Медицина под ударом: как предотвратить утечки данных

Привет, Хабр! Сегодня хотим обсудить утечки информации, пожалуй, в одной из самых чувствительных для человека отраслей — здравоохранении. Ведь здесь хранятся не просто персональные данные, а сведения, касающиеся глубоко личных аспектов жизни — диагнозы, регулярно выписываемые лекарства, результаты анализов и многое другое. Попади эти данные не в те руки, и жизнь человека может стать заметно сложнее.

Проблематика

Учреждения здравоохранения сегодня обладают очень большим набором конфиденциальных данных в цифровом формате. А чем они разнообразнее — тем сложнее обеспечивать ИБ, в том числе борьбу с утечками. Само по себе предотвращение утечек информации — это не какие-то разовые мероприятия, а постоянный процесс, включающий мониторинг состояния систем защиты информации, обучение персонала и совершенствование политик по всем организациям сферы здравоохранения. Максимальное количество инцидентов можно предотвратить, подобрав правильное сочетание технологий обработки и защиты информации 

За последние лет 10-15 здравоохранение в целом проделало большой путь к цифровизации. Клиники массово перешли на системы электронной записи и электронные медицинские карты, создали для пациентов порталы с личными кабинетами. С увеличением пропускной способности каналов связи развиваются сервисы телемедицины. Конечно же, стоит учитывать и медицинский интернет вещей (IoMT) — датчики, носимые устройства, умные медицинские приборы. Например, можно вспомнить системы мониторинга сахара в крови. 

И именно в результате массовой цифровизации медучреждения стали хранить огромные массивы данных в электронном виде, в том числе в облаках. Все это серьезно увеличивает поверхность атак и требует от ИБ-команд новых методов работы, основанных на проактивном подходе, с постоянным обновлением знаний об угрозах ИБ. 

Уникальное сочетание данных и вечные проблемы ИБ в медицине

Почему в медорганизациях на самом деле сложно обеспечивать ИБ? Потому что многообразие данных, которые надо защищать, очень и очень велико. Смотрите, что надо защищать:

• Персональные данные пациентов.

• Персональные данные медработников и другого персонала.

• История болезни.

• Данные инструментальных и лабораторных исследований.

• Медицинские изображения.

• Данные телемедицины.

• Рецептурные назначения.

• Данные медицинского интернета вещей.

• Платежные данные.

• Данные, сформированные при взаимодействии со страховыми компаниями (как сведения застрахованных пациентов, так и финансовые операции – взаиморасчёты между клиниками и страховщиками).

• Данные о финансово-хозяйственной деятельности, планы развития клиник (коммерческая тайна).

По нашим данным, в 57,6% случаях в России и в 77,8% случаях в мире из учреждений сферы здравоохранения утекали персональные данные и врачебная тайна. Каждая третья утечка данных из сферы здравоохранения в мире связана с компрометацией коммерческой тайны. О последствиях утечек данных мы рассказали вот в этой статье. 

А ещё обрабатываемые в медицине разнообразны и по форме их представления:

• Структурированные и неструктурированные текстовые данные (базы данных, истории болезни, заключения по результатам обследований и т.п.);

• Изображения в различных графических форматах;

• Видео и звук.

В России информационные системы, АСУ и ИТКС, функционирующие в сфере здравоохранения, относятся к объектам критической информационной инфраструктуры, применительно к обеспечению безопасности которых существуют отдельные требования. Далее – МИС – медицинская информационная система (ИС, функционирующая в сфере здравоохранения). 

И вроде бы, есть регламенты и требования. Однако успешному решению ИБ-задач в медицине препятствуют ряд факторов, некоторые из которых не теряют силы уже десятки лет. 

Проблемы обеспечения защиты информации в медицине:

• Недостаточное финансирование.

• Дефицит кадров.

• Большое количество устаревших систем.

• Многообразие источников данных (различные МИС, медицинские приборы, в т.ч. относящиеся к IoMT) и видов данных.

• Низкая культура обращения персонала с данными.

Само собой, 100% гарантии безопасности и конфиденциальности данных дать нельзя. А вот что могут сделать медучреждения своими силами — это хотя бы серьёзно минимизировать все эти риски.

