Виталий Медведев, МЕДСИ: Главная ошибка — отсутствие баланса в защите данных

Виталий Медведев, начальник управления ИБ компании МЕДСИ, рассказал порталу Cyber Media о ключевых вызовах ИБ в медицинской отрасли: росте APT-атак, защите данных пациентов, специфике IoT-устройств и различиях в подходах к безопасности в государственных и коммерческих клиниках.

Cyber Media: По вашему опыту, есть ли существенные изменения по количеству атак и целям злоумышленников, которые атакуют медицинские организации в последние годы? Наблюдаются ли новые тренды?

Виталий Медведев: Если говорить про сферу информационной безопасности в целом, то количество атак растет с каждым годом и это коррелирует с тенденцией цифровизации. Важно отделять этот естественный рост атак от трендовых изменений.

В РФ за последние три года рост числа атак и изменение их трендов значительно превышают темпы естественного роста цифровизации. Причины этому — в том числе геополитические, поэтому и сложность атак также заметно выросла. Основной тренд — это APT-атаки. А ключевая цель для злоумышленника — это чувствительные данные пациентов, либо остановка бизнес-процессов.

Cyber Media: В чем специфика медицинской отрасли с точки зрения информационной безопасности, защищаемой инфраструктуры?

Виталий Медведев: Специфика в активах, которые мы защищаем. Если говорить про банки или ритейл, то там более осязаемые финансовые активы и, конечно же, данные. В медицине, помимо классической защиты данных, добавляется категория самых чувствительных активов.

Помимо конфиденциальных и персональных данных, врачебной тайны есть еще ключевые бизнес-процессы и информационные системы, от работы которых зависит здоровье и жизнь людей. Этот актив бесценен, и его защита крайне важна в нашей отрасли.

Что касается технической части, здесь тоже есть ряд особенностей. Современная медицина использует передовые технологии и специализированные медицинские решения. В таких условиях невозможно ограничиться классическими средствами защиты и базовой экспертизой в ИБ. Требуется владеть компетенциями в современных ИТ-трендах: от микросервисов и LLM до низкоуровневой работы проприетарных медицинских аппаратов.

Cyber Media: Если говорить о коммерческих и государственных клиниках, есть ли разница в части требований по информационной безопасности и их реализации?

Виталий Медведев: Требования по ИБ в целом очень близки, основные различия проявляются в их реализации.

Государственные клиники имеют серьезные проблемы с кадрами и финансированием. В небольшой региональной клинике зачастую можно увидеть врача, оформленного на полставки ответственным лицом за обработку и хранение персональных данных. В лучшем случае у него в помощниках — один-два системных администратора, которые выполняют все технические работы. В таких условиях до полноценной реализации требований ИБ дело доходит редко.

Для коммерческих клиник среднего и малого бизнеса вопрос ИБ часто не является приоритетом. Компании не хотят тратить миллионы на обеспечение безопасности. Для них зачастую проще продолжать бизнес, а в случае утечки или приостановки лицензии — закрыть компанию и начать все заново.

Крупный бизнес относится к ИБ более ответственно. Причины этому — репутационные и комплаенс-риски, а также высокая ответственность перед клиентами. Закрытие бизнеса, как в случае малого сегмента, здесь не рассматривается.

Введение оборотных штрафов за утечку ПДн вряд ли повлияет на малый бизнес. Их стратегия, скорее всего, останется прежней. Однако для среднего сегмента появится стимул пересмотреть подходы к безопасности. А для крупных игроков регуляторные меры, как и раньше, станут дополнительным драйвером развития.

Cyber Media: С какими категориями ПДн работают медицинские организации и какие меры принимаются для их защиты?

Виталий Медведев: Основное отличие медицинских организаций — работа с множеством персональных данных специальной категории. К ним относятся данные о состоянии здоровья, которые обрабатываются по требованиям законодательства. Кроме того, такие персональные данные в большинстве случаев являются врачебной тайной. Поэтому помимо технических мер защиты от атак, мы выполняем требования законодательства, направленные на защиту наших данных.

Согласно Постановлению Правительства №1119, определяется уровень защищенности и утверждаются требования, на основе которых применяются средства защиты информации. Эти меры зависят от модели угроз и требований регуляторов.

Интересно, что на втором месте по угрозам в сфере медицины стоят социально-технические воздействия, от которых только техническими мерами защититься невозможно. Скорее всего, причина в том, что медицина исторически является сферой с низким уровнем цифровизации. Это привело к недостаточной осведомленности медицинских работников в области ИБ и ИТ.

Одна из наших ключевых задач как подразделения информационной безопасности — обучение персонала требованиям ИБ, правилам работы с конфиденциальной информацией и повышение их осведомленности о современных угрозах и возможных способах их реализации.

Cyber Media: Какие самые распространенные ошибки, которые допускают медицинские учреждения при организации защиты данных? Как их можно избежать?

Виталий Медведев: Главная ошибка — отсутствие баланса. Она возникает, когда CISO или топ-менеджмент организации сосредоточены только на одном аспекте:

• либо слепое выполнение регуляторных требований без оценки эффективности защиты;
• либо «упаковка» средствами защиты, когда компания технологически не готова к такому уровню ИБ, и затраты оказываются неоправданными.

Лучший подход — провести аудит активов, выстроить процессы и реализовать технические меры, которые будут эффективны как с точки зрения защиты, так и с точки зрения затрат.

Cyber Media: В связи с растущим числом устройств IoT в медицинской сфере, какие дополнительные меры необходимо принимать для обеспечения безопасности этих устройств?

Виталий Медведев: Как и в других отраслях, для устройств IoT стоит руководствоваться общим принципом минимизации привилегий. Однако в медицине есть дополнительные риски:

1. Чувствительные данные, которые передает медицинское оборудование.
2. Высокий уровень надежности, который требуется от этих устройств.

Необходимо правильно категорировать данные и, где это возможно, ограничивать передачу или обезличивать их. Также важна защита каналов передачи информации, используемых IoT-устройствами.

Здесь не получится, как с видеорегистратором или умным чайником, просто обновить прошивку и сменить пароль администратора по умолчанию. Вопрос стоит не о комфорте, а о безопасности пациентов, их данных и врачебной тайны.