Информационная безопасность в здравоохранении

138

Цифровизация в сфере здравоохранения повышает эффективность оказания медицинских услуг. Электронный документооборот в медучреждениях облегчает ведение учета, выводит качество обработки и хранения данных на новый уровень, повышает эффективность контроля за оказанными медицинскими услугами, распределением финансовых ресурсов и т. д. Но такая цифровизация имеет и обратную сторону — повышаются риски нарушения информационной безопасности, когда информация из электронных баз данных больниц и клиник используют в корыстных целях. В сфере здравоохранения эти риски особенно велики.

Особенности защиты информации в медицинских учреждениях

Многие данные в медучреждениях попадают в категорию врачебной тайны, здесь же хранятся персональные данные, причем как клиентов, так и сотрудников. Сведения о состоянии здоровья — одни из самых интимных, их разглашение может привести ко многим негативным последствиям.

Если кто-то получит доступ к такой информации и захочет использовать ее для своих личных выгод, он сможет причинить ощутимый вред людям. Например, хакеры могут продавать украденные данные на черном рынке или использовать их в мошеннических целях, а также шантажировать организации, допустившие утечку данных. Поэтому уровень информационной безопасности в каждом медицинском учреждении просто обязан быть самым высоким, защита данных — надежной, а подход к работе с данными, их хранению и обработке должен быть проработанным до самых мелочей.

Технические аспекты защиты информации

Универсального метода, который обеспечит 100% защиту информации, не существует. Для того чтобы обезопасить информационную систему, обычно используется комплекс методов и программ, создаются регламенты по работе с данными для персонала — и чем продуманнее эти меры, тем выше вероятность сохранения данных в неприкосновенности.

Минздрав РФ рекомендует оборудовать организации здравоохранения специальным компьютерным устройством — тонким клиентом. Работа тонкого клиента обеспечивается отдельной операционной системой, и у такого устройства одна задача — обеспечить нужную для работы абонента связь с центром обработки данных. То есть, тонкий клиент — это посредник между центральным узлом обработки данных и монитором пользователя. И в этом случае медицинские сведения защищены лучше — они хранятся не на ПК абонента, а в центре обработки данных, которых защищен надежнее, чем рабочее место сотрудника медучреждения.

Методы защиты информации

Обеспечение безопасности медицинской информации законодательно регламентировано на федеральном уровне. Для защиты сведений применяют следующие методы:

  • организационно-управленческие (обозначение рамок и условий работы ресурсов, регламентация системы взаимодействия между пользователями и администратором сети);
  • правовые (ответственность за нарушение правил);
  • технические (программное и аппаратное обеспечение, которое защищает от несанкционированного доступа и обеспечивает авторизацию пользователей).

В РФ создают Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ). Согласно проекту ЕГИСЗ, сейчас выполняются следующие работы:

  • создаются региональные программы модернизации здравоохранения;
  • медучреждения оснащают телекоммуникационным и компьютерным оборудованием, а также средствами информационной безопасности;
  • вводятся стандарты информационного обмена в пределах системы;
  • создается федеральный центр обработки данных.

Для предотвращения нарушений и хищения данных используют программно-аппаратные средства защиты данных, которые имеют сертификацию ФСТЭК, например, такие, как универсальный шлюз безопасности Traffic Inspector Next Generation FSTEC S100. Это UTM-решение, которое предоставляет многоуровневую защиту данных в режиме реального времени. Шлюз включает в себя межсетевой экран, прокси-сервер, выполняет ряд других полезных функций. Traffic Inspector Next Generation защищает от несанкционированного доступа к данным и блокирует нецелевое использование интернета, то есть решает комплекс задач, которые стоят перед любым медучреждением.

Защита информации в клинике пластической хирургии

Утечки информации в учреждениях здравоохранения происходят регулярно — данные воруют и продают, медицинские сведения оказываются в открытом доступе.

Персональные данные, диагнозы, информация о проведенных операциях — все это ценится выше и продается дороже, чем номера кредитных карт и счетов. Стоит ли говорить, что хакеры буквально охотятся за этой информацией и постоянно совершенствуют свое мастерство?

