18:50, 30 июня 2018Здоровье2451
В формате круглого стола состоялось расширенное заседание РОСЗДРАВНАДЗОРА по Омской области, к участию в котором были приглашены члены Общественного Совета при РЗН, главные врачи учреждений здравоохранения Омской области, представители Министерства здравоохранения Омской области и представители IT-сферы.
В связи с тем, что в число вопросов, вынесенных на обсуждение, вошла и актуальная для медицинских учреждений тема категорирования объектов критической информационной инфраструктуры, одним из основных спикеров мероприятия выступил генеральный директор IT-компании АНТЕ Сергей Зайцев.
Он акцентировал внимание участников круглого стола на некоторых моментах, связанных с исполнением ФЗ от № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», обязывающий руководителей госсектора и коммерческих компаний обеспечить безопасность информационных систем. Безусловно, нововведения касаются и учреждений здравоохранения. Клиники, медицинские центры, больницы и другие учреждения здравоохранения сталкиваются с большим количеством персональных данных как сотрудников, так и клиентов. Многие документы попадают в категорию врачебной тайны.
По мнению экспертов в сфере IT, на сегодняшний день привлекательность медицинских систем для злоумышленников растет, во многом этому способствует рост доступности медицинских услуг через Интернет. Все большее развитие получают системы удаленного консультирования клиентов. Но, к сожалению, при использовании подобных технологий риски, связанные с несоблюдением канонов ИБ, зачастую просто не принимаются во внимание.
- Также важно понимать, готовы ли работники учреждений здравоохранения к атакам с помощью методов социальной инженерии, при условии, что большинство из них даже не слышали, что такое ИБ, - отмечает Сергей Зайцев, генеральный директор IT-компании АНТЕ. - Проблема усугубляется еще и тем, что медицинские учреждения, как правило, имеют разнородную распределенную инфраструктуру, которая создавалась в то время, когда не думали использовании лучших практик в области ИБ.
С появлением законодательной базы в области защиты персональных данных, которая относит данные о состоянии здоровья пациентов к особой категории и предъявляет самые высокие требования к их защите, многие лечебные учреждения стали серьезнее относиться к проблемам ИБ. Но на практике это не защищает медицинские системы от реальных угроз.
- В ходе проведения нами аудита защищенности информационной инфраструктуры одного из омских медучреждений за три дня был получен полный административный доступ ко всем информационным системам, - говорит Артем Тиунов, начальник отдела информационной безопасности АНТЕ. – Специалисты АНТЕ, тестируя системы на проникновение, нашли «лазейки» для получения доступа к медицинской информационной системе и другим данным, таким как лабораторные исследования, бухгалтерская информация об оплате услуг и многим другим. При этом оказалось, что такой доступ можно получить снаружи, сидя на лавочке перед больницей и используя уязвимый Wi-Fi.
Если бы на месте сотрудников были злоумышленники, сюжет можно развить дальше: мошенничество по отношению к пациентам, судебные иски к медицинскому учреждению, санкции со стороны регуляторов, ухудшение репутации клиники и прочее.
Другой вариант развития событий – нарушение работы информационных систем и медоборудования, подключенного к корпоративной сети учреждения.
Как поступать в таких ситуациях? Во-первых, можно купить отдельные средства защиты, которые устраняют конкретные уязвимости информационных систем. Такой вариант может быть сиюминутно эффективным, но не выдерживает критики в долгосрочной перспективе. Часто вышеперечисленные проблемы являются следствием отсутствия не средства защиты, а системы информационной безопасности как таковой. Во-вторых, можно обучить администратора клиники. Наиболее уместным является третий вариант – передача процессов обеспечения защиты информации на аутсорсинг. Плюсы такого подхода очевидны: сокращение расходов на подразделение ИБ; аудит процессов обеспечения ИБ специалистами, имеющими глубокие технические знания в данной области; периодическая оценка эффективности применяемого контроля ИБ, например, в виде тестов на проникновение; предоставление результатов (как техническим специалистам, так и высшему руководству) по заранее определенным метрикам эффективности; разработка подробных технических рекомендаций, которые после утверждения руководством выполняются совместно с IT-подразделением; постоянная консалтинговая поддержка по вопросам обеспечения ИБ.
Что касается категорирования учреждений здравоохранения, то оно предполагает определение категории значимости медучреждений на основе ряда критериев и показателей. Затем медучреждениям предстоит в зависимости от присвоенной категории обеспечить интеграцию в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА) и принять организационные и технические меры по обеспечению информационной безопасности.
По итогам круглого стола всем учреждениям здравоохранения было рекомендовано придерживаться нормативной составляющей по данному вопросу, обращаться за помощью в вышестоящие ведомственные организации, обучать IT-специалистов защите информации или воспользоваться услугами организации, имеющей лицензию ФСТЭК по технической защите информации.
- Теги: Здоровье
Подписывайтесь на наш канал в Яндекс Дзен.
Перейти к другим новостям из категории «Новости здоровья»Читать все новости Омска и Омской области
Сетевое издание - Региональное информационное агентство «СуперОмск» освещает актуальные новости Омска и Омской области. Мы – достоверный источник, оперативно публикующий информацию обо всем важном, что происходит в регионе. На нашем новостном сайте всегда можно найти самые свежие новости политики, бизнеса, криминала, экономики, происшествий, культуры, спорта, науки, здоровья и образования. На SuperOmsk.ru новости Омска сегодня и всегда готовятся лучшими журналистами. У нас публикуются интервью с известными персонами.
Сетевое издание - Региональное информационное агентство «СуперОмск» поможет вам оставаться в курсе последних событий региона без потери времени!