Медицина и информационная безопасность: проблемы и решения

30 Июня 2014
Д.А. Хлапов, консультант компании «Информзащита»
Медицина и информационная безопасность: проблемы и решения

Степень конфиденциальности обрабатываемых в ЛПУ данных крайне высока. Вряд ли кто-то хочет, чтобы сведения о его здоровье появились в Интернете. И вряд ли найдется хоть один пациент, который бы смирился с тем, что ему выписали не то лекарство из-за сбоя в работе системы. Но практика показывает, что в большинстве медорганизаций вопросам информационной безопасности (ИБ) должного внимания не уделяется

Медицина и информационная безопасность: проблемы и решения

 

Степень конфиденциальности обрабатываемых в ЛПУ

данных крайне высока. Вряд ли кто-то хочет, чтобы сведения

о его здоровье появились в Интернете. И вряд ли найдется

хоть один пациент, который бы смирился с тем, что ему выписали

не то лекарство из-за сбоя в работе системы. Но практика показывает, что в большинстве медорганизаций вопросам информационной безопасности (ИБ) должного внимания не уделяется.

 

В данный момент в медицинской сфере наблюдается процесс всеобщей информатизации: переход к технологиям электронных регистратур и электронных медицинских карт, интеграция медицинских систем со всеми процессами деятельности ЛПУ. В различных учреждениях в медицинских системах могут обрабатываться не только персональные данные пациентов, включая их истории болезни, но и другие данные – например, касающиеся коечного фонда, или результаты лабораторных исследований либо статистические данные, на основе которых проводится анализ работы учреждения (список можно продолжить). Выгода от внедрения процессов автоматизации очевидна, но, как известно, запуск новых электронных сервисов приводит к появлению новых уязвимостей и угроз и, как следствие, – новых рисков не только для медицинских учреждений, но и для пациентов.

На сегодняшний день привлекательность медицинских систем для злоумышленников растет, во многом этому способствует рост доступности медицинских услуг через Интернет. Все большее развитие получают системы удаленного консультирования клиентов. Но, к сожалению, при использовании подобных технологий риски, связанные с несоблюдением канонов ИБ, зачастую просто не принимаются во внимание.

Для поддержки работоспособности сложного медицинского оборудования привлекаются подрядчики, которым предоставляют практически неограниченный доступ во внутреннюю сеть медучреждения, что приводит к возникновению дополнительных рисков ИБ.

Также важно понимать, будут ли готовы работники ЛПУ к атакам с помощью методов социальной инженерии, при условии, что большинство из них даже не слышали, что такое ИБ.

Проблема усугубляется еще и тем, что медицинские учреждения, как правило, имеют разнородную распределенную инфраструктуру, которая создавалась в то время, когда не думали использовании лучших практик в области ИБ.

С появлением законодательной базы в области защиты персональных данных, которая относит данные о состоянии здоровья пациентов к особой категории и предъявляет самые высокие требования к их защите, многие ЛПУ стали серьезнее относиться к проблемам ИБ. Но на практике это не защищает медицинские системы от реальных угроз.

Вот пример: в ходе проведения нами аудита защищенности информационной инфраструктуры медучреждения за три дня был получен полный административный доступ ко всем информационным системам клиники. Специалисты компании, тестируя системы на проникновение, нашли «лазейки» для получения доступа к медицинской информационной системе и всем данным лабораторных исследований, диагнозам, бухгалтерской информации об оплате услуг, выписанным рецептам, назначенным курсам лечения и многому другому. При этом оказалось, что такой доступ можно получить снаружи, сидя на лавочке перед клиникой и используя уязвимый Wi-Fi.

Если бы на месте наших экспертов были злоумышленники, все эти данные можно было бы найти в открытых источниках, они могли бы попасть к преступным группировкам. Сюжет можно развить дальше: мошенничество по отношению к пациентам, судебные иски к медицинскому учреждению, санкции со стороны регуляторов, ухудшение репутации клиники и прочее.

Другой вариант развития событий – нарушение работы информационных систем и медоборудования, подключенного к корпоративной сети учреждения. Говорить о получении контроля над системами жизнеобеспечения больных пока не приходится: IT в российском здравоохранении еще не развиты в такой степени. Ключевое слово – пока. Тенденции развития IT в медицине показывают, что глобальная информатизация скоро придет и в эту сферу.

Как поступить в такой ситуации? Во-первых, можно купить отдельные средства защиты, которые устраняют конкретные уязвимости информационных систем. Такой вариант может быть сиюминутно эффективным, но не выдерживает никакой критики в средне- и долгосрочной перспективе. Часто вышеперечисленные проблемы являются следствием отсутствия не средства защиты, а системы информационной безопасности как таковой.

Во-вторых,  можно создать службу ИБ в клинике. Этот вариант не раз подробно описан специалистами, и эффект от его применения на практике не вызывает сомнений. Но когда доходит до дела, чаще всего оказывается, что отсутствуют ресурсы для его реализации.

Поэтому наиболее уместным является вариант номер три – передача процессов обеспечения защиты информации на аутсорсинг. Плюсы такого подхода очевидны:

- сокращение расходов на подразделение ИБ;

- аудит процессов обеспечения ИБ специалистами, имеющими глубокие технические знания в данной области;

- периодическая оценка эффективности применяемого контроля ИБ, например, в виде тестов на проникновение;

- предоставление результатов (как техническим специалистам, так и высшему руководству) по заранее определенным метрикам эффективности;

- разработка подробных технических рекомендаций, которые после утверждения руководством выполняются совместно с IT-подразделением;

- постоянная консалтинговая поддержка по вопросам обеспечения ИБ.

Для того чтобы сомнений в необходимости выделения средст в бюджета на данную статью расходов ЛПУ не осталось, стоит разово провести независимый аудит ИБ. Обнаруженные в его ходе уязвимости станут лучшим ответом на то, развивается ли ИБ параллельно с развитием медицинских услуг или находится в арьергарде.