Информационная безопасность в здравоохранении

Отрасль здравоохранения имеет свою специфику — медучреждения работают с большим количеством персональных данных сотрудников и пациентов.

При этом большинство данных попадают в категорию врачебной тайны, так как содержат сведения о состоянии здоровья пациентов, причины оказания медицинской помощи, особенности диагностики и лечения. Такие сведения необходимо хранить, обрабатывать, передавать и уничтожать, учитывая их специфику и требования закона.

Сегодня электронный документооборот упрощает учет данных в медучреждениях. Клиники активно передают друг другу разную информацию — истории болезней, протоколы лечения, результаты анализов. Но при этом остаются риски утечки данных или других нарушений ИБ.

Нарушения при работе с данными в отрасли здравоохранения относят к категории «разглашение информации с ограниченным доступом» или «неправомерное воздействие на критическую информационную инфраструктуру». За такие нарушения ответственному лицу грозят большие штрафы.

Например, за неправомерный доступ к охраняемой компьютерной информации, которая содержится в КИИ, последует штраф до 1 млн руб. в сочетании с ограничением свободы до двух лет или лишением свободы до шести лет (п. 2 ст. 274.1 УК). 

Информационная безопасность в здравоохранении — это комплекс организационных, программных и технических мер, направленных на защиту цифровых данных организации, обеспечение их конфиденциальности, целостности и доступности.

Особенности информационной безопасности в медицинских организациях:

• Полный контроль данных пациентом. Все сведения должны оставаться в распоряжении пациента, обеспечивая его права на доступ и контроль.

• Оперативная обработка документов. Быстрота и эффективность в обработке документов очень важна.

• Распределенная обработка информации. Медицинские данные обрабатываются несколькими специалистами, включая лаборантов, медицинских сестер, врачей и регистраторов.

• Классификация данных. Информация подразделяется на категории: персональные данные, статистическая информация, сведения о ходе лечения.

• Отсутствие установленных регламентов. Далеко не всегда есть четко определенные правила для взаимодействия между медицинскими сотрудниками, пациентами и доверенными лицами.

Прогресс IT-технологий вывел медицинские учреждения на новый уровень: электронные регистратуры и медицинские карты стали привычным явлением. Объем информации, которая хранится в клиниках, растет в геометрической прогрессии — медицинские информационные системы должны иметь постоянную надежную защиту.

Медицинские информационные системы медицинских организаций (МИС МО) предназначены для сбора, хранения, обработки и представления информации, необходимой для оказания и учета медицинской помощи и информационной поддержки медицинских работников. 

Информация, содержащаяся в информационных системах, подлежит защите в соответствии с законодательством о защите информации персональных данных.

Постановление Правительства от 16.11.2015 № 1236 закрепляет специальные требования к медицинским информационным системам медицинской организации (МИС МО): запрет на допуск иностранной продукции и размещения данных за рубежом. 

Требования приказа Минздрава и постановления Правительства должны соблюдаться и для интегрированных с МИС МО информационных систем (постановление Правительства от 12.04.2018 № 447).

Согласно закону от 26.07.2017 № 187-ФЗ о безопасности критической информационной инфраструктуры, если медицинская организация является субъектом такой инфраструктуры, или одной из ее информационных систем присвоена категория значимости объекта КИИ, следует выполнять дополнительные требования ИБ, которые устанавливает приказ ФСТЭК от 25.12.2017 № 239. То есть безопасность медучреждения должна соответствовать функциональным требованиям информационной безопасности, предъявляемых ФСТЭК, а именно: 

• средства защиты должны быть сертифицированы ФСТЭК;

• ПО или программно-аппаратные средства защиты должны быть включены в реестр отечественного ПО Минкомсвязи.

С целью повышения уровня информационной безопасности медицинских учреждений на базе ФГБУ «Центральный НИИ организации и информатизации здравоохранения» Минздрав создал отраслевой центр обработки данных — систему реагирования на компьютерные атаки и инциденты ИБ. Ключевая функция центра — методическая поддержка больниц и клиник, а также контроль проектов в области кибербезопасности и импортозамещения.

Какую информацию нужно защищать:

• Персональные данные пациентов — ФИО, адрес, номер медицинского полиса и т. д. Такие данные чаще всего подвержены утечкам.

• Сведения, характеризующие состояние здоровья пациента — диагнозы, болезни, результаты лечения.

• Базы данных клиентов, специфику лечения болезней, методы проведения исследований и проверок, планы развития учреждения.

• Статистическую информацию — данные медицинских карт, сведения о сотрудниках (зарплаты), работе с бюджетными средствами и др.

• Другие секретные сведения — результаты служебных проверок на предмет исполнения должностных обязанностей и требований к работе. 

От каких угроз необходимо защищать:

• Сотрудники — могут подвергать риску информационные системы из-за низкой осведомленности об угрозах ИБ, слабых паролей, а также случайного или намеренного распространения данных. 

• Вредоносное ПО — часто используется киберпреступниками для заражения системы информационной безопасности, блокирования доступа к сети или шифрования данных. Для возвращения доступа мошенники требуют выкуп. 

• Утечка данных — нарушение конфиденциальности сведений. Попадание данных в открытый доступ по неосторожности или в случае хакерской атаки, а также физическое разрушение внешних носителей информации.

• Фишинговые атаки — киберпреступники рассылают сотрудникам фишинговые письма с целью получения конфиденциальных данных. Такие письма содержат вредоносную ссылку или вложение, которые могут привести пользователя на поддельный сайт банка или госструктуры, где требуется ввести персональные данные (как правило, логины и пароли от учетных записей).

