CNews: Расскажите, какие технологии сейчас вышли на первые роли в сфере здравоохранения?

Николай Литошин: Безусловно, один из важнейших трендов на рынке здравоохранения — это телемедицина. С ее помощью возможно дистанционное оказание медицинской помощи в рамках врачебных онлайн-консультаций и удаленного наблюдения за состоянием здоровья пациентов. Стоит отметить, что это направление в нашей стране развивают не только медицинские и страховые организации, но и интернет-компании, операторы связи, банки и т.д. Пандемия ускорила рост рынка телемедицинских услуг в России примерно в два раза по сравнению с предыдущим годом. Отмечу при этом, что данное направление требует современных высокотехнологичных решений и подходов к защите информации. В распоряжении медицинских учреждений находится очень ценный ресурс — приватные данные о пациентах и сотрудниках. Информация этого рода строго конфиденциальна и особо чувствительна к утечкам, именно поэтому так важно обеспечить ее всестороннюю защиту.

Еще один тренд — использование персональных цифровых устройств в сфере здравоохранения. Все больше продуктов интернета вещей разрабатываются и применяются в медицине, включая различные носимые браслеты, датчики, корректоры и т.д. Сегодня почти все они работают через интернет и позволяют удаленно контролировать состояние жизненных показателей человека.

Важное направление — искусственный интеллект, на основе которого разрабатывают системы многие прогрессивные медицинские учреждения и отдельные команды. И здесь тоже нужно помнить о безопасности, поскольку для работы подобных платформ собираются огромные массивы данных, потеря которых может оказаться крайне чувствительной.

CNews: Если развивать тему информационной безопасности в медицине: с какими основными проблемами сталкиваются организации? Какие ИБ-решения вы считаете актуальными для медучреждений в первую очередь?

Николай Литошин: Основной вызов заключается в том, что растет количество точек соприкосновения медицинских организаций с внешним миром. Это значительно облегчает жизнь хакерам и увеличивает ИБ-риски. Избежать этого трудно, потому что в основе этой проблемы лежат как раз внедрение новых технологий в здравоохранении и переход с бумажных носителей на цифровые.

Другая грань проблемы — использование внутри отдельных учреждений программных решений от разных производителей и обилие старых протоколов специализированного медицинского оборудования: это затрудняет интеграцию и обеспечение комплексной защиты. По нашим оценкам, более 50% используемого в медучреждениях ПО содержит различные уязвимости, с помощью которых киберпреступники могут попасть в периметр и нанести ущерб данным и репутации организации.

Важно отметить также, что внедрение новых технологий происходит на фоне несовершенного правового регулирования в вопросах защиты информации.

Говоря об актуальных для отрасли ИБ-решениях, важно отметить, что для здравоохранения является актуальной задачей выполнение требований федеральных законов о защите персональных данных и о безопасности критической информационной инфраструктуры. Поэтому каждая организация из этого сегмента должна внедрить базовый набор средств защиты информации, предписанный федеральными регуляторами, ФСТЭК и ФСБ России. Сюда входят решения, обеспечивающие межсетевое экранирование, защиту каналов связи, обнаружение вторжений, антивирусную защиту, защиту рабочих мест, анализ защищенности и управление событиями безопасности.

CNews: В чем сложность реализации проектов по защите данных в медицинской сфере? С какими вызовами вы сталкиваетесь при реализации проектов и как отвечаете на них?

Николай Литошин: Как правило, это невыстроенные процессы ИБ и отсутствие понимания, в каком направлении двигаться. Наши специалисты совместно с сотрудниками заказчика погружаются в бизнес-процессы и ИТ-инфраструктуру организации. Мы систематизируем информацию и готовим ясную дорожную карту по направлению ИБ.

