Обеспечение информационной безопасности в медицине. Актуальные советы

Угрозы информационной безопасности для медицинских учреждений

К середине 2020-х годов медицинские организации накопили огромные массивы оцифрованной информации о пациентах — от телефонных номеров, адресов и паспортных данных до диагнозов и результатов анализов. Все это крайне привлекательно для киберпреступников. Вместе с оператором ИТ-решений ОБИТ рассмотрим основные ошибки в хранении данных пациентов, возможные риски и самые эффективные способы защиты информации.

Большинство ИБ-инцидентов связано с действиями киберпреступников: в 2024 году порядка 92% утечек медицинских данных произошло из-за внешних нарушителей, сообщает экспертно-аналитический центр InfoWatch.

Злоумышленники проникают в медицинские информационные системы (МИС) ради перепродажи базы или вымогательства. Хакер может не интересоваться записями о клиентах, но использовать вирус-шифровальщик, который лишит вас доступа к ним, застопорив тем самым работу клиники и подготовив почву для вымогательства.

Одновременно с этим значительная доля утечек случается по внутренним причинам. Многие хакерские атаки сопряжены с неосторожностью и низким уровнем цифровой грамотности персонала. Сотрудник может случайно открыть фишинговое письмо, заразив сеть, или сообщить тайны в переписке с «руководителем», который якобы сменил номер телефона. Бывают и намеренные инсайдерские «сливы», когда сотрудников подкупают и они сознательно выводят медицинские данные за корпоративный периметр.

Топ источников угроз:

• Устаревшее программное и аппаратное обеспечение. Несвоевременное обновление операционных систем, МИС и другого софта, а также беспечность в отношении аппаратной части создают уязвимости, которые становятся мишенью киберпреступников.

• Слабое шифрование. Без современных протоколов шифрования медицинских данных становится неэффективным, позволяя злоумышленникам похитить конфиденциальную информацию.

• Неправильная эксплуатация информационных систем. Отход от стандартных сценариев использования ПО и ИТ-оборудования, отсутствие должных надстроек (например, сложных паролей) и нехватка тестирования также могут привести к компрометации.

В 2015 году был украден корпоративный ноутбук американской компании Premier Healthcare с записями о более чем 200 тысячах клиентов. Единственным барьером служил пароль на входе в систему.

• Человеческий фактор. Социальная инженерия использовалась в каждой второй успешной атаке на организации во II квартале 2024 года, по данным компании-разработчика Positive Technologies. Это фишинг, отравление сетевых запросов, фальшивые антивирусы и т. д. Другая угроза — недобросовестность сотрудников.

В начале 2024 года в даркнете выставили на продажу базу Нижнекамской районной больницы (Татарстан). ИБ-специалисты установили подлинность 2 тысяч записей. По материалам прессы, утечку организовали именно инсайдеры.

Устаревшие способы хранения данных пациентов не входят в топ угроз, но также могут становиться причинами катастроф. Многие учреждения до сих пор совмещают цифровую экосистему с бумажным документооборотом, увеличивая риски потери данных. Без охраны и оперативной утилизации «аналоговые» истории болезни и журналы могут принести такие же проблемы, как цифровые инциденты.

Последствия утечек: финансовые, юридические и репутационные риски

Цена утечки для медбизнеса крайне высока. Негативные последствия проявляются сразу в нескольких плоскостях.

Финансовый ущерб включает в себя расходы на восстановление, простой в работе клиники, выплату штрафов и компенсаций. Российское законодательство с 30 мая 2025 года предусматривает гораздо более серьезные штрафы, чем ранее.

Теперь, если утекли данные о не менее чем 1 тысяче физлиц (или не менее 10 тысяч идентификаторов), медицинское учреждение должно заплатить от 3 до 5 млн рублей. За нарушение обязанности уведомить об утечке вам назначат штраф от 1 до 3 млн рублей. Если раскрыта врачебная тайна, пострадавшие вправе требовать материальную компенсацию. Таким образом, одиночный инцидент способен обойтись в сумму, сопоставимую с прибылью за несколько месяцев. В некоторых случаях юридическая ответственность может расшириться до уголовной.

Крайне ощутимы и репутационные потери — ущерб имиджу. Медицинская организация, не сумевшая защитить конфиденциальность больных, рискует лишиться значительной части своей клиентской базы. Общественный резонанс и негатив в СМИ могут надолго отпугнуть новых клиентов. Когда в 2022 году утечка случилась у крупной сети лабораторий «Гемотест», компанию оштрафовали всего на 60 тысяч рублей, однако репутационный урон был несоизмеримо больше.

Нельзя забывать и о последствиях для тех, кто доверил вам свое здоровье. Записи о диагнозе и ходе лечения могут быть использованы для шантажа, дискриминации при приеме на работу, мошенничества со страховками. Суть медицины — помогать людям, а не создавать дискомфорт из-за компрометации персональных данных.

Нормативные требования и стандарты защиты информации

В России ключевым тематическим актом является Федеральный закон №152 «О персональных данных». Он обязывает всех операторов — включая клиники, диагностические центры и лаборатории — обеспечивать конфиденциальность пациентов.

Медицинские данные относятся к специальной категории персональных данных (сведения о состоянии здоровья), поэтому к их охране предъявляются повышенные требования. Закон не допускает сбор сведений, которые не соответствуют медико-профилактических целям, цели постановки диагноза и оказания медицинских услуг. Обработка сведений может осуществляться лишь теми, кто профессионально занимаются медицинской деятельностью, — при сохранении врачебной тайны. Понятие врачебной тайны закреплено в Федеральном законе №323 «Об основах охраны здоровья граждан».