Надо начать выполнять комплекс организационно-технических мероприятий на основе методических рекомендаций и с использованием лучших практик на всех уровнях – от организации процессов обработки информации на уровне организации (скажем, построение системы менеджмента ИБ по аналогии с системами менеджмента качества в здравоохранении) до эксплуатации конкретных МИС, оборудования, IoMT, их систем защиты информации (подсистем обеспечения безопасности).

Давайте немного расскажем про каждый из таких полезных шагов.

Что же делать 

Организационно-технические мероприятия

Их можно разделить на несколько ключевых блоков. 

1. Обеспечения сетевой безопасности и хранения данных. Для изоляции критически важных систем и обеспечения безопасности наиболее важных данных целесообразно проводить сегментацию сетевых ресурсов. Необходимо защитить все конечные точки, установить межсетевые экраны, развернуть системы обнаружения вторжений. Ещё важно обеспечить шифрование данных при их передаче и хранении за пределами периметра организации. Обязательные мероприятия — обеспечение резервного копирования и контроля возможности восстановления систем из резервных копий. 

2. Обеспечение безопасности устройств. Нужно обеспечить учет всех устройств, имеющих доступ к медицинским данным. Внедрите управление парком мобильных устройств (MDM) и организуйте шифрование данных на всех периферийных устройствах. Принципиальные требования здесь — регулярная установка обновлений и безопасное выведение устройств из эксплуатации (с обязательным контролем удаления данных из памяти). Были случаи, когда списанные из медучреждений устройства продавали на онлайн-площадках и блошиных рынках. «В нагрузку» к подержанным носителям покупатели получали конфиденциальные данные. 

Да, очевидно, что невозможно обеспечить шифрование потоков данных многочисленных IoMT-устройств и медицинского оборудования при взаимодействии с МИС из-за размеров, а также из-за многообразия протоколов, стоимости систем и многих других факторов. Выход тоже есть — надо грамотно расставить приоритеты в модели угроз, понять, возможно ли реально вмешаться в такое взаимодействие, оценить его стоимость и ценность для злоумышленника, а также прописать наличие официальных требований.

3. Обеспечение разделения и контроля доступа. Важно внедрить решения по управлению доступом на основе ролевой модели («менеджер», «администратор», «сотрудник» и прочее), разработанной и согласованной в рамках общей системы функционирования организации и управления потоками информации, исполнения обязанностей подразделений и сотрудников. 

В этой парадигме каждый член персонала медучреждения должен иметь доступ только к тем данным, которые ему необходимы для выполнения служебных обязанностей. Если сотруднику надо на время получить доступ к информации, выходящей за принятые рамки доступа, это должно регулироваться дополнительными настройками или выдачей документально заверенных разрешений от руководства. 

Для предотвращения утечек данных медицинской организации также требуются, в том числе, системы контроля как обычных пользователей, так и привилегированных, системы контроля доступа к неструктурированной информации. Они существенно изменились за последние годы как в части расширения функционала, так и с точки зрения удобства внедрения и использования. Наиболее передовые из них взаимодействуют со специальными центрами расследования. Например, это DLP-система нового поколения, позволяющая, с одной стороны, закрыть каналы случайной передачи конфиденциальных данных за периметр, а с другой, обеспечивающая контроль движения данных на основе средств искусственного интеллекта, чтобы предотвратить умышленные нарушения, включая сговор сотрудников. 

Подчеркнём, что такие системы важно не только внедрить, но и правильно настроить. В одной из зарубежных клиник сотрудник в течение пяти лет скачивал конфиденциальные данные и использовал их для развития собственного бизнеса. Правильно установленная DLP не оставила бы такому нарушителю ни единого шанса. 

Организационные мероприятия

Ключевая роль тут отводится обучению сотрудников: объяснение правил обращения с конфиденциальной информацией, тренинги по распознаванию фишинговых атак и подобному. Обучение должно быть основано на реальных сценариях и включать упражнения для отработки полученных знаний. 

Что ещё важно — принятие и отработка планов реагирования на инциденты (это часть мероприятий по обеспечению безопасности объектов КИИ). Предназначено как для служб ИБ, так и для всех подразделений организации с целью обеспечения непрерывности работы в случае компьютерных атак, реализации компьютерных инцидентов вследствие других причин. 