Еще одной большой проблемой — и в нашей стране она стоит особенно остро — является низкий уровень культуры кибербезопасности в организациях. Не соблюдаются элементарные правила хранения и обработки информации, об инцидентах узнают слишком поздно, когда доступ к файлам зашифрован, либо когда информация уже в интернете. В обоих случаях уже бессмысленно что-то защищать. Но и при возникновении инцидентов о них умалчивают, предпочитая либо платить мошенникам, либо приглашать специалистов, но без огласки. А ведь из-за этого другие организации не получают представления о масштабах опасности, и работа по предотвращению инцидентов, которая должна вестись повсеместно, даже не начинается.

Поэтому после внедрения систем защиты информации мы зачастую, перед передачей обслуживания этих систем ИТ-персоналу заказчика, проводим комплексное обучение его сотрудников, прорабатываем сценарии работы в различных ситуациях.

CNews: Насколько сильно мы отстаем от стран Запада в деле обеспечения кибербезопасности медучреждений?

Николай Литошин: В сфере здравоохранения кибермошенников привлекает легкость реализации атак. Как на Западе, так и в нашей стране медучреждения используют устаревшие ИТ-системы, редко обновляют программное обеспечение, а потому эти решения содержат сотни опасных уязвимостей, открывающих доступ для хакеров, даже не обладающих высокой квалификацией. Получается, что стоимость реализации атак довольно низкая, а при наличии привлекательных данных этот фактор всегда является решающим.

В середине февраля 2020 года компания Comparitech обнародовала данные исследования, согласно которым американские медучреждения за пять лет потеряли $157 млн из-за более чем 170 атак вирусов-вымогателей. Специалисты уверены, что эти цифры не отражают истинный размер потерь, поскольку пострадавшие не желают сообщать об инцидентах.

Конечно, в целом на Западе сейчас ситуация улучшается — там об убытках от атак говорят более открыто и с большей готовностью переходят на новые технологии. В нашей стране, особенно в отдаленных регионах, зачастую не приходится говорить о серьезной защищенности с точки зрения ИБ.

CNews: Расскажите, по каким направлениям идут атаки? Как мошенники используют уязвимости информационных систем в медучреждениях? И какие методы защиты наиболее популярны в России?

Николай Литошин: В список основных угроз ИБ входят несанкционированный доступ к конфиденциальной информации с целью ее хищения, заражение вирусами, троянами и другим вредоносным ПО с целью нанесения вреда хранимой информации и/или последующего шантажа с требованием выкупа. Активно применяются методы социальной инженерии для получения сведений об информационной системе для реализации распределенной целевой атаки. Кроме того, популярны внесение неисправностей, а аткже уничтожение технических и программно-технических компонентов ИС путем непосредственного физического воздействия.

По данным из открытых источников, наибольшая часть проблем ИБ в медицинских организациях в 2019 году была связана с почтовыми системами и фишинговыми атаками. Кроме того, по всему миру отмечалось большое количество атак brute-force (атак на перебор паролей) с последующим доступом к сервисам медучреждений, доступным из интернета (RDP, SMB и т.д.). Суть такого метода заключается в том, что злоумышленники выбирают слабые учетные записи сотрудников, взламывают их, получая доступ к публичным сервисам компании и во внутренний периметр. И они не только похищают данные, но и запускают вредоносные программы. Ну а дальше у них довольно обширный выбор: зашифровать данные и потребовать выкуп для расшифровки, выставить украденные данные на продажу, внести изменения в учетные данные пациентов, собрать данные о расходах клиентов на медицинские услуги.

На российском рынке все большую популярность приобретают отечественные средства защиты информации. В основном это межсетевые экраны и криптошлюзы, средства защиты рабочих компьютеров и антивирусной защиты. Такое положение дел связано, в первую очередь, с курсом на импортозамещение и требованиями регуляторов, которые непросто выполнить западным производителям.

CNews: Немного детализируя предыдущий вопрос: насколько серьезно интересуют киберпреступников персональные данные пациентов? Как они могут использоваться? Существует ли на них спрос в даркнете?

