012 году. Тем не менее существующая «бумажная» информбезопасность не адекватна реальной ситуации. Поэтому отраслевые и федеральные документы, направленные на защиту ПД, все больше детализируются, отметил Леонид Чуриков.

Необходимо помнить, что учреждения здравоохранения отнесены к объектам критической информационной инфраструктуры (КИИ), это предполагает обязательства не просто безопасность хранить и обрабатывать данные, но и своевременно уведомлять регулятора (в течение 24 часов, если инцидент произошел на объекте КИИ, и в течение 3 часов, если он отнесен к значимым).

Прятать голову в песок по принципу «чего не видел, того не было» в любом случае не получится. Поэтому при формировании системы информационной безопасности (ИБ) в медорганизации необходимо:

• Создать ИБ-отдел.
• Провести категорирование и оценку защищенности объекта КИИ.
• Установить сертифицированные отечественные технические средства защиты информации.
• Организовать в случае необходимости расследование инцидентов и взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).

Собственные программные продукты для предотвращения утечек конфиденциальных данных в корпоративной сети или DLP-системы имеют менее 10% медицинских организаций России, более 40% планируют использовать подобные средства киберзащиты, показал опрос, проведенный Академией информационных систем (АИС).

Эти цифры подтверждают: потенциал внедрения DLP-систем в организациях отрасли достаточно большой, отметил заместитель директора АИС Игорь Хайров на семинаре.

Леонид Чуриков обратил внимание, что

главной угрозой информационной безопасности в медструктурах являются собственные сотрудники – их халатность и намеренные действия приводят к потере чувствительной информации

Он перечислил примеры утечек врачебной тайны:

• Информация об умерших и тяжелобольных продается похоронным службам.
• Данные о больных частных клиник передаются конкурентам.
• Сведения из аптек передаются продавцам БАДов.
• Медицинские документы ненадлежащим образом утилизируются или просто выбрасываются.

Помочь в борьбе с этим поможет внедрение систем противодействия утечкам данных. Для этого нужен:

• Аудит файловой системы, безопасное расположение данных.
• Разграничение доступа к ресурсам и контроль за передачей данных.
• Раннее выявление и предотвращение утечек.
• Автоматизация расследования инцидента.

Кроме того, следует учитывать человеческий фактор и рассказывать сотрудникам о безопасной работе с данными, проводить обучающие семинары по цифровой и правовой грамотности, подчеркнул эксперт.

РАБОЧЕЕ И ЛИЧНОЕ

Все больше врачей работают удаленно – не со специально настроенных компьютеров и гаджетов, и это становится причиной многих проблем с кибербезопасностью, заявил на семинаре старший партнер в ГК «Масалович и партнеры» Александр Есаулов. По его словам,

важно четко понимать, что любое устройство, присоединенное к глобальной Сети, является скомпрометированным

При этом работать можно в локальной сети, ведь, если база информации о пациентах в организации хранится на компьютере и обменивается данными с центральным хранилищем по локальной сети, она находится в полной безопасности от любых попыток компрометации извне. Для того чтобы снизить риск заражения устройства вредоносными программами

нужно разделить рабочее и личное: не выходить в Сеть с рабочей машины по личным делам и наоборот – не заходить в локальную сеть с персональных гаджетов

Александр Есаулов, ГК «Масалович и партнеры»:

– Большинство сайтов использует JavaScript, которые автоматически включаются при заходе на сайт, и на оборудование может подгружаться вирусное ПО. Очень быстро оно поразит весь компьютер. Поэтому, если что-то хочется посмотреть в интернете, сделать это лучше с личного устройства.

Распространенные веб-браузеры Google Chrome, Mozilla Firefox и Opera следят за своими пользователями и не обеспечивают должный уровень безопасности, отметил Александр Есаулов. Он порекомендовал использовать те

браузеры, которые не следят за своими клиентами, обладают повышенными настройками безопасности и построены на принципе виртуальной песочницы: Brave Browser и LibreWolf

По его мнению, следующие ключевые действия помогут обеспечить безопасность рабочего места врача:

• Установить DLP-систему, которая будет мониторить все процессы, происходящие в рабочих компьютерах.
• Проверять принципы хранения данных. Очень часто базы, содержащие информацию о пациентах, построены на устаревших технологиях.

Александр Есаулов, ГК «Масалович и партнеры»:

– Зачастую медицинские сведения передаются незащищенным образом через сайты. Google может найти эту ссылку и добавить ее открытый доступ. Сайт организации необходимо проверить на наличие PDF— и DOCX-документов.

ИБ-специалистам нужно следить, чтобы сведения о пациентах не попали в базы данных поисковых систем, обратил внимание юрист.

Тимур Халудоров