С учетом требований законодательства и актуальных нормативных актов в плане реагирования прописывается порядок действий после того или иного инцидента определяются роли сотрудников и процедуры восстановления. Для проверки эффективности планов и готовности персонала к инцидентам регулярно проводятся проверки по различным сценариям нарушения безопасности. 

Не стоит забывать, что работа систем безопасности должна подкрепляться непрерывным мониторингом (с регулярной проверкой журналов событий) и регулярными аудитами безопасности. Мониторинг поддерживается SIEM-системами с настройкой оповещений о подозрительной активности в сети. Для аудита полезно приглашать независимые консалтинговые компании в сфере ИБ. Отметим, что в России услуги по мониторингу информационной безопасности средств и систем информатизации являются лицензируемым видом деятельности. 

Держим руку на пульсе теневого рынка данных и контролируем партнеров

В условиях быстрого распространения украденной информации по криминальным площадкам медицинской организации полезно наладить регулярное отслеживание ресурсов Дарквеба и закрытых Telegram-каналов. Это даст возможность вовремя выявлять слитые базы данных и похищенные учетные данные. Специальные инструменты мониторинга позволяют проводить регулярные проверки на предмет наличия конфиденциальной информации и выявлять брокеров, предоставляющих первоначальный доступ к сети. 

Когда пароли сотрудников обнаруживаются в Сети, вы можете принудительно сбросить их ещё до того, как злоумышленники смогут ими воспользоваться. В России в этом случае необходимо учитывать требования нормативных правовых актов, чтобы не попасть под соответствующие статьи КоАП и УК РФ. 

Обеспечение ИБ в компаниях, в том числе из медицинской сферы, не должно замыкаться на защите периметра. В этот процесс необходимо включать контроль отношений с поставщиками и партнерами, управление безопасностью всей цепочки поставок данных и средств их обработки вплоть до утилизации. Перед заключением соглашений с внешними компаниями нужно разработать четкие требования безопасности, определить критерии оценки качества обслуживания (SLA). В подобных соглашениях обязательно прописываются параметры доступа поставщиков и партнеров к информационным системам, а также характер ответственности. 

Новые вызовы: защита от ИИ-атаки и безопасность медицинского интернета вещей

ИБ-службам сферы здравоохранения все чаще приходится решать задачи отражения атак, подготовленных и реализованных системами на основе искусственного интеллекта, и защиты медицинского интернета вещей. Применяя средства ИИ, хакеры могут автоматизировать атаки, оперативно проверять данные, находя взаимосвязи, писать отличающиеся скрытностью вредоносные программы, создавать таргетированные фишинговые письма для большого количества потенциальных жертв, включая врачей, административный персонал и даже пациентов. 

Реальность такова, что ИИ позволяет злоумышленникам превратить кибератаки из сложного, медленного и сложного рутинного процесса в быструю ударную силу, способную взломать практически любую компанию. 

Защита от атак на основе ИИ едва ли будет эффективной, если ее рассматривать в рамках отдельных специальных проектов, в отрыве от основной стратегии информационной безопасности медучреждения. Что делать? Интегрировать это новое направление в стратегию, обязательно подключив средства мониторинга, регулярные обновления ПО и тренинги на основе различных сценариев. Только комплекс мероприятий по защите позволит отражать атаки с использованием высокого уровня автоматизации. 

Обеспечение безопасности данных, создаваемых устройствами направления IoMT, осложняется тем, что эта инфраструктура разрозненная, включающая решения от разных вендоров. Кроме того, она не всегда обеспечена каналами с высокой пропускной способностью. Средства ИБ должны учитывать эти ограничения. 

На уровне безопасности устройств требуются современные средства идентификации, решения для глубокого анализа данных и выявления аномалий. В плане безопасности данных необходимо использовать шифрование, средства управления доступом, инструменты проверки целостности передаваемых медицинских данных. И, конечно же, важно оценивать то, как устройства IoMT взаимодействуют с другими системами, включая электронные медицинские карты.

Что в итоге

Полное представление о передаче и хранении данных и понимание рисков утечек данных в сфере здравоохранения — первый шаг медучреждения в обеспечении защиты информации. Знание о комплексе угроз и потенциальных уязвимостях позволит медорганизациям разработать план действий по предотвращению утечек данных. Мероприятия по защите информации должны сопровождаться постоянным мониторингом и регулярными обучающими мероприятиями среди сотрудников.