Способы обеспечения информационной защиты в современных медицинских учреждениях

Сфера IT в последнее время тесно связана с личной жизнью всех людей. То же касается и сферы здравоохранения: поскольку автоматизация процессов в этой отрасли проходит динамично, масштабно увеличилось количество кибератак на уязвимости устройств интернета вещей и персональных данных. Вместе с этим выросла необходимость обеспечить защиту всех видов данных.

Необходимость использования решения

Из-за особенностей медицинских данных кибербезопасность в здравоохранении стала уникальной проблемой. Создание единого подхода к защите информации усложняется тем, что в поликлиниках, больницах и лабораториях используется множество сетей и цифровых комплексов. Кроме того, учреждения имеют территориально распределенную сеть и неоднородную инфраструктуру. На информационную безопасность здравоохранения также влияют недостаточные организационные меры защиты информации, отсутствие подтверждения соответствия требованиям ИБ и недостаток специалистов по защите информации в медучреждениях.

Между тем, на медицинскую инфраструктуру совершается все больше хакерских атак. Привлекательность медучреждений для киберпреступников объясняется содержанием в информационных системах различной конфиденциальной информации, включая личные данные пациентов, номера банковских карт, медицинские сведения.  В 2021 году здравоохранение стало самой атакуемой сферой, доля медицинских учреждений в статистике жертв киберпреступников постоянно росла: с 8% в 1 квартале до 12% в конце года.  По данным исследования Positive Technologies, киберпреступники чаще всего похищали персональные данные и медицинскую информацию (39% и 36% от общей доли похищенных данных).

Хакерские атаки представляют большой риск для безопасности здравоохранения. Потеря доступа к медицинским устройствам и записям может привести к невозможности предоставления медицинских услуг и оказания медицинской помощи, а изменение или кража личных данных пациентов – к серьезному ущербу для их здоровья. Поэтому любая медицинская организация должна предпринимать эффективные меры для защиты данных и предотвращения потенциальных утечек. 

Важно не только построить комплексную систему информационной безопасности в соответствии с требованиями регуляторов, но обучить персонал навыкам ИТ-безопасности, контролировать использование данных, разработать регламенты реагирования на инциденты с четкими ролями и обязанностями и регулярно оценивать риски киберугроз.

Нормативные требования по защите информации в здравоохранении

Защита информации в российских медицинских учреждениях регулируется федеральным законодательством, указами президента России, руководящими документами Гостехкомиссии, Мининформсвязи, ФСТЭК и ФСБ РФ, а также отраслевыми рекомендациями Минздрава России. Основными документами являются:

• Федеральный закон № 152-ФЗ «О защите персональных данных». 

• Постановление Правительства № 1119.

• Приказы ФСТЭК России №№ 17, 21, 239.

• Приказ Министерства здравоохранения РФ № 911н

• Постановление Правительства РФ № 447.

• Постановление Правительства РФ № 1236

• Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Указ Президента РФ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Решения UserGate для медицины

Российские медучреждения обязаны использовать в качестве средств информационной безопасности только сертифицированное ПО. Одним из таких продуктов является решение компании UserGate - оно соответствует требованиям ФСТЭК России и внесено в Единый реестр российского ПО.

Все сервисы UserGate разработаны на собственной операционной системе UGOS, не использующей открытый код, а с марта 2022 года они размещены на территории России. Это позволяет обеспечить их стабильную работу, активацию и обновление.

Решения из экосистемы UserGate SUMMA можно использовать в единой системе обеспечения информационной безопасности в сфере здравоохранения ФГБУ «ЦНИИОИЗ» Минздрава России:

UserGate обеспечивает надежную защиту компьютерных сетей, разнообразных устройств и приборов от хакерских атак, несанкционированного доступа, вирусов, вредоносных скриптов и приложений. Платформа также позволяет применять различные настройки безопасности к разным группам пользователей (пациенты, посетители, персонал больницы, администраторы). 

