Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Защита информации в медицинских организациях с помощью решений UserGate

Иван Чернов, 16/05/22

По уровню информатизации медицинские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их). Больницы, лаборатории и другие медицинские учреждения оперативно передают друг другу истории болезней, результаты анализов, протоколы лечения и прочую информацию ограниченного доступа. При этом используются различные региональные или федеральные информационные системы, например Единая государственная информационная система в сфере здравоохранения.

Автор: Иван Чернов, менеджер по работе с партнерами компании UserGate

По уровню информатизации медицинские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их).

Однако разнообразие информационных систем рождает неоднородность подходов к защите информации, фрагментарность использования СЗИ. Выступая с докладом на SOC-форуме, Александр Дубасов, советник директора ФГБУ ЦНИИОИЗ Минздрава России, отметил [1] это как одну из ключевых проблем защиты информационных систем в сфере здравоохранения. Другими проблемами остаются неполнота организационных мер защиты информации, отсутствие подтверждения соответствия требованиям информационной безопасности и недостаток специалистов по защите информации в медучреждениях.

Между тем киберпреступники начинают обращать на организации здравоохранения все больше внимания. В течение всего 2021 г. доля медицинских учреждений в статистике жертв кибератак постоянно росла, с 8% в I квартале до 12% в конце года. Среди жертв программ-шифровальщиков медорганизаций больше всего (статистика за III квартал 2021 г.). Хакерская активность может привести к невозможности предоставления медицинских услуг и оказания медицинской помощи или оказанию ненадлежащей медицинской помощи, невозможности точного определения диагноза и назначения лечения, а также невозможности обеспечения преемственности оказания медицинской помощи. Серьезным последствием будет и неправомерное использование похищенной конфиденциальной медицинской информации.

Поэтому для любой медицинской организации важно не только построить комплексную систему информационной безопасности, обеспечивающую соответствие требованиям регуляторов, но и своевременно обнаруживать и предотвращать угрозы информационной безопасности, не допуская утечек информации и остановки деятельности медицинских информационных систем.

Соответствие требованиям по информационной безопасности в медицинских организациях

Первоначально понятие "врачебная тайна" было определено еще в законе "Основы законодательства Российской Федерации об охране здоровья граждан" от 1993 г. Устанавливались гарантии конфиденциальности и запрет на разглашение сведений о здоровье гражданина. На смену ему был принят 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (действует на момент публикации), в котором добавлялась обязанность медучреждений соблюдать законодательство о персональных данных при обработке врачебной тайны. А 152-ФЗ "О персональных данных" особо отмечает, что сведения о состоянии здоровья могут обрабатываться только в определенных случаях.

Конкретные требования информационной безопасности к медицинским учреждениям можно разделить на три группы.

Законодательство о персональных данных

Постановление Правительства РФ No 1119 определяет правила категорирования информационных систем, в которых обрабатываются данные о здоровье субъекта персональных данных, – не слабее 3-го уровня защищенности. Приказ ФСТЭК России No 21 перечисляет технические и организационные меры защиты для таких информационных систем.

Медицинские и государственные информационные системы

Приказ Министерства здравоохранения РФ No 911н и постановление Правительства РФ No 1236 определяют специальные требования к медицинским информационным системам медицинской организации (МИС МО) в виде запрета на допуск иностранной продукции и размещения данных за рубежом. Если медучреждение взаимодействует с государственной информационной системой (ГИС), для защиты этого взаимодействия будут применяться меры приказа ФСТЭК России No 17. Эти же меры должны также использоваться для интегрированных с МИС МО информационных систем (постановление Правительства РФ No 447 от 12.04.2018).

Критическая информационная инфраструктура (КИИ)

После введения в действия в 2017 г. 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" в случае, если медицинская организация является субъектом критической информационной инфраструктуры и одной из ее информационных систем присвоена категория значимости объекта КИИ (ЗОКИИ), необходимо выполнять дополнительные требования информационной безопасности. Они установлены приказом ФСТЭК России No 239.

В итоге система защиты информации медучреждения должна выполнять функциональные требования по информационной безопасности, предъявляемые ФСТЭК России. Используемые средства защиты информации (СЗИ) должны быть сертифицированы ФСТЭК России (и ФСБ для средств криптографической защиты информации) и находиться в реестре отечественного ПО Минкомсвязи.

Применение UserGate в медицинских организациях

Решения компании UserGate удовлетворяют требованиям по информационной безопасности для медицинских учреждений. Продукты из экосистемы кибербезопасности UserGate SUMMA [2] можно использовать в качестве средств защиты информации информационных систем (ИС) в единой системе обеспечения информационной безопасности в сфере здравоохранения по схеме [3] ФГБУ "ЦНИИОИЗ" Минздрава России.

