Эдуард Мураховский, «Скопинфарм»: Чем сложнее становится оборудование, тем меньше у работающих на нем остается понимания, как именно оно работает

Эдуард Мураховский, Директор департамента проектного управления «Скопинфарм», на конференции Security Summit, рассказал порталу Cyber Media о том, какие основные риски информационной безопасности есть в фармацевтической области, а также об уровне защищенности медицинского оборудования от атак.

Cyber Media: Если говорить о фармацевтической области в целом, насколько однороден уровень информационной безопасности и какие места «наиболее тонкие»? Например, в последние годы было несколько инцидентов с розничными сетями по всему миру, когда нарушался процесс выдачи жизненно важных лекарств.

Эдуард Мураховский: Уровень цифровой безопасности в фарме неоднородный, так же как и в других отраслях. Число кибератак на российские компании в 2023 году выросло в 4,5 раза по сравнению с 2022 годом.

Не в последнюю очередь это связано с процессами импортозамещения. Кто-то пытается использовать установленные ранее иностранные системы безопасности, а кто-то внедряет отечественное ПО.

Злоумышленники всегда ищут лазейки в системах для организации своих атак, поэтому «наиболее тонкие» те места, на которые обращают меньше всего внимания. Допустим, компания много сил и средств вкладывает в технические устройства, но забывает о том, что самые совершенные технические средства защиты преодолеваются методами социальной инженерии.

Cyber Media: Еще одна тенденция последних лет – это рост интереса шифровальщиков к медицинскому сектору, вплоть до клиник, где оказывают неотложную медицинскую помощь. Исходя из Вашего опыта, участилось ли количество атак с использованием программ-вымогателей?

Эдуард Мураховский: Вирусы-шифровальщики это циклическая тема. Их активность то возрастает, то снижается, но с каждой новой волной технический уровень вымогателей растет. Популярность этой темы связана с тем, что она довольно легко монетизируется злоумышленниками: одно дело похитить значимую информацию у одной компании, а потом искать на нее покупателя, или сразу взламывать кого-то на заказ. То ли дело здесь: заблокировал важную информацию у ее обладателя и ему же продал возвращение доступа к ней. Это тысячелетиями отработанная тема шантажа, только с применением современных технологий. Кроме того, есть международная статистика, что среди мировых фармкомпаний больший процент жертв соглашается платить выкуп, чем в других отраслях. А раз так, то стоит ожидать и новых атак вирусов-шифровальщиков.

Cyber Media: Какие основные риски, связанные с использованием искусственного интеллекта (ИИ) существуют в фармацевтической области?

Эдуард Мураховский: Нельзя поддаваться соблазну заменять настоящий интеллект искусственным. ИИ хороший помощник, но доверять ему лидирующие функции опасно. Как известно, один из самых неэффективных элементов системы – сам человек. С точки зрения энергопотребления, с точки зрения эмоциональности, чувств и так далее. Сколько взрослый человек может произвести продукта, а ребенок? он пока иждивенец. С точки зрения ИИ ребенок менее ценная единица, чем взрослый человек. У ИИ критерий эффективности предельно рациональные и циничные. Мораль и ценности для него чужды. И если мы даем ему что-то решать, то нужно учитывать, что он лишен этических критериев. Это глобальный риск.

Второй риск – это обратная сторона монеты обучаемости ИИ. Приведу классический пример. Одна из сетей крупных лабораторий закупили, по ошибке, реагента для одного вида анализов в 10 раз больше, чем обычно. Вернуть его нельзя и срок хранения тоже ограничен. Тогда маркетологии лаборатории придумали рекламную акцию и продавали анализы с использованием этого реагента по значительно меньшей цене, чем обычно. У них в системе был интеллектуальный помощник на базе ИИ, который анализировал потоки и предлагал показатели. К концу года компания не без труда реализовала излишки реагента с учетом акций и скидок, минимизировав убытки от излишней закупки. Но, система ИИ посмотрела, что спрос на эти анализы значительно вырос и предложил на следующий год закупить еще в 10 раз больше реагента от которого они весь год не могли избавиться. Ключевая идея ИИ в том, что он хорошо определяет корреляции, но плохо устанавливает причинно-следственные связи.

Cyber Media: Есть ли какие-то специфические международные требования в части ИБ к компаниям, которые производят лекарственные препараты для мирового рынка?

Эдуард Мураховский: Для всех отраслей есть единая международная серия стандартов информационной безопасности ISO/IEC 27XXX, в которую входят «Системы обеспечения информационной безопасности», «Методы и средства обеспечения информационной безопасности», «Реализация систем менеджмента информационной безопасности», «Измерение эффективности информационной безопасности», «Менеджмент риска информационной безопасности» и «Управление инцидентами и событиями ИБ». Серия стандартов одна, а реализация ее в каждой отрасли разная. Более того, даже в одной отрасли от предприятия к предприятию могут наблюдаться существенные различия, которые зависят от индивидуальных оценок рисков, используемых систем и средств обеспечения ИБ, сложившейся корпоративной культуры и прочего.

Cyber Media: Применительно к производителям лекарственных препаратов, какие риски ИБ стоят наиболее остро? Насколько производители их осознают?

Эдуард Мураховский: В каждой отрасли своя цена ошибки. В фарме цена ошибки одна из самых высоких, так как речь идет о жизни и здоровье человека. Именно поэтому фарма – одна из наиболее зарегулированных отраслей.

Кроме того, в стоимости конечного продукта очень велика составляющая интеллектуальной собственности, особенно в отношении высокотехнологичных лекарственных препаратов. Этот риск производители осознают в полной мере, поэтому свои формулы, технологии и ноу-хау охраняют очень тщательно. Кроме того, с развитием генной инженерии и персонализированной фармакотерапии многократно риски, связанные с защитой персональных данных.

Cyber Media: Если говорить о сложном оборудовании, которое используется как в производстве фармацевтической продукции, так и непосредственно для лечения, насколько оно защищено от хакерских атак «из коробки»?

Эдуард Мураховский: Это очень важный вопрос и его актуальность только растет. Чем сложнее становится оборудование, тем меньше у работающих на нем людей остается понимания, как именно оно работает.

Поэтому в какой-то момент без специальных инструментов контроля невозможно определить, все ли в порядке, не нарушается ли технология из-за непреднамеренной ошибки или специально организованной хакерской атаки. Последствия здесь могут быть крайне негативные, их надо всеми силами избежать. Отвечает этим вызовам идеология Secure by Design, то есть интеграция свойств безопасности в оборудование наравне с функциональными требованиями еще на этапе проектирования. В правильно спроектированном оборудовании технологии обеспечения безопасности должны быть неотделимы от его основного функционала.