Также действует Приказ Министерства здравоохранения РФ №911н. Он определяет ключевые требования к информационным системам разного уровня. В первую очередь это ведение электронных медицинских карт (ЭМК), возможность организации электронной регистратуры и автоматизации отчетности учреждения, синхронизация с Государственной информационной системой (ГИС) субъекта РФ и Единой информационной системой в сфере здравоохранения (ЕГИСЗ).

Есть и другие отраслевые требования. Например, защита информации медицинского учреждения обязана соответствовать ИБ-требованиям, которые предъявляет Федеральная служба по техническому и экспортному контролю (ФСТЭК) России. Постановление Правительства РФ №1236 ограничивает использование иностранной продукции в сфере ИТ и размещение данных о российских гражданах за рубежом.

Обратите внимание: как будут храниться сведения — определяет главный врач. Он же несет основную ответственность за утечку.

Любой клинике необходимо работать с нормативной базой, чтобы уменьшить вероятность инцидентов, защититься от штрафов и репутационных потерь, а также быть готовыми к проверкам Роскомнадзора.

Как обеспечить безопасность медицинских информационных систем?

Мы собрали рекомендации, которые подойдут самым разным организациям в сфере медицины — от небольших частных кабинетов до сетевых организаций.

1. Проведите аудит безопасности. Проанализируйте, как обрабатываются и хранятся персданные, насколько актуально ПО и оборудование, используются ли продвинутые средства защиты. Проведите тесты на проникновение (Penetration Testing). Если в штате нет проверенного специалиста, лучше привлечь внешних профессионалов, которые от и до знакомы с нормативной базой и рынком ИБ-решений. Об аудите от «ОБИТ» — на странице услуги.

2. Ограничьте доступ к базам. Информационная безопасность эффективна ровно настолько, насколько осведомлены, осторожны и добросовестны люди, которые работают с данными. Тренинги по правилам обращения с конфиденциальной информацией и противодействию социальной инженерии — очень важны; но еще важнее построить четкую иерархию в отношении обработки персональных данных. Чем больше объем доступа — тем тщательнее нужно контролировать действия сотрудника. Необходимо построить периметр, в котором просто технически невозможен слив из-за отсутствия киберграмотности или инсайдерская торговля.

3. Займитесь актуализацией ИТ-систем. Операционные системы на корпоративных компьютерах, МИС, «прошивка» специализированного ПО на аппаратах, которые подключены к корпоративной сети, — все это должно быть лицензированным и своевременно обновляться. Уязвимость одного устройства может поставить под удар весь ИТ-периметр организации.

4. Настройте современные методы шифрования медицинских данных. Записи следует хранить и передавать только в зашифрованном виде. Реализуйте средства криптографической защиты информации (СКЗИ) на серверах и в базах данных, применяйте шифрованные каналы связи (VPN, HTTPS/TLS) при любой интеграции технологий. В случае кражи оборудования или перехвата трафика злоумышленники не смогут прочитать зашифрованные сведения.

5. Защитите ИТ-инфраструктуру от кибератак. Важно выстроить защищенный периметр, настроив межсетевые экраны нового поколения (NGFW) на границе сети, антивирус и системы обнаружения и предотвращения вторжений — IDS/IPS. Также крайне полезными могут оказаться системы управления идентификацией (IDM, PAM), предотвращения утечек (DLP) и обнаружения подозрительной активности (SIEM, SOAR). Сегментируйте сеть: аппараты диагностики, персональные компьютеры, гостевой Wi-Fi и т. д. должны быть изолированы друг от друга. Чем критичнее доступ к определенному сегменту — тем больше средств аутентификации используем.
   
   «ОБИТ» сотрудничает только с поставщиками, многократно доказавшими эффективность собственных средств защиты: UserGate, «Лабораторией Касперского», Positive Technologies и др. Подробнее о решениях, которые мы внедряем, — здесь.

6. Наведите порядок в процедурах ИБ. Задокументируйте полный алгоритм работы с персданными и создайте инструкции для сотрудников, чтобы каждый понимал категорические «нельзя». Четкие регламенты и контроль за их исполнением помогают избежать многих проблем.

7. Внедрите резервное копирование и разработайте план реагирования на инциденты. Мошеннические методы постоянно развиваются, и никто не защищен на 100%. Поэтому даже с самой продвинутой инфраструктурой нельзя не думать о том, что вы будете делать, если атака все-таки случится. Многие клиники не имеют надежных резервных копий или не тестируют процедуры восстановления, и это значит, что, например, атака вируса-шифровальщика парализует лечебный процесс.

Комплексный подход к обеспечению ИБ и профессиональная поддержка

Каждый из перечисленных выше шагов усиливает безопасность в медицине. Но максимальную эффективность они приносят лишь в комплексе.

Малому и среднему бизнесу в сфере медицины зачастую непросто внедрить эти меры собственными силами. Здесь на помощь приходят партнеры, которые имеют опыт защиты медицинских данных.

Оператор ИТ-решений ОБИТ предлагает весь спектр услуг в сфере информационной безопасности для медицинских учреждений. Наши эксперты готовы провести детализированный аудит текущих средств защиты, внедрить новые технологии в соответствии с законодательством и отраслевыми стандартами, а также обеспечить последующее сопровождение. Отдельное внимание мы уделяем обучению сотрудников, что существенно снижает влияние человеческого фактора.

Хотите систему информационной безопасности «под ключ» или помощь с подбором отдельных решений? Обращайтесь к «ОБИТ». С нами можно не думать обо всех технических нюансах сохранности медицинских данных и концентрироваться на главном — предоставлении качественной помощи.