Рис. 1. Система информационной безопасности на основе UserGate SUMMA

Продукты компании UserGate реализуют следующие меры по защите информации, содержащейся в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн):

  • идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) (полностью);
  • антивирусная защита (АВЗ) (полностью);
  • обнаружение вторжений (СОВ) (полностью);
  • управление доступом субъектов доступа к объектам доступа (УПД);
  • регистрация событий безопасности (РСБ);
  • обеспечение доступности (ОДТ);
  • защита информационной системы, ее средств, систем связи и передачи данных (3ИС);
  • обеспечение целостности информационной системы (ОЦЛ);
  • защита среды виртуализации (ЗСВ);
  • выявление инцидентов и реагирование на них (ИНЦ);
  • управление конфигурацией (УКФ).
Если говорить о критической инфраструктуре, то предъявляемые к ее защите технические требования приказа ФСТЭК России No 31 закрываются следующими мерами:
  • обнаружение вторжений (СОВ) (полностью);
  • идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
  • управление доступом субъектов доступа к объектам доступа (УПД);
  • аудит безопасности (АУД);l антивирусная защита (АВЗ);
  • обеспечение доступности (ОДТ);
  • защита информационной системы и ее компонентов (ЗИС);
  • реагирование на компьютерные инциденты (ИНЦ);
  • управление конфигурацией (УКФ);
  • управление обновлениями программного обеспечения (ОПО).

В экосистеме продуктов кибербезопасности UserGate SUMMA центральным компонентом является межсетевой экран нового поколения UserGate (UserGate NGFW).

UserGate NGFW обладает сертификатами ФСТЭК России:

  • по 4-му уровню доверия к средствам технической защиты информации;
  • по требованиям к профилям защиты межсетевых экранов типа "А", "Б" и "Д" 4-го класса защиты;
  • системам обнаружения вторжений 4-го класса защиты.

UserGate NGFW занесен в Реестр отечественного ПО Минкомсвязи (запись No 1194).

Поэтому при использовании UserGate NGFW в информационной системе ее можно будет аттестовать по требованиям безопасности информации как ГИС и/или ИСПДн по всем уровням защиты, от 4-го до 1-го включительно.

Помимо мер, содержащихся в требованиях регуляторов, любая организация нуждается в практической безопасности. UserGate NGFW предоставляет следующий функционал.

Межсетевое экранирование

В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Не говоря о стандартных IP получателя, IP источника, протоколе и т.д., в UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение например, мессенджер Skype, сайт "Яндекс.Диск" – всего более 1200 приложений и протоколов). Проверяются также и приложения, работающие по протоколу HTTPS. Все это позволит настроить доступ к определенным сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик из "опасной" страны или в нее.

Важным технологическим преимуществом UserGate NGFW является алгоритм обработки правил фильтрации: обработка правил не зависит от их количества, что позволяет добиться высокой производительности.

Обнаружение и предотвращение вторжений (IDS/IPS)

Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей – с возможностью гибко настроить включенные сигнатуры и реакцию UserGate на них. Работа функций безопасности решения основана на постоянном взаимодействии с центром безопасности UserGate, что позволяет поддерживать минимальное время реакции на известные и неизвестные угрозы. Разработчики UserGate обладают уникальным и специфическим опытом по работе с интернет-ресурсами и угрозами, особенно актуальными для русскоязычного сегмента Интернета.

Proxy-сервер в составе UserGate NGFW использует технологию инспекции трафика без задержки скорости передачи.

Защита от DoS-атак и сетевого флуда

Чтобы один хост не мог отправкой большого количества пакетов случайно или специально парализовать работу всей сети, в UserGate NGFW можно включить счетчик количества запросов от одного источника, чтобы в случае превышения уведомить администраторов или сразу его заблокировать.

Защита от вирусов и угроз нулевого дня (Zero Day)

Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого еще не написаны сигнатуры.

Защита веб-трафика и почты

UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения, в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организацию.

Контроль мобильных устройств

UserGate NGFW позволяет обеспечивать безопасность при использовании в организации концепции BYOD (Bring Your Own Device). Если во внутренней сети есть портативные устройства работников (ноутбуки, планшеты, и т. п.), им можно разрешать или запрещать доступ в сеть, гибко ограничивая, например, максимальное количество одновременно активных устройств для одного пользователя.