Комплексная защита и централизованное управление

Главным компонентом экосистемы UserGate SUMMA является межсетевой экран нового поколения UserGate NGFW с весьма широкой функциональностью. Решение позволяет специалистам по ИБ решать множество задач:

- Межсетевое экранирование: настройка доступа к определенным сайтам и приложениям для разных групп пользователей, ограничение скорости соединений, запрет входящего или исходящего вредоносного трафика.

- Обнаружение и предотвращение вторжений (IDS/IPS), основанное на постоянном взаимодействии с центром безопасности UserGate, что позволяет быстро реагировать на известные и неизвестные угрозы. 

- Защита от DoS-атак и сетевого флуда: включение счетчика количества запросов от одного источника для уведомления администраторов или блокировки в случае превышения допустимого значения.

- Защита от вирусов и угроз нулевого дня (zero-day). Помимо традиционного сигнатурного антивируса, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого еще не написаны сигнатуры.

- Защита веб-трафика и почты: обнаружение опасных и рекламных скриптов, проведение морфологического анализа страниц и их блокировка, аналитика почтовых сообщений для пресечения фишинговых и спамерских атак.

- Контроль мобильных устройств: настройка разрешения или запрета на доступ в сеть с портативных устройств работников.

- Гостевой портал (Captive Portal): позволяет внешним пользователям получить доступ в сеть, зарегистрировавшись через email или SMS. Для внутренних пользователей портал будет дополнительным средством аутентификации, проверяющим SMS/OTP.

- Поддержка кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).

- Защита медицинского оборудования. На основе технологических промышленных протоколов UserGate NGFW обнаруживает атаки или подозрительные операции в локальных сетях. 

Защиту автоматизированных рабочих мест пользователей контролирует сервис UserGate Client, который обнаруживает и блокирует сложные угрозы. Специальный движок отслеживает происходящие процессы, используя индикаторы компрометации и атак. Дополнительно с компьютера собираются и анализируются сведения о запуске или остановке антивируса, активных пользователях, установленном ПО, обновлениях ОС и т.п. Информация коррелируются с другими событиями безопасности и в результате выявляются целевые угрозы, распределенные по времени и инфраструктуре атаки. При этом UserGate Client позволяет немедленно установить обновления безопасности или отключить сеть на потенциально зараженной машине. За безопасную удаленную работу сервиса отвечает встроенный VPN-клиент, использующий протокол L2TP.

Централизованное управление межсетевыми экранами UserGate NGFW ведется с помощью UserGate Management Center. Он действует на основе шаблонов политик безопасности - наборов параметров и правил, применяющихся для групп устройств. Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО.

Крупные региональные МИС как правило используют большие серверные мощности, размещенные в ЦОДах. В этом случае для безопасной обработки трафика разработчик рекомендует использовать межсетевой экран UserGate FG. Производительность одного устройства достигает 80 Гбит/с с поддержкой кластеризации. Это возможно за счет специальных FPGA (ПЛИС), обеспечивающих параллельную аппаратную обработку трафика. Также предусмотрены скоростные интерфейсы QSFP28 (100 Гбит/с) и 10 Гбит/с SFP. 

Мониторинг событий безопасности

В 2021 году Минздрав России заявил о намерении создать отраслевой центр системы реагирования на компьютерные атаки и инциденты информационной безопасности. Особое внимание в концепции уделяется регистрации инцидентов и передаче их в ОЦ. Медучреждениям с разветвленной сетью филиалов для этих целей подойдет централизованная система сбора событий. Например, UserGate Log Analyzer. 

UserGate Log Analyzer формирует и хранит журналы событий, проводит их глубокий анализ, автоматически реагирует на инциденты, создает необходимые отчеты, которые автоматически отправляет по электронной почте администратору и другим уполномоченным лицам. Данные собираются как с внутренних серверов, так и со сторонних систем, совместимых с протоколом SNMP v2 и v3.