По уровню информатизации медицинские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их). Больницы, лаборатории и другие медицинские учреждения оперативно передают друг другу истории болезней, результаты анализов, протоколы лечения и прочую информацию ограниченного доступа. При этом используются различные региональные или федеральные информационные системы, например Единая государственная информационная система в сфере здравоохранения.
Автор: Иван Чернов, менеджер по работе с партнерами компании UserGate
По уровню информатизации медицинские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их).
Однако разнообразие информационных систем рождает неоднородность подходов к защите информации, фрагментарность использования СЗИ. Выступая с докладом на SOC-форуме, Александр Дубасов, советник директора ФГБУ ЦНИИОИЗ Минздрава России, отметил [1] это как одну из ключевых проблем защиты информационных систем в сфере здравоохранения. Другими проблемами остаются неполнота организационных мер защиты информации, отсутствие подтверждения соответствия требованиям информационной безопасности и недостаток специалистов по защите информации в медучреждениях.
Между тем киберпреступники начинают обращать на организации здравоохранения все больше внимания. В течение всего 2021 г. доля медицинских учреждений в статистике жертв кибератак постоянно росла, с 8% в I квартале до 12% в конце года. Среди жертв программ-шифровальщиков медорганизаций больше всего (статистика за III квартал 2021 г.). Хакерская активность может привести к невозможности предоставления медицинских услуг и оказания медицинской помощи или оказанию ненадлежащей медицинской помощи, невозможности точного определения диагноза и назначения лечения, а также невозможности обеспечения преемственности оказания медицинской помощи. Серьезным последствием будет и неправомерное использование похищенной конфиденциальной медицинской информации.
Поэтому для любой медицинской организации важно не только построить комплексную систему информационной безопасности, обеспечивающую соответствие требованиям регуляторов, но и своевременно обнаруживать и предотвращать угрозы информационной безопасности, не допуская утечек информации и остановки деятельности медицинских информационных систем.
Первоначально понятие "врачебная тайна" было определено еще в законе "Основы законодательства Российской Федерации об охране здоровья граждан" от 1993 г. Устанавливались гарантии конфиденциальности и запрет на разглашение сведений о здоровье гражданина. На смену ему был принят 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (действует на момент публикации), в котором добавлялась обязанность медучреждений соблюдать законодательство о персональных данных при обработке врачебной тайны. А 152-ФЗ "О персональных данных" особо отмечает, что сведения о состоянии здоровья могут обрабатываться только в определенных случаях.
Конкретные требования информационной безопасности к медицинским учреждениям можно разделить на три группы.
Постановление Правительства РФ No 1119 определяет правила категорирования информационных систем, в которых обрабатываются данные о здоровье субъекта персональных данных, – не слабее 3-го уровня защищенности. Приказ ФСТЭК России No 21 перечисляет технические и организационные меры защиты для таких информационных систем.
Приказ Министерства здравоохранения РФ No 911н и постановление Правительства РФ No 1236 определяют специальные требования к медицинским информационным системам медицинской организации (МИС МО) в виде запрета на допуск иностранной продукции и размещения данных за рубежом. Если медучреждение взаимодействует с государственной информационной системой (ГИС), для защиты этого взаимодействия будут применяться меры приказа ФСТЭК России No 17. Эти же меры должны также использоваться для интегрированных с МИС МО информационных систем (постановление Правительства РФ No 447 от 12.04.2018).
После введения в действия в 2017 г. 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" в случае, если медицинская организация является субъектом критической информационной инфраструктуры и одной из ее информационных систем присвоена категория значимости объекта КИИ (ЗОКИИ), необходимо выполнять дополнительные требования информационной безопасности. Они установлены приказом ФСТЭК России No 239.
В итоге система защиты информации медучреждения должна выполнять функциональные требования по информационной безопасности, предъявляемые ФСТЭК России. Используемые средства защиты информации (СЗИ) должны быть сертифицированы ФСТЭК России (и ФСБ для средств криптографической защиты информации) и находиться в реестре отечественного ПО Минкомсвязи.
