Информационная безопасность в здравоохранении
Цифровизация в сфере здравоохранения повышает эффективность оказания медицинских услуг. Электронный документооборот в медучреждениях облегчает ведение учета, выводит качество обработки и хранения данных на новый уровень, повышает эффективность контроля за оказанными медицинскими услугами, распределением финансовых ресурсов и т. д. Но такая цифровизация имеет и обратную сторону — повышаются риски нарушения информационной безопасности, когда информация из электронных баз данных больниц и клиник используют в корыстных целях. В сфере здравоохранения эти риски особенно велики.
Особенности защиты информации в медицинских учреждениях
Многие данные в медучреждениях попадают в категорию врачебной тайны, здесь же хранятся персональные данные, причем как клиентов, так и сотрудников. Сведения о состоянии здоровья — одни из самых интимных, их разглашение может привести ко многим негативным последствиям.
Если кто-то получит доступ к такой информации и захочет использовать ее для своих личных выгод, он сможет причинить ощутимый вред людям. Например, хакеры могут продавать украденные данные на черном рынке или использовать их в мошеннических целях, а также шантажировать организации, допустившие утечку данных. Поэтому уровень информационной безопасности в каждом медицинском учреждении просто обязан быть самым высоким, защита данных — надежной, а подход к работе с данными, их хранению и обработке должен быть проработанным до самых мелочей.
Технические аспекты защиты информации
Минздрав РФ рекомендует оборудовать организации здравоохранения специальным компьютерным устройством — тонким клиентом. Работа тонкого клиента обеспечивается отдельной операционной системой, и у такого устройства одна задача — обеспечить нужную для работы абонента связь с центром обработки данных. То есть, тонкий клиент — это посредник между центральным узлом обработки данных и монитором пользователя. И в этом случае медицинские сведения защищены лучше — они хранятся не на ПК абонента, а в центре обработки данных, которых защищен надежнее, чем рабочее место сотрудника медучреждения.
Методы защиты информации
Обеспечение безопасности медицинской информации законодательно регламентировано на федеральном уровне. Для защиты сведений применяют следующие методы:
- организационно-управленческие (обозначение рамок и условий работы ресурсов, регламентация системы взаимодействия между пользователями и администратором сети);
- правовые (ответственность за нарушение правил);
- технические (программное и аппаратное обеспечение, которое защищает от несанкционированного доступа и обеспечивает авторизацию пользователей).
В РФ создают Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ). Согласно проекту ЕГИСЗ, сейчас выполняются следующие работы:
- создаются региональные программы модернизации здравоохранения;
- медучреждения оснащают телекоммуникационным и компьютерным оборудованием, а также средствами информационной безопасности;
- вводятся стандарты информационного обмена в пределах системы;
- создается федеральный центр обработки данных.
Для предотвращения нарушений и хищения данных используют программно-аппаратные средства защиты данных, которые имеют сертификацию ФСТЭК, например, такие, как универсальный шлюз безопасности Traffic Inspector Next Generation FSTEC S100. Это UTM-решение, которое предоставляет многоуровневую защиту данных в режиме реального времени. Шлюз включает в себя межсетевой экран, прокси-сервер, выполняет ряд других полезных функций. Traffic Inspector Next Generation защищает от несанкционированного доступа к данным и блокирует нецелевое использование интернета, то есть решает комплекс задач, которые стоят перед любым медучреждением.
Защита информации в клинике пластической хирургии
Утечки информации в учреждениях здравоохранения происходят регулярно — данные воруют и продают, медицинские сведения оказываются в открытом доступе.
Персональные данные, диагнозы, информация о проведенных операциях — все это ценится выше и продается дороже, чем номера кредитных карт и счетов. Стоит ли говорить, что хакеры буквально охотятся за этой информацией и постоянно совершенствуют свое мастерство?
Только пара примеров:
- Сентябрь 2019 года — в открытом доступе оказались снимки КТ и МРТ 24 млн человек, которые хранились в 590 онлайн-архивах. Утечка произошла через старые серверы, вместе со снимками в открытом доступе лежали подробные личные данные — имена и фамилии, номера социального страхования, назначения врачей.
- Август 2019 года — стало известно о похищении 6,8 млн данных о пациентах и врачах из крупной индийской организации здравоохранения. Хакеры продают украденные сведения на черных рынках, уже было обнаружено несколько баз данных стоимостью больше 2000 $.
Конфиденциальная информация из клиник пластической хирургии по очевидным причинам ценится еще выше, чем сведения из районной поликлиники. Масштабы происшествия несложно представить — можно шантажировать и клиентов, и владельцев клиники, продавать эту информацию СМИ. А согласно законодательству, ответственность за распространение закрытых сведений возлагается на руководство медучреждения. Любая утечка информации — это потенциальные судебные иски и требования компенсаций.
Специалисты по информационной безопасности говорят, что из-за использования слабозащищенных систем информация может лежать практически в открытом доступе. Часто это происходит из-за того, что медорганизации не уделяют должного внимания выстраиванию и поддержке системы защиты.
Перспективы информационной безопасности в медицинской отрасли
Учреждения здравоохранения являются операторами персональных данных, следовательно, обеспечение безопасности этих данных — зона ответственности медучреждений. И, конечно же, во время перехода от бумажных носителей к электронным становится очевидно, что не все медицинские организации готовы уделять должное внимание обеспечению ИБ, увеличивать расходы на это. А расходы на обеспечение информационной безопасности необходимы — нужно устанавливать и обслуживать системы защиты информации, обучать персонал, нанимать специалистов по информационной безопасности (ИБ).
Решить существующие проблемы с обеспечением ИБ должна программа ЕГИСЗ. В рамках программы предусмотрено обеспечение медучреждений техникой, наличие всероссийского центра обработки информации, создание норм электронного документооборота между медицинскими организациями. Например, положения ЕГИСЗ регламентируют, какая именно информация из сервиса может быть предоставлена и кому — это должно сократить частоту утечек данных.
TING в сфере здравоохранения
Вот пример того, как внедрение программно-аппаратного комплекса выводит уровень защиты на качественно другой уровень:
Федеральная сеть клинико-диагностических лабораторий «Скайлаб» выбрала для обеспечения безопасности данных универсальный шлюз безопасности Traffic Inspector Next Generation от «Смарт-Софт».
Внедрение
До этого момента в «Скайлаб» уже использовали обычный сетевой экран, но комплекс Traffic Inspector Next Generation — гораздо более функциональный продукт, поэтому переход сопровождался консультациями специалистов «Смарт-Софт». В процессе работы инженеры «Смарт-Софт» обратили внимание на многочисленные попытки подключения к серверу и сообщили об этом администратору сети «Скайлаб». Он заглянул в журнал событий безопасности и обнаружил, что уже два дня неизвестные хакеры пытались взломать систему. Администратор принял меры — переключился на другое интернет-соединение, закрыл порты с помощью Traffic Inspector Next Generation и кибератака остановилась.
Результат
Внедрение Traffic Inspector Next Generation в компании Скайлаб завершилось, это решение для защиты корпоративной сети успешно работает и защищает данные в режиме реального времени, предотвращает несанкционированный доступ к данным. Компания довольна результатами внедрения и качеством защиты, и продолжает осваивать возможности Traffic Inspector Next Generation.
Подпишитесь на рассылку Смарт-Софт
Вышла новая версия Traffic Inspector Next Generation
Видеоинструкция по базовой настройке Traffic Inspector Next Generation
Traffic Inspector Next Generation — российский универсальный шлюз безопасности
