Информационная безопасность в здравоохранении

12739

Цифровизация в сфере здравоохранения повышает эффективность оказания медицинских услуг. Электронный документооборот в медучреждениях облегчает ведение учета, выводит качество обработки и хранения данных на новый уровень, повышает эффективность контроля за оказанными медицинскими услугами, распределением финансовых ресурсов и т. д. Но такая цифровизация имеет и обратную сторону — повышаются риски нарушения информационной безопасности, когда информация из электронных баз данных больниц и клиник используют в корыстных целях. В сфере здравоохранения эти риски особенно велики.

Особенности защиты информации в медицинских учреждениях

Многие данные в медучреждениях попадают в категорию врачебной тайны, здесь же хранятся персональные данные, причем как клиентов, так и сотрудников. Сведения о состоянии здоровья — одни из самых интимных, их разглашение может привести ко многим негативным последствиям.

Если кто-то получит доступ к такой информации и захочет использовать ее для своих личных выгод, он сможет причинить ощутимый вред людям. Например, хакеры могут продавать украденные данные на черном рынке или использовать их в мошеннических целях, а также шантажировать организации, допустившие утечку данных. Поэтому уровень информационной безопасности в каждом медицинском учреждении просто обязан быть самым высоким, защита данных — надежной, а подход к работе с данными, их хранению и обработке должен быть проработанным до самых мелочей.

Технические аспекты защиты информации

Универсального метода, который обеспечит 100% защиту информации, не существует. Для того чтобы обезопасить информационную систему, обычно используется комплекс методов и программ, создаются регламенты по работе с данными для персонала — и чем продуманнее эти меры, тем выше вероятность сохранения данных в неприкосновенности.

Минздрав РФ рекомендует оборудовать организации здравоохранения специальным компьютерным устройством — тонким клиентом. Работа тонкого клиента обеспечивается отдельной операционной системой, и у такого устройства одна задача — обеспечить нужную для работы абонента связь с центром обработки данных. То есть, тонкий клиент — это посредник между центральным узлом обработки данных и монитором пользователя. И в этом случае медицинские сведения защищены лучше — они хранятся не на ПК абонента, а в центре обработки данных, которых защищен надежнее, чем рабочее место сотрудника медучреждения.

Методы защиты информации

Обеспечение безопасности медицинской информации законодательно регламентировано на федеральном уровне. Для защиты сведений применяют следующие методы:

  • организационно-управленческие (обозначение рамок и условий работы ресурсов, регламентация системы взаимодействия между пользователями и администратором сети);
  • правовые (ответственность за нарушение правил);
  • технические (программное и аппаратное обеспечение, которое защищает от несанкционированного доступа и обеспечивает авторизацию пользователей).

В РФ создают Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ). Согласно проекту ЕГИСЗ, сейчас выполняются следующие работы:

  • создаются региональные программы модернизации здравоохранения;
  • медучреждения оснащают телекоммуникационным и компьютерным оборудованием, а также средствами информационной безопасности;
  • вводятся стандарты информационного обмена в пределах системы;
  • создается федеральный центр обработки данных.

Для предотвращения нарушений и хищения данных используют программно-аппаратные средства защиты данных, которые имеют сертификацию ФСТЭК, например, такие, как универсальный шлюз безопасности Traffic Inspector Next Generation FSTEC S100. Это UTM-решение, которое предоставляет многоуровневую защиту данных в режиме реального времени. Шлюз включает в себя межсетевой экран, прокси-сервер, выполняет ряд других полезных функций. Traffic Inspector Next Generation защищает от несанкционированного доступа к данным и блокирует нецелевое использование интернета, то есть решает комплекс задач, которые стоят перед любым медучреждением.

Защита информации в клинике пластической хирургии

Утечки информации в учреждениях здравоохранения происходят регулярно — данные воруют и продают, медицинские сведения оказываются в открытом доступе.

Персональные данные, диагнозы, информация о проведенных операциях — все это ценится выше и продается дороже, чем номера кредитных карт и счетов. Стоит ли говорить, что хакеры буквально охотятся за этой информацией и постоянно совершенствуют свое мастерство?