Решения компании UserGate удовлетворяют требованиям по информационной безопасности для медицинских учреждений. Продукты из экосистемы кибербезопасности UserGate SUMMA [2] можно использовать в качестве средств защиты информации информационных систем (ИС) в единой системе обеспечения информационной безопасности в сфере здравоохранения по схеме [3] ФГБУ "ЦНИИОИЗ" Минздрава России.
Продукты компании UserGate реализуют следующие меры по защите информации, содержащейся в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн):
В экосистеме продуктов кибербезопасности UserGate SUMMA центральным компонентом является межсетевой экран нового поколения UserGate (UserGate NGFW).
UserGate NGFW обладает сертификатами ФСТЭК России:
UserGate NGFW занесен в Реестр отечественного ПО Минкомсвязи (запись No 1194).
Поэтому при использовании UserGate NGFW в информационной системе ее можно будет аттестовать по требованиям безопасности информации как ГИС и/или ИСПДн по всем уровням защиты, от 4-го до 1-го включительно.
Помимо мер, содержащихся в требованиях регуляторов, любая организация нуждается в практической безопасности. UserGate NGFW предоставляет следующий функционал.
В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Не говоря о стандартных IP получателя, IP источника, протоколе и т.д., в UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение например, мессенджер Skype, сайт "Яндекс.Диск" – всего более 1200 приложений и протоколов). Проверяются также и приложения, работающие по протоколу HTTPS. Все это позволит настроить доступ к определенным сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик из "опасной" страны или в нее.
Важным технологическим преимуществом UserGate NGFW является алгоритм обработки правил фильтрации: обработка правил не зависит от их количества, что позволяет добиться высокой производительности.
Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей – с возможностью гибко настроить включенные сигнатуры и реакцию UserGate на них. Работа функций безопасности решения основана на постоянном взаимодействии с центром безопасности UserGate, что позволяет поддерживать минимальное время реакции на известные и неизвестные угрозы. Разработчики UserGate обладают уникальным и специфическим опытом по работе с интернет-ресурсами и угрозами, особенно актуальными для русскоязычного сегмента Интернета.
Proxy-сервер в составе UserGate NGFW использует технологию инспекции трафика без задержки скорости передачи.
Чтобы один хост не мог отправкой большого количества пакетов случайно или специально парализовать работу всей сети, в UserGate NGFW можно включить счетчик количества запросов от одного источника, чтобы в случае превышения уведомить администраторов или сразу его заблокировать.
Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого еще не написаны сигнатуры.
UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения, в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организацию.
UserGate NGFW позволяет обеспечивать безопасность при использовании в организации концепции BYOD (Bring Your Own Device). Если во внутренней сети есть портативные устройства работников (ноутбуки, планшеты, и т. п.), им можно разрешать или запрещать доступ в сеть, гибко ограничивая, например, максимальное количество одновременно активных устройств для одного пользователя.
UserGate NGFW предоставляет специальный портал, с помощью которого внешние пользователи могут, зарегистрировавшись через е-mail или СМС, получить доступ в сеть. А для внутренних пользователей Captive Portal будет дополнительным средством аутентификации, проверяющим СМС/OTP.
UserGate NGFW поддерживает возможность кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).
Новая версия UserGate NGFW также способна разбирать технологические промышленные протоколы, позволяя обнаружить атаки или подозрительные операции в сетях. Особенно это актуально для лечебно-профилактических и диагностических учреждений, в которых дорогостоящее медицинское оборудование зачастую располагается в одной локальной сети с рабочими местами медицинского персонала.
Линейка программно-аппаратных комплексов UserGate NGFW рассчитана на то, чтобы покрыть потребности как небольшого филиала, так и крупной территориально распределенной медицинской организации или центра обработки данных. Вся многофункциональность сосредоточена в едином корпусе. Для выполнения требований по информационной безопасности нужно будет установить всего одно устройство.
Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, аналогичных обычным программно-аппаратным комплексам. При этом производительность будет зависеть только от объема выделенных ресурсов, без дополнительных лицензионных ограничений.
При необходимости возможно настроить облачный межсетевой экран UserGate-as-a-Service (UGaaS). Такой вариант будет удобен при активном использовании в организации облачных информационных систем, нуждающихся в защите. Функционал UGaaS будет аналогичен версии on-premise.
