2022/04/19 12:15:15

Как обеспечить информационную безопасность в медицинских организациях? Пример решения

За последние годы система здравоохранения значительно трансформировалась под влиянием цифровых технологий. При этом с ростом уровня информатизации медучреждений и количества персональных данных растут и угрозы кибербезопасности: увеличиваются масштабы хакерских атак, уязвимости устройств интернета вещей, медицинских информационных систем. Необходимо всесторонне обеспечить их защиту, в том числе, применяя новейшие технологии.

Содержание

Пример решения

Из-за особенностей медицинских данных кибербезопасность в здравоохранении стала уникальной проблемой. Создание единого подхода к защите информации усложняется тем, что в поликлиниках, больницах и лабораториях используется множество сетей и цифровых комплексов. Кроме того, учреждения имеют территориально распределенную сеть и неоднородную инфраструктуру.

На информационную безопасность здравоохранения также влияют недостаточные организационные меры защиты информации, отсутствие подтверждения соответствия требованиям ИБ и недостаток специалистов по защите информации в медучреждениях.

Между тем, на медицинскую инфраструктуру совершается все больше хакерских атак. Привлекательность медучреждений для киберпреступников объясняется содержанием в информационных системах различной конфиденциальной информации, включая личные данные пациентов, номера банковских карт, медицинские сведения. В 2021 году здравоохранение стало самой атакуемой сферой, доля медицинских учреждений в статистике жертв киберпреступников постоянно росла: с 8% в 1 квартале до 12% в конце года. По данным исследования Positive Technologies, киберпреступники чаще всего похищали персональные данные и медицинскую информацию (39% и 36% от общей доли похищенных данных).

Хакерские атаки представляют большой риск для безопасности здравоохранения. Потеря доступа к медицинским устройствам и записям может привести к невозможности предоставления медицинских услуг и оказания медицинской помощи, а изменение или кража личных данных пациентов – к серьезному ущербу для их здоровья. Поэтому любая медицинская организация должна предпринимать эффективные меры для защиты данных и предотвращения потенциальных утечек.

Важно не только построить комплексную систему информационной безопасности в соответствии с требованиями регуляторов, но обучить персонал навыкам ИТ-безопасности, контролировать использование данных, разработать регламенты реагирования на инциденты с четкими ролями и обязанностями и регулярно оценивать риски киберугроз.

Нормативные требования по защите информации в здравоохранении

Защита информации в российских медицинских учреждениях регулируется федеральным законодательством, указами Президента РФ, руководящими документами Гостехкомиссии, Мининформсвязи, ФСТЭК и ФСБ России, а также отраслевыми рекомендациями Министерства здравоохранения России. Основными документами являются:

Решения UserGate для медицины

Российские медучреждения обязаны использовать в качестве средств информационной безопасности только сертифицированное ПО. Одним из таких продуктов является решение компании UserGate – оно соответствует требованиям ФСТЭК России и внесено в Единый реестр российского ПО.

Все сервисы UserGate разработаны на собственной операционной системе UGOS, не использующей открытый код, а с марта 2022 года они размещены на территории России. Это позволяет обеспечить их стабильную работу, активацию и обновление.TAdviser выпустил Гид по российским операционным системам 10.4 т

Решения из экосистемы UserGate SUMMA можно использовать в единой системе обеспечения информационной безопасности в сфере здравоохранения ФГБУ «ЦНИИОИЗ» Минздрава России: UserGate обеспечивает надежную защиту компьютерных сетей, разнообразных устройств и приборов от хакерских атак, несанкционированного доступа, вирусов, вредоносных скриптов и приложений. Платформа также позволяет применять различные настройки безопасности к разным группам пользователей (пациенты, посетители, персонал больницы, администраторы).

Image:Решения_UserGate_для_медицины.png

Комплексная защита и централизованное управление

Главным компонентом экосистемы UserGate SUMMA является межсетевой экран нового поколения UserGate NGFW с весьма широкой функциональностью. Решение позволяет специалистам по ИБ решать множество задач:

  • Межсетевое экранирование: настройка доступа к определённым сайтам и приложениям для разных групп пользователей, ограничение скорости соединений, запрет входящего или исходящего вредоносного трафика.
  • Обнаружение и предотвращение вторжений (IDS/IPS), основанное на постоянном взаимодействии с центром безопасности UserGate, что позволяет быстро реагировать на известные и неизвестные угрозы.
  • Защита от DDoS-атак и сетевого флуда: включение счетчика количества запросов от одного источника для уведомления администраторов или блокировки в случае превышения допустимого значения.
  • Защита от вирусов и угроз нулевого дня (zero-day). Помимо традиционного сигнатурного антивируса, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого ещё не написаны сигнатуры.
  • Защита веб-трафика и почты: обнаружение опасных и рекламных скриптов, проведение морфологического анализа страниц и их блокировка, аналитика почтовых сообщений для пресечения фишинговых и спамерских атак.
  • Контроль мобильных устройств: настройка разрешения или запрета на доступ в сеть с портативных устройств работников.
  • Гостевой портал (Captive Portal): позволяет внешним пользователям получить доступ в сеть, зарегистрировавшись через email или SMS. Для внутренних пользователей портал будет дополнительным средством аутентификации, проверяющим SMS/OTP.
  • Поддержка кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).
  • Защита медицинского оборудования. На основе технологических промышленных протоколов UserGate NGFW обнаруживает атаки или подозрительные операции в локальных сетях.