• DDoS-атаки — хакерские атаки, перегружающие информационную систему. Путем отправки большого количества запросов DDoS-атака делает систему недоступной, в результате чего может произойти «отказ в обслуживании». 

• Уязвимости ПО — «дыры» в программном обеспечении, которыми пользуются преступники, чтобы взломать систему ИБ.

Методы защиты медицинских данных:

• Управленческие (организационные) — условия работы с информацией в стенах медучреждения, регламентируют способы взаимодействия между администратором сети и пользователями.

• Юридические (правовые) — ответственность за нарушение правил и требований.

• Программно-аппаратные комплексы — программное и аппаратное ПО, необходимое для авторизации пользователей и противодействия угрозам ИБ.

Обеспечение информационной безопасности в медицинских организациях предполагает комплексный подход. 

Среди актуальных решений:

• Организационные меры — разработка и внедрение политик безопасности, инструкций и регламентов по обработке и хранению данных, регулярное обучение сотрудников по вопросам киберугроз, аудит ИБ, создание четкого плана реагирования на инциденты. 

• Моделирование угроз — оценка существующих рисков и определение уязвимых мест ИБ медицинских организаций с целью разработки эффективных тактик защиты.

• Методы обеспечения физической безопасности — контроль доступа в помещения, где находятся серверы и документация. Организация устанавливает цифровые и механические замки, системы видеонаблюдения, сигнализацию и т. д.

• Программно-аппаратные комплексы — технические и аппаратные средства защиты от неправомерного доступа. Например:

  • Защита конечных точек — защищает от вредоносных программ. Блокирует вирус: он не попадает на устройство, а если и попадает, программа уничтожает его.

Базовое решение для системы ИБ медицинской организации — защита конечных точек: любого оборудования, подключенного к центральной сети. Kaspersky Security — лидирующий продукт в своем классе на мировом рынке. Защищает информационные системы от более чем 99% угроз, вызванных вирусами, компьютерными атаками и вредоносным ПО.

Кроме того решение позволяет шифровать файлы и папки на локальных дисках компьютера, съемных дисках, съемные и жесткие диски целиком, что снижает риски утечки в случае кражи или утери внешнего носителя информации.

• Системы аутентификации — парольная защита, доступ к системе по биометрическим данным (отпечаток пальца или сканирование глаз).

• SIEM системы — для комплексного мониторинга ИБ, анализа и сбора данных от инструментов кибербезопасности.

Крупные медицинские организации взаимодействуют с большим потоком информации по многочисленным каналам связи, а значит, нуждаются в инструментах более экспертного уровня защиты — SIEM-системах.

Защита персональных данных — это зона ответственности любого медучреждения. Цифровизация обеспечила переход от бумажных носителей к электронным, но не все медицинские организации готовы уделять должное внимание информационной безопасности, так как это требует расходов и трудовых ресурсов — нужно устанавливать и обслуживать системы защиты информации, нанимать соответствующих специалистов, обучать действующих сотрудников. 

Решить данные проблемы должна программа ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения), которая предусматривает обеспечение больниц техникой, взаимодействие с всероссийским центром обработки информации и создание норм электронного документооборота между медучреждениями. ЕГИСЗ существенно облегчит управление медицинской организацией с помощью:

• формирования единой базы лечебных учреждений с указанием видов оказываемых услуг, техоборудования, персонала и продуктивности работы;

• формирования и введения системы надзора над качеством оказания медицинских услуг согласно государственным и международным стандартам;

• образования общего списка клиентов.

Информационная безопасность в здравоохранении предполагает наличие повышенных требований к защите IT-инфраструктуры организации.

Руководителю важно:

• Создать отдельное подразделение по обеспечению ИБ либо возложить данные обязанности на уже существующее с назначением ответственного лица. Отдел должен решать задачи по обнаружению, предупреждению и ликвидации последствий кибератак и взломов, а также реагированию на инциденты. 

• Привлекать сторонние организации и экспертов (по мере необходимости) для обеспечения ИБ. 

• Обеспечивать соблюдение регламента доступа. Сотрудники должны иметь доступ к МИС в строгом соответствии с внутренними правилами и должностными обязанностями. Возможность входа в систему без пароля должна быть исключена, пароли должны быть сложными и надежными.

• Исключить нелицензионное ПО. В медучреждении не должно быть нелицензионных программ. Важно контролировать, чтобы персонал не добавлял ПО на рабочие устройства без согласования с руководством.

• Внедрить политику безопасности. Комплекс правил, принципов и процедур, направленных на защиту персональных данных и ценной информации в сети интернет. Такая политика должна включать в себя план действий в критической ситуации (например, при сбое или вирусной атаке), когда каждый сотрудник понимает, как правильно действовать и реагировать на угрозу.

• Проводить регулярное резервное копирование. Оно необходимо, чтобы обеспечить защиту сведений от случайных сбоев и аварий, а также киберугроз.

• Обучать сотрудников основам кибербезопасности, парольным правилам и правильным действиям в случае угрозы.

Kaspersky Symphony XDR отвечает всем современным вызовам, помогая компаниям не просто держаться на плаву, но и повышать эффективность работы своих ИБ-команд. Это надежное решение для комплексной защиты от всех видов угроз. Защищает многочисленные точки входа потенциальной угрозы, оберегает рядовых сотрудников от совершения ошибок и легко встраивается в систему безопасности. 

Платформа Kaspersky ASAP

Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности

Попробовать

Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: 2W5zFGDe2TJ