Медицинские информационные системы, объединяющие один или несколько регионов, для своего размещения требуют значительных серверных мощностей. Их можно разместить только в оборудованном ЦОД. Но поток трафика может быть настолько большим, что обычному межсетевому экрану сложно будет его обрабатывать.
В таком случае можно использовать высокопроизводительный межсетевой экран UserGate FG. Заявленная производительность одного устройства – до 80 Гбайт/с, с возможностью объединить устройства в кластер распределения нагрузки.
Высокая скорость обработки достигнута благодаря специальным FPGA (ПЛИС), обеспечивающим параллельную аппаратную обработку трафика. В UserGate FG также предусмотрены скоростные интерфейсы QSFP28 (100 Гбайт/с) и 10 Гбайт/с SFP.
Во многих инцидентах ИБ, происходивших с медорганизациями, точкой проникновения злоумышленников в сеть был компьютер пользователя. К примеру, Ascend Clinical была взломана после фишинговой атаки. И конечно, система защиты информации была бы неполной без решения, защищающего рабочее место. В экосистеме продуктов UserGate эту роль выполняет UserGate Client. Он обнаруживает и блокирует сложные угрозы на автоматизированных рабочих местах (АРМ), например шифровальщики или вредоносную активность легитимного ПО.
Перечислим функции UserGate Client.
Даже самое функциональное средство защиты информации может стать тяжким грузом и "дырой" в информационном периметре, если таких средств будет не одно, а пять, десять или более. Особенно это актуально, если они размещены не в одном месте, а в нескольких – в сети частных клиник или лабораторий сбора анализов. Для удобного централизованного управления UserGate NGFW был создан UserGate Management Center. Управление осуществляется на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств.
Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО.
Возможности управления:
Для повышения уровня безопасности медорганизаций Минздрав России создает отраслевой центр системы реагирования на компьютерные атаки и инциденты информационной безопасности. При этом значительное место в этой системе уделяется именно регистрации событий безопасности и передаче их в этот центр. Если в сети медорганизации несколько источников событий, удобнее всего будет использовать централизованную систему сбора событий. UserGate Log Analyzer как раз и является такой системой.
После появления функций анализа событий и реагирования на инциденты UserGate Log Analyzer становится полноценной SIEM-системой. Можно будет, например, организовать в одном месте обработку событий безопасности для всех филиалов территориально распределенной медорганизции. Причем не только для устройств UserGate, планируется добавлять источники других производителей, уже сейчас возможен сбор по протоколу SNMP. Ее возможности:
Рис. 2. Инфраструктура сети медицинской организации
Министерство здравоохранения России как отраслевой регулятор намерено в ближайшие годы создать единые стандарты защиты информации в сфере здравоохранения, единую организационно-методическую политику реализации мер защиты информации. Будет проводиться регулярный контроль выполнения организационных и технических мер защиты информации.
Используя UserGate NGFW, медицинские учреждения не только выполняют требования регуляторов, но и получают дополнительный функционал безопасности и фильтрации интернет-трафика, высокую производительность и удобство администрирования. Использование интернет-доступа пользователями, устройствами и приложениями становится более прозрачным.
При наличии EDR-решения UserGate Client снижается вероятность проникновения в сеть вредоносной программы или шифровальщика. Большим подспорьем в работе администратора ИБ станут Log Analyzer и Management Center, ускоряющие процессы управления устройствами и анализа событий.
Нет нужды лишний раз подчеркивать новые вызовы, в противодействии которым сфера здравоохранения росла последние два года. Кроме этого, глобальный тренд на заботу о своем здоровье становится причиной открытия все большего количества лечебно-профилактических учреждений. Эти организации обрабатывают большие объемы информационных данных о здоровье своих клиентов, а значит, должны их достойно защищать.
1,3 https://soc-forum2021.ib-bank.ru/files/files/Presentations2021/SOC_21_ib-bank_Dubasov.pdf
2 https://cisoclub.ru/usergate-summa-ekosistema-produktov-kiberbezopasnosti/