Николай Литошин: Ценность таких персональных данных растет с каждым годом. В даркнете стоимость медицинских данных может превышать стоимость данных о банковских картах. По оценке Cybersecurity Ventures, за украденную медицинскую карту пациента можно получить до 60 долларов за запись (что в 10-20 раз больше, чем информация о кредитной карте).

Данные из медицинских баз данных стоят примерно в 5 раз дороже банковских данных, то есть около 20 рублей за одну запись. Если на прицеле у хакеров оказывается крупная организация из сферы здравоохранения, злоумышленники могут добыть данные нескольких десятков и даже сотен тысяч пациентов за один взлом. И потом выставить их на продажу на черном рынке. Так, например, произошло в случае с индийской организацией из системы здравоохранения. Она была атакована предположительно китайскими хакерами, похитившими 6,8 млн (!)записей о пациентах и врачах, которые затем продавались в даркнете.

Обладание приватной информацией о пациентах помогает злоумышленникам входить в доверие к пользователям, обманывать их самих или их родственников. Помимо этого, хакеры могут вносить изменения в данные медицинских карт, чтобы затруднять постановку диагнозов, а также шантажировать пациентов, угрожая раскрыть данные о заболеваниях. Кроме того, интерес для злоумышленников представляет информация о счетах за лечение, которую они могут использовать в своих целях. Например, для оценки имеющихся у клиентов клиник денежных средств.

CNews: Какие комплексные подходы применяются для защиты от киберпреступников в медицине?

Николай Литошин: В первую очередь, главврачи медучреждений должны понимать и регулярно подсвечивать вопросы защиты информации. Любая ИТ-инициатива должна рассматриваться с точки зрения информационной безопасности. Нужно выстраивать системный подход к вопросу защиты информации и созданию ИБ-систем. У каждой организации должна быть актуальная дорожная карта реализации различных мероприятий. При создании и внедрении новых ИТ-сервисов необходимо сразу предусмотреть мероприятия по их защите.

Важно не только непрерывно поддерживать систему защиты в актуальном состоянии, но и совершенствовать ее. Это необходимо для того, чтобы противодействовать постоянно появляющимся новым уязвимостям в программном и аппаратном обеспечении, а также чтобы закрывать слабые места и каналы возможных утечек информации.

Для того, чтобы получать актуальный срез по инфраструктуре и тем уязвимостям, которые в ней есть, необходимо регулярно проводить аудит ИБ при помощи грамотных специалистов, адекватных организационных мер и технических средств.

CNews: Расскажите о наиболее заметных кейсах в здравоохранении, реализованных вашей компанией в последнее время? В чем их особенность и уникальность?

Николай Литошин: Наша компания разработала стратегию информационной безопасности для медицинской организации с филиалами по всей стране. Ввиду большой территориальной распределенности и сложности ИТ-инфраструктуры, потребовалось довольно много времени на проведение комплексного аудита ИБ. Этот проект является одним из первых в медицинской сфере, затрагивающих, в том числе, тему КИИ. Мы произвели категорирование объектов КИИ и спроектировали систему обеспечения безопасности значимых объектов критической инфраструктуры.

Также специалисты нашей компании защитили персональные данные в ЕРИС (Единый радиологический информационный сервис) Москвы. Это большой комплексный проект, реализованный в плотной связке с разработчиком этой системы. Информационные системы заказчика обрабатывают большие объемы данных с высокой скоростью, и их функционирование должно быть бесперебойным. Эти особенности значительно увеличили сложность реализованного проекта. Однако команда успешно справилась с поставленными задачами в заданные сроки.

Также наша команда обеспечила защиту инфраструктуры медицинской информационной системы в Федеральном медицинском центре. Мы произвели подключение организации к ЕГИСЗ и защитили рабочие места и серверы, которые с ней взаимодействуют. Предложенные подходы позволили переконфигурировать ИТ-инфраструктуру заказчика и выстроить правильную систему защиты информации в организации.