Как обеспечить информационную безопасность в медицинских организациях? Пример решения
За последние годы система здравоохранения значительно трансформировалась под влиянием цифровых технологий. При этом с ростом уровня информатизации медучреждений и количества персональных данных растут и угрозы кибербезопасности: увеличиваются масштабы хакерских атак, уязвимости устройств интернета вещей, медицинских информационных систем. Необходимо всесторонне обеспечить их защиту, в том числе, применяя новейшие технологии.
Содержание |
Пример решения
Из-за особенностей медицинских данных кибербезопасность в здравоохранении стала уникальной проблемой. Создание единого подхода к защите информации усложняется тем, что в поликлиниках, больницах и лабораториях используется множество сетей и цифровых комплексов. Кроме того, учреждения имеют территориально распределенную сеть и неоднородную инфраструктуру.
На информационную безопасность здравоохранения также влияют недостаточные организационные меры защиты информации, отсутствие подтверждения соответствия требованиям ИБ и недостаток специалистов по защите информации в медучреждениях.
Между тем, на медицинскую инфраструктуру совершается все больше хакерских атак. Привлекательность медучреждений для киберпреступников объясняется содержанием в информационных системах различной конфиденциальной информации, включая личные данные пациентов, номера банковских карт, медицинские сведения. В 2021 году здравоохранение стало самой атакуемой сферой, доля медицинских учреждений в статистике жертв киберпреступников постоянно росла: с 8% в 1 квартале до 12% в конце года. По данным исследования Positive Technologies, киберпреступники чаще всего похищали персональные данные и медицинскую информацию (39% и 36% от общей доли похищенных данных).
Хакерские атаки представляют большой риск для безопасности здравоохранения. Потеря доступа к медицинским устройствам и записям может привести к невозможности предоставления медицинских услуг и оказания медицинской помощи, а изменение или кража личных данных пациентов – к серьезному ущербу для их здоровья. Поэтому любая медицинская организация должна предпринимать эффективные меры для защиты данных и предотвращения потенциальных утечек.
Важно не только построить комплексную систему информационной безопасности в соответствии с требованиями регуляторов, но обучить персонал навыкам ИТ-безопасности, контролировать использование данных, разработать регламенты реагирования на инциденты с четкими ролями и обязанностями и регулярно оценивать риски киберугроз.
Нормативные требования по защите информации в здравоохранении
Защита информации в российских медицинских учреждениях регулируется федеральным законодательством, указами Президента РФ, руководящими документами Гостехкомиссии, Мининформсвязи, ФСТЭК и ФСБ России, а также отраслевыми рекомендациями Министерства здравоохранения России. Основными документами являются:
- Федеральный закон № 152-ФЗ «О защите персональных данных».
- Постановление Правительства № 1119.
- Приказы ФСТЭК России №№ 17, 21, 239.
- Приказ Министерства здравоохранения РФ № 911н
- Постановление Правительства РФ № 447.
- Постановление Правительства РФ № 1236
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Указ Президента РФ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».
Решения UserGate для медицины
Российские медучреждения обязаны использовать в качестве средств информационной безопасности только сертифицированное ПО. Одним из таких продуктов является решение компании UserGate – оно соответствует требованиям ФСТЭК России и внесено в Единый реестр российского ПО.
Все сервисы UserGate разработаны на собственной операционной системе UGOS, не использующей открытый код, а с марта 2022 года они размещены на территории России. Это позволяет обеспечить их стабильную работу, активацию и обновление.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 
Решения из экосистемы UserGate SUMMA можно использовать в единой системе обеспечения информационной безопасности в сфере здравоохранения ФГБУ «ЦНИИОИЗ» Минздрава России: UserGate обеспечивает надежную защиту компьютерных сетей, разнообразных устройств и приборов от хакерских атак, несанкционированного доступа, вирусов, вредоносных скриптов и приложений. Платформа также позволяет применять различные настройки безопасности к разным группам пользователей (пациенты, посетители, персонал больницы, администраторы).
Комплексная защита и централизованное управление
Главным компонентом экосистемы UserGate SUMMA является межсетевой экран нового поколения UserGate NGFW с весьма широкой функциональностью. Решение позволяет специалистам по ИБ решать множество задач:
- Межсетевое экранирование: настройка доступа к определённым сайтам и приложениям для разных групп пользователей, ограничение скорости соединений, запрет входящего или исходящего вредоносного трафика.
- Обнаружение и предотвращение вторжений (IDS/IPS), основанное на постоянном взаимодействии с центром безопасности UserGate, что позволяет быстро реагировать на известные и неизвестные угрозы.
- Защита от DDoS-атак и сетевого флуда: включение счетчика количества запросов от одного источника для уведомления администраторов или блокировки в случае превышения допустимого значения.
- Защита от вирусов и угроз нулевого дня (zero-day). Помимо традиционного сигнатурного антивируса, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого ещё не написаны сигнатуры.
- Защита веб-трафика и почты: обнаружение опасных и рекламных скриптов, проведение морфологического анализа страниц и их блокировка, аналитика почтовых сообщений для пресечения фишинговых и спамерских атак.
- Контроль мобильных устройств: настройка разрешения или запрета на доступ в сеть с портативных устройств работников.
- Гостевой портал (Captive Portal): позволяет внешним пользователям получить доступ в сеть, зарегистрировавшись через email или SMS. Для внутренних пользователей портал будет дополнительным средством аутентификации, проверяющим SMS/OTP.