Гостевой портал (Captive Portal)

UserGate NGFW предоставляет специальный портал, с помощью которого внешние пользователи могут, зарегистрировавшись через е-mail или СМС, получить доступ в сеть. А для внутренних пользователей Captive Portal будет дополнительным средством аутентификации, проверяющим СМС/OTP.

Кластеризация

UserGate NGFW поддерживает возможность кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).

Защита медицинского оборудования

Новая версия UserGate NGFW также способна разбирать технологические промышленные протоколы, позволяя обнаружить атаки или подозрительные операции в сетях. Особенно это актуально для лечебно-профилактических и диагностических учреждений, в которых дорогостоящее медицинское оборудование зачастую располагается в одной локальной сети с рабочими местами медицинского персонала.

Программно-аппаратные комплексы UserGate NGFW

Линейка программно-аппаратных комплексов UserGate NGFW рассчитана на то, чтобы покрыть потребности как небольшого филиала, так и крупной территориально распределенной медицинской организации или центра обработки данных. Вся многофункциональность сосредоточена в едином корпусе. Для выполнения требований по информационной безопасности нужно будет установить всего одно устройство.

Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, аналогичных обычным программно-аппаратным комплексам. При этом производительность будет зависеть только от объема выделенных ресурсов, без дополнительных лицензионных ограничений.

При необходимости возможно настроить облачный межсетевой экран UserGate-as-a-Service (UGaaS). Такой вариант будет удобен при активном использовании в организации облачных информационных систем, нуждающихся в защите. Функционал UGaaS будет аналогичен версии on-premise.

Защита ЦОД

Медицинские информационные системы, объединяющие один или несколько регионов, для своего размещения требуют значительных серверных мощностей. Их можно разместить только в оборудованном ЦОД. Но поток трафика может быть настолько большим, что обычному межсетевому экрану сложно будет его обрабатывать.

В таком случае можно использовать высокопроизводительный межсетевой экран UserGate FG. Заявленная производительность одного устройства – до 80 Гбайт/с, с возможностью объединить устройства в кластер распределения нагрузки.

Высокая скорость обработки достигнута благодаря специальным FPGA (ПЛИС), обеспечивающим параллельную аппаратную обработку трафика. В UserGate FG также предусмотрены скоростные интерфейсы QSFP28 (100 Гбайт/с) и 10 Гбайт/с SFP.

UserGate Client

Во многих инцидентах ИБ, происходивших с медорганизациями, точкой проникновения злоумышленников в сеть был компьютер пользователя. К примеру, Ascend Clinical была взломана после фишинговой атаки. И конечно, система защиты информации была бы неполной без решения, защищающего рабочее место. В экосистеме продуктов UserGate эту роль выполняет UserGate Client. Он обнаруживает и блокирует сложные угрозы на автоматизированных рабочих местах (АРМ), например шифровальщики или вредоносную активность легитимного ПО.

Перечислим функции UserGate Client.

  1. Защита рабочего места от сложных угроз. Специальный движок отслеживает происходящие на АРМ процессы, используя индикаторы компрометации (IoC) и индикаторы атак (IoA). С компьютера также собираются и анализируются дополнительные сведения: запуск или остановка антивируса, активный пользователь, установленное ПО и обновления ОС и т.п. Эти сведения коррелируются с другими событиями безопасности (в частности, сетевыми). В результате выявляются целевые угрозы, распределенные по времени и инфраструктуре атаки.
  2. Управление безопасностью АРМ. UserGate Client предоставляет возможность, обнаружив угрозу, немедленно на нее отреагировать: установить обновления безопасности, отключить сеть на потенциально зараженной машине.
  3. Хостовый межсетевой экран. Блокировка нежелательных сетевых соединений на уровне рабочего места.
  4. VPN-клиент. Для безопасной удаленной работы в UserGate Client встроен VPN-клиент, использующий протокол L2TP.

Таблица 1. Сравнение моделей UserGate NGFW

Управление межсетевыми экранами

Даже самое функциональное средство защиты информации может стать тяжким грузом и "дырой" в информационном периметре, если таких средств будет не одно, а пять, десять или более. Особенно это актуально, если они размещены не в одном месте, а в нескольких – в сети частных клиник или лабораторий сбора анализов. Для удобного централизованного управления UserGate NGFW был создан UserGate Management Center. Управление осуществляется на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств.

Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО.

