Как защитить историю болезни пациентов от мошенников?

В формате круглого стола состоялось расширенное заседание РОСЗДРАВНАДЗОРА по Омской области, к участию в котором были приглашены члены Общественного Совета при РЗН, главные врачи учреждений здравоохранения Омской области, представители Министерства здравоохранения Омской области и представители IT-сферы.

В связи с тем, что в число вопросов, вынесенных на обсуждение, вошла и актуальная для медицинских учреждений тема категорирования объектов критической информационной инфраструктуры, одним из основных спикеров мероприятия выступил генеральный директор IT-компании АНТЕ Сергей Зайцев.

Он акцентировал внимание участников круглого стола на некоторых моментах, связанных с исполнением ФЗ от № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», обязывающий руководителей госсектора и коммерческих компаний обеспечить безопасность информационных систем. Безусловно, нововведения касаются и учреждений здравоохранения. Клиники, медицинские центры, больницы и другие учреждения здравоохранения сталкиваются с большим количеством персональных данных как сотрудников, так и клиентов. Многие документы попадают в категорию врачебной тайны.

По мнению экспертов в сфере IT, на сегодняшний день привлекательность медицинских систем для злоумышленников растет, во многом этому способствует рост доступности медицинских услуг через Интернет. Все большее развитие получают системы удаленного консультирования клиентов. Но, к сожалению, при использовании подобных технологий риски, связанные с несоблюдением канонов ИБ, зачастую просто не принимаются во внимание.

- Также важно понимать, готовы ли работники учреждений здравоохранения к атакам с помощью методов социальной инженерии, при условии, что большинство из них даже не слышали, что такое ИБ, - отмечает Сергей Зайцев, генеральный директор IT-компании АНТЕ. - Проблема усугубляется еще и тем, что медицинские учреждения, как правило, имеют разнородную распределенную инфраструктуру, которая создавалась в то время, когда не думали использовании лучших практик в области ИБ.

С появлением законодательной базы в области защиты персональных данных, которая относит данные о состоянии здоровья пациентов к особой категории и предъявляет самые высокие требования к их защите, многие лечебные учреждения стали серьезнее относиться к проблемам ИБ. Но на практике это не защищает медицинские системы от реальных угроз.

- В ходе проведения нами аудита защищенности информационной инфраструктуры одного из омских медучреждений за три дня был получен полный административный доступ ко всем информационным системам, - говорит Артем Тиунов, начальник отдела информационной безопасности АНТЕ. – Специалисты АНТЕ, тестируя системы на проникновение, нашли «лазейки» для получения доступа к медицинской информационной системе и другим данным, таким как лабораторные исследования, бухгалтерская информация об оплате услуг и многим другим. При этом оказалось, что такой доступ можно получить снаружи, сидя на лавочке перед больницей и используя уязвимый Wi-Fi.

Если бы на месте сотрудников были злоумышленники, сюжет можно развить дальше: мошенничество по отношению к пациентам, судебные иски к медицинскому учреждению, санкции со стороны регуляторов, ухудшение репутации клиники и прочее.

Другой вариант развития событий – нарушение работы информационных систем и медоборудования, подключенного к корпоративной сети учреждения.

Как поступать в таких ситуациях? Во-первых, можно купить отдельные средства защиты, которые устраняют конкретные уязвимости информационных систем. Такой вариант может быть сиюминутно эффективным, но не выдерживает критики в долгосрочной перспективе. Часто вышеперечисленные проблемы являются следствием отсутствия не средства защиты, а системы информационной безопасности как таковой. Во-вторых, можно обучить администратора клиники. Наиболее уместным является третий вариант – передача процессов обеспечения защиты информации на аутсорсинг. Плюсы такого подхода очевидны:  сокращение расходов на подразделение ИБ;  аудит процессов обеспечения ИБ специалистами, имеющими глубокие технические знания в данной области; периодическая оценка эффективности применяемого контроля ИБ, например, в виде тестов на проникновение;  предоставление результатов (как техническим специалистам, так и высшему руководству) по заранее определенным метрикам эффективности; разработка подробных технических рекомендаций, которые после утверждения руководством выполняются совместно с IT-подразделением; постоянная консалтинговая поддержка по вопросам обеспечения ИБ.

Что касается категорирования учреждений здравоохранения, то оно предполагает определение категории значимости медучреждений на основе ряда критериев и показателей. Затем медучреждениям предстоит  в зависимости от присвоенной категории обеспечить интеграцию в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА) и принять организационные и технические меры по обеспечению информационной безопасности.

По итогам круглого стола всем учреждениям здравоохранения было рекомендовано придерживаться нормативной составляющей по данному вопросу, обращаться за помощью в вышестоящие ведомственные организации, обучать IT-специалистов защите информации или воспользоваться услугами организации, имеющей лицензию ФСТЭК по технической защите информации.