Защиту автоматизированных рабочих мест пользователей ведет сервис UserGate Client, который обнаруживает и блокирует сложные угрозы. Специальный движок отслеживает происходящие процессы, используя индикаторы компрометации и атак.

Дополнительно с компьютера собираются и анализируются сведения о запуске или остановке антивируса, активных пользователях, установленном ПО, обновлениях ОС и т.п. Информация коррелируются с другими событиями безопасности и в результате выявляются целевые угрозы, распределённые по времени и инфраструктуре атаки. При этом UserGate Client позволяет немедленно установить обновления безопасности или отключить сеть на потенциально заражённой машине. За безопасную удалённую работу сервиса отвечает встроенный VPN-клиент, использующий протокол L2TP.

Централизованное управление межсетевыми экранами UserGate NGFW ведется с помощью UserGate Management Center. Он действует на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств. Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО.

Крупные региональные МИС как правило используют большие серверные мощности, размещенные в ЦОДах. В этом случае для безопасной обработки трафика разработчик рекомендует использовать межсетевой экран UserGate FG. Производительность одного устройства достигает 80 Гбит/с с поддержкой кластеризации. Это возможно за счет специальных FPGA (ПЛИС), обеспечивающих параллельную аппаратную обработку трафика. Также предусмотрены скоростные интерфейсы QSFP28 (100 Гбит/с) и 10 Гбит/с SFP.

Мониторинг событий безопасности

В 2021 году Минздрав России заявил о намерении создать отраслевой центр системы реагирования на компьютерные атаки и инциденты информационной безопасности. Особое внимание в концепции уделяется регистрации инцидентов и передаче их в ОЦ. Медучреждениям с разветвленной сетью филиалов для этих целей подойдет централизованная система сбора событий. Например, UserGate Log Analyzer.

UserGate Log Analyzer формирует и хранит журналы событий, проводит их глубокий анализ, автоматически реагирует на инциденты, создает необходимые отчеты, которые автоматически отправляет по электронной почте администратору и другим уполномоченным лицам. Данные собираются как с внутренних серверов, так и со сторонних систем, совместимых с протоколом SNMP v2 и v3.

Программно-аппаратные комплексы UserGate NGFW

Программно-аппаратные комплексы UserGate NGFW закрывают потребности как небольшого филиала, так и крупной территориально-распределенной медицинской организации или центра обработки данных. Сравнительные характеристики устройств представлены в таблицах ниже:

C100D200D500E1000E3000F8000
Производительность межсетевого экрана до 2 Гб/c до 18 Гб/c до 25 Гб/c до 40 Гб/c до 60 Гб/c
Производительность межсетевого экрана с определением приложений L7 до 1,9 Гб/c до 15 Гб/c до 18,7 Гб/c до 24 Гб/c до 32 Гб/c до 40 Гб/c
Производительность IPS до 300 Мб/с до 1,8 Гб/с до 2 Гб/с до 2,8 Гб/с до 3,9 Гб/с до 8 Гб/с
Контентная фильтрация до 800 Мб/с до 8,7 Гб/с до 9,5 Гб/с до 13 Гб/с до 14,9 Гб/с до 15 Гб/с
Инспектирование SSL до 300 Мб/c до 4 Гб/c до 4,4 Гб/c до 5 Гб/c до 6,5 Гб/c до 8 Гб/c
Одновременных TCP-сессий до 2 млн до 8 млн до 16 млн до 16 млн до 16 млн до 48 млн
Рекомендованное количество пользователей до 100 до 300 до 500 до 1 000 до 3000 до 10 000
C100 D200 D500 E1000 E3000 F8000
CPU, ядер 4 8 8 16 28 72
RAM, Гб 8 16 32 32 32 64
HDD1х500 Гб 1х1000 Гб2х1000 Гбайт, RAID-1 2х1000 Гбайт, горячая замена, RAID-1
Сетевые порты 5 шт. Gbe5 шт. Gbe, 2 шт. SFP 1 Gbps, +8 шт. с использованием плат расширений
10GBase-F SFP+: 4 шт. с использованием плат расширений
8 шт. Gbe, +24 шт. с использованием плат расширений Портов
10GBase-F SFP+: 12 шт. с использованием плат расширений
9 шт. Gbe, + 40 шт. Gbe с использованием плат расширений
Портов 10GBase-F SFP+: 4 шт., + 20 шт. с использованием плат расширений
Габариты Tabletop 1U 1U 1U 1U 2U

Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, аналогичных обычным программно-аппаратным комплексам. При этом производительность будет зависеть только от объёма выделенных ресурсов, без дополнительных лицензионных ограничений.

Используя современные инструменты информационной безопасности UserGate, медицинские учреждения не только выполняют требования регуляторов, но и получают дополнительный функционал по безопасности и фильтрации интернет-трафика, высокую производительность и удобство администрирования.