Только пара примеров:

  • Сентябрь 2019 года — в открытом доступе оказались снимки КТ и МРТ 24 млн человек, которые хранились в 590 онлайн-архивах. Утечка произошла через старые серверы, вместе со снимками в открытом доступе лежали подробные личные данные — имена и фамилии, номера социального страхования, назначения врачей.
  • Август 2019 года — стало известно о похищении 6,8 млн данных о пациентах и врачах из крупной индийской организации здравоохранения. Хакеры продают украденные сведения на черных рынках, уже было обнаружено несколько баз данных стоимостью больше 2000 $.

Конфиденциальная информация из клиник пластической хирургии по очевидным причинам ценится еще выше, чем сведения из районной поликлиники. Масштабы происшествия несложно представить — можно шантажировать и клиентов, и владельцев клиники, продавать эту информацию СМИ. А согласно законодательству, ответственность за распространение закрытых сведений возлагается на руководство медучреждения. Любая утечка информации — это потенциальные судебные иски и требования компенсаций.

Специалисты по информационной безопасности говорят, что из-за использования слабозащищенных систем информация может лежать практически в открытом доступе. Часто это происходит из-за того, что медорганизации не уделяют должного внимания выстраиванию и поддержке системы защиты.

Перспективы информационной безопасности в медицинской отрасли

Учреждения здравоохранения являются операторами персональных данных, следовательно, обеспечение безопасности этих данных — зона ответственности медучреждений. И, конечно же, во время перехода от бумажных носителей к электронным становится очевидно, что не все медицинские организации готовы уделять должное внимание обеспечению ИБ, увеличивать расходы на это. А расходы на обеспечение информационной безопасности необходимы — нужно устанавливать и обслуживать системы защиты информации, обучать персонал, нанимать специалистов по информационной безопасности (ИБ).

Решить существующие проблемы с обеспечением ИБ должна программа ЕГИСЗ. В рамках программы предусмотрено обеспечение медучреждений техникой, наличие всероссийского центра обработки информации, создание норм электронного документооборота между медицинскими организациями. Например, положения ЕГИСЗ регламентируют, какая именно информация из сервиса может быть предоставлена и кому — это должно сократить частоту утечек данных.

TING в сфере здравоохранения

Вот пример того, как внедрение программно-аппаратного комплекса выводит уровень защиты на качественно другой уровень:

Федеральная сеть клинико-диагностических лабораторий «Скайлаб» выбрала для обеспечения безопасности данных универсальный шлюз безопасности Traffic Inspector Next Generation от «Смарт-Софт».

Внедрение

До этого момента в «Скайлаб» уже использовали обычный сетевой экран, но комплекс Traffic Inspector Next Generation — гораздо более функциональный продукт, поэтому переход сопровождался консультациями специалистов «Смарт-Софт». В процессе работы инженеры «Смарт-Софт» обратили внимание на многочисленные попытки подключения к серверу и сообщили об этом администратору сети «Скайлаб». Он заглянул в журнал событий безопасности и обнаружил, что уже два дня неизвестные хакеры пытались взломать систему. Администратор принял меры — переключился на другое интернет-соединение, закрыл порты с помощью Traffic Inspector Next Generation и кибератака остановилась.

Результат

Внедрение Traffic Inspector Next Generation в компании Скайлаб завершилось, это решение для защиты корпоративной сети успешно работает и защищает данные в режиме реального времени, предотвращает несанкционированный доступ к данным. Компания довольна результатами внедрения и качеством защиты, и продолжает осваивать возможности Traffic Inspector Next Generation.

Назад
Далее
Рекомендуем почитать Смотреть все

Универсальный шлюз безопасности Traffic Inspector Next Generation: от S100 до Enterprise

Теги: Traffic Inspector Next Generation, универсальный шлюз безопасности, UTM-решения

Как эффективно ликвидировать последствия информационной утечки

Теги: Информационная безопасность бизнеса, Утечки данных, Кибербезопасность

Информационная безопасность в условиях цифровой экономики

Теги: Информационная безопасность, Средства защиты информации, Traffic Inspector Next Generation

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S500
M1000
L1000+
Enterprise
FSTEC
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа