Доктор КиберАйболит
Как организовать систему информзащиты в больнице и уберечь данные пациентов от утечек
Медицинские учреждения – цель номер один для злоумышленников, а ущерб от инцидентов, связанных с утечками, уничтожением данных и фальсификацией информации в них, является наиболее критичным. Эксперты поделились своим мнением, как выстроить систему кибербезопасности в организациях здравоохранения.
БОЛЬ ПО ВСЕМУ ПЕРИМЕТРУ
Роскомнадзор с конца февраля зафиксировал свыше 140 утечек персональных данных (ПД) россиян. В том числе была нарушена конфиденциальность медицинских ПД, которые подлежат особой защите, отметили в ведомстве.
В своем выступлении на семинаре «Защита от внутренних угроз и утечек данных в медицинских организациях» ведущий аналитик «СёрчИнформ» Леонид Чуриков подчеркнул, что
утечки данных о пациентах нередко становятся причиной давления или шантажа больных и медперсонала, а также невозможности оказания медицинских услуг и предоставления лекарств, в том числе по курсам лечения, которые нельзя прерывать
Леонид Чуриков, «СёрчИнформ»:
– В глобальном масштабе медицинская информация сегодня ценится в три раза дороже обычных персональных данных, а ущерб от атак на информационные системы медорганизаций в разы выше, чем в других отраслях. Например, свыше 60% медицинских учреждений в США вынуждены платить цифровым вымогателям, чтобы избежать разглашения сведений.
По словам эксперта,
В даркнете стоимость данных одного пациента составляет около 360 долларов, при этом средний финансовый ущерб от утечки в медицинской отрасли превышает 9,2 млн долларов
Ситуацию усугубляет низкая цифровая грамотность медперсонала, а также недостаток или полное отсутствие в таких организациях специалистов по защите данных. При этом отдельная группа охотников за всевозможными медицинскими документами, данными для ритуальных агентств и торговцев биоактивными добавками сложилась еще до цифровизации.
В российской медицине денежные потери еще не так заметны. Пока наблюдается только репутационный ущерб, наносимый коммерческим и государственным учреждениям, обратил внимание Леонид Чуриков.
Для определения подходов к киберзащите Минздрав РФ в начале 2022 года разработал «Концепцию информационной безопасности в сфере здравоохранения». В документе обращается внимание на нехватку специализированного оборудования, квалифицированных кадров и, самое главное, на недостаток понимания важности защиты систем в медучреждениях, рассказал аналитик.
ЛЕЧИТЬСЯ НАДО
Правила работы с данными в здравоохранении были определены еще в 2012 году. Тем не менее существующая «бумажная» информбезопасность не адекватна реальной ситуации. Поэтому отраслевые и федеральные документы, направленные на защиту ПД, все больше детализируются, отметил Леонид Чуриков.
Необходимо помнить, что учреждения здравоохранения отнесены к объектам критической информационной инфраструктуры (КИИ), это предполагает обязательства не просто безопасность хранить и обрабатывать данные, но и своевременно уведомлять регулятора (в течение 24 часов, если инцидент произошел на объекте КИИ, и в течение 3 часов, если он отнесен к значимым).
Прятать голову в песок по принципу «чего не видел, того не было» в любом случае не получится. Поэтому при формировании системы информационной безопасности (ИБ) в медорганизации необходимо:
- Создать ИБ-отдел.
- Провести категорирование и оценку защищенности объекта КИИ.
- Установить сертифицированные отечественные технические средства защиты информации.
- Организовать в случае необходимости расследование инцидентов и взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).
Собственные программные продукты для предотвращения утечек конфиденциальных данных в корпоративной сети или DLP-системы имеют менее 10% медицинских организаций России, более 40% планируют использовать подобные средства киберзащиты, показал опрос, проведенный Академией информационных систем (АИС).
Эти цифры подтверждают: потенциал внедрения DLP-систем в организациях отрасли достаточно большой, отметил заместитель директора АИС Игорь Хайров на семинаре.
Леонид Чуриков обратил внимание, что
главной угрозой информационной безопасности в медструктурах являются собственные сотрудники – их халатность и намеренные действия приводят к потере чувствительной информации
Он перечислил примеры утечек врачебной тайны:
- Информация об умерших и тяжелобольных продается похоронным службам.
- Данные о больных частных клиник передаются конкурентам.
- Сведения из аптек передаются продавцам БАДов.
- Медицинские документы ненадлежащим образом утилизируются или просто выбрасываются.
Помочь в борьбе с этим поможет внедрение систем противодействия утечкам данных. Для этого нужен:
- Аудит файловой системы, безопасное расположение данных.
- Разграничение доступа к ресурсам и контроль за передачей данных.
- Раннее выявление и предотвращение утечек.
- Автоматизация расследования инцидента.
Кроме того, следует учитывать человеческий фактор и рассказывать сотрудникам о безопасной работе с данными, проводить обучающие семинары по цифровой и правовой грамотности, подчеркнул эксперт.
РАБОЧЕЕ И ЛИЧНОЕ
Все больше врачей работают удаленно – не со специально настроенных компьютеров и гаджетов, и это становится причиной многих проблем с кибербезопасностью, заявил на семинаре старший партнер в ГК «Масалович и партнеры» Александр Есаулов. По его словам,
важно четко понимать, что любое устройство, присоединенное к глобальной Сети, является скомпрометированным
При этом работать можно в локальной сети, ведь, если база информации о пациентах в организации хранится на компьютере и обменивается данными с центральным хранилищем по локальной сети, она находится в полной безопасности от любых попыток компрометации извне. Для того чтобы снизить риск заражения устройства вредоносными программами
нужно разделить рабочее и личное: не выходить в Сеть с рабочей машины по личным делам и наоборот – не заходить в локальную сеть с персональных гаджетов
Александр Есаулов, ГК «Масалович и партнеры»:
– Большинство сайтов использует JavaScript, которые автоматически включаются при заходе на сайт, и на оборудование может подгружаться вирусное ПО. Очень быстро оно поразит весь компьютер. Поэтому, если что-то хочется посмотреть в интернете, сделать это лучше с личного устройства.
Распространенные веб-браузеры Google Chrome, Mozilla Firefox и Opera следят за своими пользователями и не обеспечивают должный уровень безопасности, отметил Александр Есаулов. Он порекомендовал использовать те
браузеры, которые не следят за своими клиентами, обладают повышенными настройками безопасности и построены на принципе виртуальной песочницы: Brave Browser и LibreWolf
По его мнению, следующие ключевые действия помогут обеспечить безопасность рабочего места врача:
- Установить DLP-систему, которая будет мониторить все процессы, происходящие в рабочих компьютерах.
- Проверять принципы хранения данных. Очень часто базы, содержащие информацию о пациентах, построены на устаревших технологиях.
Александр Есаулов, ГК «Масалович и партнеры»:
– Зачастую медицинские сведения передаются незащищенным образом через сайты. Google может найти эту ссылку и добавить ее открытый доступ. Сайт организации необходимо проверить на наличие PDF— и DOCX-документов.
ИБ-специалистам нужно следить, чтобы сведения о пациентах не попали в базы данных поисковых систем, обратил внимание юрист.
Тимур Халудоров