Возможности управления:

  1. Создание областей безопасности. Для разных подразделений (функциональных или территориальных) можно создавать свои области безопасности и администраторов этих областей. Если же необходимости в этом нет, можно обойтись одной стандартной областью.
  2. Группы шаблонов безопасности. Управление подчиненными устройствами реализуется с помощью шаблона безопасности, в котором выстраиваются необходимые политики, правила и настройки. Шаблон можно применять для одного или нескольких устройств и комбинировать их.
  3. Обновление ПО и библиотек. ПО и обновления библиотек (сигнатуры IPS, списки сайтов и т.п.) могут быть загружены на UserGate Management Center и установлены на все устройства.
  4. Мониторинг и управление питанием. Для подчиненных устройств доступна информация о лицензии (используемые модули и количество активных подключений), аптайме, занятых ресурсах RAM и CPU. В этой же консоли есть кнопки перезагрузки и выключения устройств.

Мониторинг событий безопасности

Для повышения уровня безопасности медорганизаций Минздрав России создает отраслевой центр системы реагирования на компьютерные атаки и инциденты информационной безопасности. При этом значительное место в этой системе уделяется именно регистрации событий безопасности и передаче их в этот центр. Если в сети медорганизации несколько источников событий, удобнее всего будет использовать централизованную систему сбора событий. UserGate Log Analyzer как раз и является такой системой.

После появления функций анализа событий и реагирования на инциденты UserGate Log Analyzer становится полноценной SIEM-системой. Можно будет, например, организовать в одном месте обработку событий безопасности для всех филиалов территориально распределенной медорганизции. Причем не только для устройств UserGate, планируется добавлять источники других производителей, уже сейчас возможен сбор по протоколу SNMP. Ее возможности:

  1. Сбор и хранение журналов. UserGate Log Analyzer собирает события безопасности с устройств UserGate (по проприетарному протоколу) и с других устройств (по SNMP). Благодаря этому высвобождаются ресурсы конечных устройств и увеличивается срок хранения данных событий. Хранятся журнал событий (изменение настроек целевых серверов, обновления и т.д), журнал веб-доступа пользователей, журнал трафика (срабатывания правил межсетевого экрана, NAT, маршрутизации), журнал IPS, история перехваченных поисковых запросов пользователей в поисковиках.
  2. Анализ событий и автоматическое реагирование. Поступающие журналы автоматически проверяются на соответствие встроенным правилам UserGate Log Analyzer, и при совпадении создается срабатывание. Когда генерируется срабатывание, система может выполнить действия, настроенные в правиле создания инцидента. Можно отправить e-mail или СМС, создать правило на межсетевом экране с задаваемыми параметрами или создать тикет в системе.
  3. Создание отчетов. В UserGate Log Analyzer доступна фильтрация, сортировка и группировка по журналам событий, веб-доступа, трафика, IPS. Отчеты могут предоставить подробный список всех посещенных веб-сайтов, топ блокируемых доменов, топ пользователей по URL-категориям и по заблокированным сайтам, топ заблокированных приложений, топ сработавших правил; топ IP-адресов источников атак, IP-адреса целей атакующих, топ протоколов, используемых в атаках; используемые в организации устройства, топ сигнатур устройств. Можно настроить генерацию отчета по расписанию и отправку их по протоколу SNMP.


Рис. 2. Инфраструктура сети медицинской организации

Заключение

Министерство здравоохранения России как отраслевой регулятор намерено в ближайшие годы создать единые стандарты защиты информации в сфере здравоохранения, единую организационно-методическую политику реализации мер защиты информации. Будет проводиться регулярный контроль выполнения организационных и технических мер защиты информации.

Используя UserGate NGFW, медицинские учреждения не только выполняют требования регуляторов, но и получают дополнительный функционал безопасности и фильтрации интернет-трафика, высокую производительность и удобство администрирования. Использование интернет-доступа пользователями, устройствами и приложениями становится более прозрачным.

При наличии EDR-решения UserGate Client снижается вероятность проникновения в сеть вредоносной программы или шифровальщика. Большим подспорьем в работе администратора ИБ станут Log Analyzer и Management Center, ускоряющие процессы управления устройствами и анализа событий.

Нет нужды лишний раз подчеркивать новые вызовы, в противодействии которым сфера здравоохранения росла последние два года. Кроме этого, глобальный тренд на заботу о своем здоровье становится причиной открытия все большего количества лечебно-профилактических учреждений. Эти организации обрабатывают большие объемы информационных данных о здоровье своих клиентов, а значит, должны их достойно защищать.


1,3 https://soc-forum2021.ib-bank.ru/files/files/Presentations2021/SOC_21_ib-bank_Dubasov.pdf

2 https://cisoclub.ru/usergate-summa-ekosistema-produktov-kiberbezopasnosti/ 

Темы:Защита сетейКИИЖурнал "Информационная безопасность" №1, 2022Проблемы и решения
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...