Григорий Ройтберг: «Информационная безопасность будет одним из основных направлений развития ИТ в медицине» |
Информационная безопасность будет одним из основных направлений развития ИТ в медицине. Такую точку зрения высказал Григорий Ройтберг, президент клиники «Медицина», выступая на конференции «Информационная безопасность медицинских и страховых компаний – новые угрозы и технологии защиты». По его словам, недостаточная защищенность информации пациента может не только нарушить деонтологические принципы, но и нанести клинике экономический ущерб.
Участники конференции, организованной компанией «ДиалогНаука» и клиникой «Медицина», обсудили актуальные тенденции в сфере информационной безопасности, проблемы, с которыми сталкиваются сегодня страховые и медицинские организации, а также опыт их решения.
Обязанность соблюдать постоянно меняющиеся требования законодательства по защите информации и перспектива проверок со стороны регуляторов вызывает серьезное напряжение в медучреждениях, так как действующие нормативные документы трактуются весьма неоднозначно, а ответственность за нарушения ужесточается. В то же время ИТ-инфраструктура медицинских организаций усложняется: вводятся в действие новые прикладные системы и открываются новые филиалы, появляются удаленные пользователи и сотрудники, работающие со своими мобильными устройствами. С ростом числа задач по защите информации и количества поддерживаемых средств инфозащиты увеличивается нагрузка на персонал подразделениий, ответственных за обеспечение информационной безопасности, отметил Виктор Сердюк, генеральный директор компании «ДиалогНаука». Немногочисленным штатным специалистам по информационной безопасности необходимо оперативно реагировать на множество угроз, среди которых на первый план в последнее время выходят действия инсайдеров, целенаправленные атаки и угрозы, связанные с Интернетом. Созданная в «Медицине» с помощью специалистов компании «ДиалогНаука» система менеджмента информационной безопасности покрывает все ключевые бизнес-процессы клиники, включая основной – оказание медицинских услуг.
Системность и сертификация
«Медицина» обладает весьма высоко развитой ИТ-инфраструктурой: собственный ЦОД, 57 серверов, 40 информационных систем, 563 автоматизированных рабочих места. В процесс обработки информации, включающей 60 тыс. объектов персональных данных и 2,3 млн записей, составляющих врачебную тайну, вовлечены 848 сотрудников. При этом из 18 специалистов ИТ-службы клиники обеспечением информационной безопасности заняты двое.
Как рассказал Сергей Смолин, инженер по информационной безопасности «Медицина», раз в месяц все компьютеры сканируются с помощью XSpider 7.8 и на них расставляются необходимые обновления. Управление доступом организовано на основе встроенных механизмов сертифицированной версии Windows, а централизованный контроль, установка обновлениий и настройка механизмов защиты производятся с помощью Net_Check.
USB-устройства разрешено использовать только 50 сотрудникам клиники, на остальных рабочих местах USB-порты заблокированы. Для управления доступом к съемным устройствам на АРМ, где USB-порты должны быть открыты, используется сертифицированная версия ПО DeviceLock компании «Смарт Лайн». Централизованный сбор событий безопасности и последующий их анализ реализуется с помощью программно-аппаратного комплекса HP ArcSight Logger, в качестве межсетевого экрана используется комплекс StoneGate компании Stonesoft, а для антивирусной защиты применяются продукты «Лаборатории Касперского».
В информационную систему клиники включены не только электронные истории болезни с онлайн-доступом для врачей и пациентов, но и смарт-операционные и смарт-палаты. Поэтому при внедрении системы управления информационной безопасностью требовалось минимализировать изменения, вносимые в процессы обработки данных, а также сохранить уровень надежности медицинского оборудования, подключенного к информационной системе. Но основной трудностью создания системы управления информационной безопасности Смолин назвал непонимание сотрудниками необходимости такого внедрения вообще и формализации отдельных процессов в частности. Сегодня основные сложности уже позади.
Результатом формализации процессов управления информационной безопасностью стало значительное снижение количества инцидентов (с 13 в 2012 году до семи в 2013-м) и времени реакции на инцидент. Существенную роль в уменьшении числа нарушений играет постоянный контроль деятельности персонала и информирование пользователей о таком контроле. «Достоинством системы управления информационной безопасности является наличие механизмов контроля эффективности мер защиты», – отметил Виктор Пархоменко, замдиректора службы ИТ по эксплуатации клиники «Медицина». Благодаря такой системе удается обнаружить такие трудно локализуемые нарушения, как несанкционированные подключения оборудования и использование посторонних неинсталлируемых приложений, запускаемых через Интернет.
По словам Пархоменко, внедрение системы управления информационной безопасностью в клинике позволило оптимизировать расходы и снизить риски, связанные с возможным ущербом для активов компании. За счет формализации процессов информационной безопасности удалось уменьшить операционные затраты, в то же время обеспечив соответствие уровня безопасности целям бизнеса, а также законодательным, отраслевым, контрактным и внутрикорпоративным требованиям.
В декабре прошлого года «Медицина» прошла аудит на соответствие требованиям международного стандарта ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования), став первой в России клиникой, сертифицированной по данному стандарту.
Но выполнив требования ФЗ-152 и пройдя аттестацию по международным стандартам, «Медицина» не перестала совершенствовать систему защиты персональных данных пациентов от потенциальных угроз. «Чем больше мы узнаем, тем яснее понимаем, что мало знаем и защищены недостаточно», – заметил Ройтберг. По его словам, сегодня не разрешены многие острые проблемы, связанные с информационной безопасностью. К примеру, страховая компания, направляющая пациента в клинику, обязана получить у него согласие на работу своих экспертов с его медицинской картой. На практике таких разрешений пациентов у страховщиков нет, что делает юридически уязвимыми не только их самих, но и медицинские организации, с которыми они работают.
Средства мониторинга
Из конкретных технологических решений на конференции были рассмотрены возможности организации мониторинга событий информационной безопасности на базе решений HP ArcSight, платформы для визуализации и анализа рисков сетевой безопасности RedSeal, системы FireEye для защиты от целевых атак APT (Advanced Persistent Threat), а также технологии мониторинга интернет-ресурсов с помощью онлайн-сервиса «Лавина Пульс». Как подчеркнул Андрей Масалович, руководитель направления конкурентной разведки «ДиалогНаука», организовать информационную атаку на конкурента гораздо проще, чем повысить качество собственных услуг: «уронить» репутацию компании в блогах сегодня стоит всего 3-5 тыс. руб. Поэтому руководителю бизнеса важна «ситуационная осведомленность и поддержка принятия стратегических решений»