- Поддержка кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).
- Защита медицинского оборудования. На основе технологических промышленных протоколов UserGate NGFW обнаруживает атаки или подозрительные операции в локальных сетях.
Защиту автоматизированных рабочих мест пользователей ведет сервис UserGate Client, который обнаруживает и блокирует сложные угрозы. Специальный движок отслеживает происходящие процессы, используя индикаторы компрометации и атак.
Дополнительно с компьютера собираются и анализируются сведения о запуске или остановке антивируса, активных пользователях, установленном ПО, обновлениях ОС и т.п. Информация коррелируются с другими событиями безопасности и в результате выявляются целевые угрозы, распределённые по времени и инфраструктуре атаки. При этом UserGate Client позволяет немедленно установить обновления безопасности или отключить сеть на потенциально заражённой машине. За безопасную удалённую работу сервиса отвечает встроенный VPN-клиент, использующий протокол L2TP.
Централизованное управление межсетевыми экранами UserGate NGFW ведется с помощью UserGate Management Center. Он действует на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств. Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО.
Крупные региональные МИС как правило используют большие серверные мощности, размещенные в ЦОДах. В этом случае для безопасной обработки трафика разработчик рекомендует использовать межсетевой экран UserGate FG. Производительность одного устройства достигает 80 Гбит/с с поддержкой кластеризации. Это возможно за счет специальных FPGA (ПЛИС), обеспечивающих параллельную аппаратную обработку трафика. Также предусмотрены скоростные интерфейсы QSFP28 (100 Гбит/с) и 10 Гбит/с SFP.
Мониторинг событий безопасности
В 2021 году Минздрав России заявил о намерении создать отраслевой центр системы реагирования на компьютерные атаки и инциденты информационной безопасности. Особое внимание в концепции уделяется регистрации инцидентов и передаче их в ОЦ. Медучреждениям с разветвленной сетью филиалов для этих целей подойдет централизованная система сбора событий. Например, UserGate Log Analyzer.
UserGate Log Analyzer формирует и хранит журналы событий, проводит их глубокий анализ, автоматически реагирует на инциденты, создает необходимые отчеты, которые автоматически отправляет по электронной почте администратору и другим уполномоченным лицам. Данные собираются как с внутренних серверов, так и со сторонних систем, совместимых с протоколом SNMP v2 и v3.
Программно-аппаратные комплексы UserGate NGFW
Программно-аппаратные комплексы UserGate NGFW закрывают потребности как небольшого филиала, так и крупной территориально-распределенной медицинской организации или центра обработки данных. Сравнительные характеристики устройств представлены в таблицах ниже:
| C100 | D200 | D500 | E1000 | E3000 | F8000 | |
|---|---|---|---|---|---|---|
| Производительность межсетевого экрана | до 2 Гб/c | до 18 Гб/c | до 25 Гб/c | до 40 Гб/c | до 60 Гб/c | |
| Производительность межсетевого экрана с определением приложений L7 | до 1,9 Гб/c | до 15 Гб/c | до 18,7 Гб/c | до 24 Гб/c | до 32 Гб/c | до 40 Гб/c |
| Производительность IPS | до 300 Мб/с | до 1,8 Гб/с | до 2 Гб/с | до 2,8 Гб/с | до 3,9 Гб/с | до 8 Гб/с |
| Контентная фильтрация | до 800 Мб/с | до 8,7 Гб/с | до 9,5 Гб/с | до 13 Гб/с | до 14,9 Гб/с | до 15 Гб/с |
| Инспектирование SSL | до 300 Мб/c | до 4 Гб/c | до 4,4 Гб/c | до 5 Гб/c | до 6,5 Гб/c | до 8 Гб/c |
| Одновременных TCP-сессий | до 2 млн | до 8 млн | до 16 млн | до 16 млн | до 16 млн | до 48 млн |
| Рекомендованное количество пользователей | до 100 | до 300 | до 500 | до 1 000 | до 3000 | до 10 000 |
| C100 | D200 | D500 | E1000 | E3000 | F8000 | |
|---|---|---|---|---|---|---|
| CPU, ядер | 4 | 8 | 8 | 16 | 28 | 72 |
| RAM, Гб | 8 | 16 | 32 | 32 | 32 | 64 |
| HDD | 1х500 Гб | 1х1000 Гб | 2х1000 Гбайт, RAID-1 | 2х1000 Гбайт, горячая замена, RAID-1 | ||
| Сетевые порты | 5 шт. Gbe | 5 шт. Gbe, 2 шт. SFP 1 Gbps, +8 шт. с использованием плат расширений 10GBase-F SFP+: 4 шт. с использованием плат расширений | 8 шт. Gbe, +24 шт. с использованием плат расширений Портов 10GBase-F SFP+: 12 шт. с использованием плат расширений | 9 шт. Gbe, + 40 шт. Gbe с использованием плат расширений Портов 10GBase-F SFP+: 4 шт., + 20 шт. с использованием плат расширений | ||
| Габариты | Tabletop | 1U | 1U | 1U | 1U | 2U |
Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, аналогичных обычным программно-аппаратным комплексам. При этом производительность будет зависеть только от объёма выделенных ресурсов, без дополнительных лицензионных ограничений.
Используя современные инструменты информационной безопасности UserGate, медицинские учреждения не только выполняют требования регуляторов, но и получают дополнительный функционал по безопасности и фильтрации интернет-трафика, высокую производительность и удобство администрирования.