Только пара примеров:

  • Сентябрь 2019 года — в открытом доступе оказались снимки КТ и МРТ 24 млн человек, которые хранились в 590 онлайн-архивах. Утечка произошла через старые серверы, вместе со снимками в открытом доступе лежали подробные личные данные — имена и фамилии, номера социального страхования, назначения врачей.
  • Август 2019 года — стало известно о похищении 6,8 млн данных о пациентах и врачах из крупной индийской организации здравоохранения. Хакеры продают украденные сведения на черных рынках, уже было обнаружено несколько баз данных стоимостью больше 2000 $.

Конфиденциальная информация из клиник пластической хирургии по очевидным причинам ценится еще выше, чем сведения из районной поликлиники. Масштабы происшествия несложно представить — можно шантажировать и клиентов, и владельцев клиники, продавать эту информацию СМИ. А согласно законодательству, ответственность за распространение закрытых сведений возлагается на руководство медучреждения. Любая утечка информации — это потенциальные судебные иски и требования компенсаций.

Специалисты по информационной безопасности говорят, что из-за использования слабозащищенных систем информация может лежать практически в открытом доступе. Часто это происходит из-за того, что медорганизации не уделяют должного внимания выстраиванию и поддержке системы защиты.

Перспективы информационной безопасности в медицинской отрасли

Учреждения здравоохранения являются операторами персональных данных, следовательно, обеспечение безопасности этих данных — зона ответственности медучреждений. И, конечно же, во время перехода от бумажных носителей к электронным становится очевидно, что не все медицинские организации готовы уделять должное внимание обеспечению ИБ, увеличивать расходы на это. А расходы на обеспечение информационной безопасности необходимы — нужно устанавливать и обслуживать системы защиты информации, обучать персонал, нанимать специалистов по информационной безопасности (ИБ).

Решить существующие проблемы с обеспечением ИБ должна программа ЕГИСЗ. В рамках программы предусмотрено обеспечение медучреждений техникой, наличие всероссийского центра обработки информации, создание норм электронного документооборота между медицинскими организациями. Например, положения ЕГИСЗ регламентируют, какая именно информация из сервиса может быть предоставлена и кому — это должно сократить частоту утечек данных.

TING в сфере здравоохранения

Вот пример того, как внедрение программно-аппаратного комплекса выводит уровень защиты на качественно другой уровень:

Федеральная сеть клинико-диагностических лабораторий «Скайлаб» выбрала для обеспечения безопасности данных универсальный шлюз безопасности Traffic Inspector Next Generation от «Смарт-Софт».

Внедрение

До этого момента в «Скайлаб» уже использовали обычный сетевой экран, но комплекс Traffic Inspector Next Generation — гораздо более функциональный продукт, поэтому переход сопровождался консультациями специалистов «Смарт-Софт». В процессе работы инженеры «Смарт-Софт» обратили внимание на многочисленные попытки подключения к серверу и сообщили об этом администратору сети «Скайлаб». Он заглянул в журнал событий безопасности и обнаружил, что уже два дня неизвестные хакеры пытались взломать систему. Администратор принял меры — переключился на другое интернет-соединение, закрыл порты с помощью Traffic Inspector Next Generation и кибератака остановилась.

Результат

Внедрение Traffic Inspector Next Generation в компании Скайлаб завершилось, это решение для защиты корпоративной сети успешно работает и защищает данные в режиме реального времени, предотвращает несанкционированный доступ к данным. Компания довольна результатами внедрения и качеством защиты, и продолжает осваивать возможности Traffic Inspector Next Generation.

 

 

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper "Основы кибербезопасности в коммерческой компании".

Назад
Далее
Рекомендуем почитать Смотреть все

Типы сетевых атак и способы борьбы с ними

Теги: Кибербезопасность, Сетевые атаки, Информационная безопасность

Чем Traffic Inspector Next Generation отличается от OPNsense

Теги: Traffic Inspector Next Generation, OPNsense

Как обнаружить и остановить хакерскую атаку

Теги: Traffic Inspector Next Generation, кейс компании, здравоохранение, сертификация ФСТЭК, межсетевой экран, бизнес

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S200
S500
M1000
L1000+
Enterprise
FSTEC
SaaS
Software
Software Light
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
SkyDNS для Traffic Inspector Next Generation
Multifactor для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа