Защита информации в медицинских организациях

Киберпреступники всё чаще обращают внимание на медицинские организации. В течение 2021 года доля учреждений в статистике жертв кибератак выросла с 8% в 1 квартале до 12% в конце года, а среди жертв программ-шифровальщиков медицинских организаций больше всего. Хакерская активность может привести к серьёзным последствиям: от утечки и использования конфиденциальной информации до невозможности предоставления медицинских услуг и оказания медицинской помощи.

Больницы, лаборатории и другие медицинские учреждения оперативно передают друг другу истории болезней, результаты анализов, протоколы лечения и прочую информацию ограниченного доступа. При этом многие организации не уделяют должного внимания использованию средств защиты информации (СЗИ).

• обеспечить соответствие требованиям регуляторов;
• обнаруживать и предотвращать угрозы информационной безопасности;
• построить комплексную систему информационной безопасности.

На примере использования средств информационной защиты отечественной компании UserGate разберём, как медицинским организациям не стать жертвой хакерских атак, не допустить утечек информации и остановки деятельности медицинских информационных систем.

Понятие «врачебная тайна» было определено ещё в законе «Основы законодательства Российской Федерации об охране здоровья граждан» от 1993 года, тогда устанавливались гарантии конфиденциальности и запрет на разглашение сведений о здоровье гражданина. На смену ему был принят 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (действующий сейчас), по которому в обязанности медучреждений вошло требование соблюдать законодательство о персональных данных при обработке врачебной тайны. А 152-ФЗ «О персональных данных» отмечает, что сведения о состоянии здоровья могут обрабатываться только в определённых случаях.

Требования информационной безопасности к медицинским учреждениям можно разделить на три группы:

1) Законодательство о персональных данных.

Постановление Правительства №1119 определяет правила категорирования информационных систем, в которых обрабатываются данные о здоровье субъекта персональных данных – не слабее 3 уровня защищённости. А приказ ФСТЭК России №21 перечисляет технические и организационные меры защиты для таких информационных систем.

2) Медицинские и государственные информационные системы.

Приказ Министерства здравоохранения РФ № 911н и Постановление Правительства РФ №1236 определяют специальные требования к медицинским информационным системам медицинской организации (МИС МО) – запрет на допуск иностранной продукции и размещения данных за рубежом. Если медучреждение взаимодействует с государственной информационной системой (ГИС), то для защиты будут применяться меры Приказа ФСТЭК России №17.

Эти же меры должны использоваться для интегрированных с МИС МО информационных систем (Постановление Правительства РФ №447 от 12.04.2018).

3) Критическая информационная инфраструктура (КИИ).

После введения в действия в 2017 г. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», если медицинская организация является субъектом критической информационной инфраструктуры, или одной из её информационных систем присвоена категория значимости объекта КИИ (ЗОКИИ), то необходимо выполнять дополнительные требования информационной безопасности. Они установлены приказом ФСТЭК России №239.

Система защиты информации медучреждения обязана выполнять функциональные требования по информационной безопасности, предъявляемые ФСТЭК России.

Решения компании UserGate соответствуют требованиям по информационной безопасности для медицинских учреждений. Продукты из экосистемы кибербезопасности UserGate SUMMA можно использовать в качестве средств защиты информации информационных систем (ИС) в единой системе обеспечения информационной безопасности в сфере здравоохранения по схеме ФГБУ «ЦНИИОИЗ» Минздрава России.

В экосистеме продуктов кибербезопасности UserGate SUMMA центральным компонентом является межсетевой экран нового поколения UserGate (UserGate NGFW).

UserGate NGFW обладает сертификатами ФСТЭК России:

• По 4 уровню доверия к средствам технической защиты информации;

• По требованиям к профилям защиты межсетевых экранов типа «А», «Б» и «Д» 4 класса защиты;

• Системам обнаружения вторжений 4 класса защиты.

UserGate NGFW занесён в Реестр отечественного ПО Минкомсвязи (№ записи 1194).

Используя UserGate NGFW в информационной системе, её можно будет аттестовать по требованиям безопасности информации как ГИС и/или ИСПДн по всем уровням защиты: от 4 до 1 включительно.

Помимо мер, содержащихся в требованиях регуляторов, любая организация нуждается в практической безопасности. UserGate NGFW предоставляет следующий функционал:

• Межсетевое экранирование

В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Помимо стандартных IP получателя, IP источника, протоколе, в UserGate NGFW определяется инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение (более 1200 приложения и протоколов). Также проверяются и приложения, работающие по протоколу HTTPS. Всё это позволит настроить доступ к определённым сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик в/из «опасной» страны.

• Обнаружение и предотвращение вторжений (IDS/IPS)

Поиск и блокировка подозрительных соединений с возможностью гибко настроить включённые сигнатуры и реакцию UserGate на них. Работа функций безопасности решения основана на постоянном взаимодействии с центром безопасности UserGate, что позволяет поддерживать минимальное время реакции на известные и неизвестные угрозы. Разработчики UserGate обладают уникальным и специфическим опытом по работе с интернет-ресурсами и угрозами, особенно актуальными для русскоязычного сегмента Интернета.

• Защита от DoS-атак и сетевого флуда

Чтобы отправкой большого количества пакетов один хост не мог случайно или специально парализовать работу всей сети, в UserGate NGFW можно включить счётчик количества запросов от одного источника, чтобы в случае превышения уведомить администраторов или сразу заблокировать.

• Защита от вирусов и угроз нулевого дня (zero-day)

Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу. Это позволит обезвредить вредоносное ПО, для которого ещё не написаны сигнатуры.

• Защита веб-трафика и почты

UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов и последующей блокировкой страницы, если слова были найдены. Почтовые сообщения также анализируются, чтобы пресечь фишинговые и спамерские атаки на организацию.

• Контроль мобильных устройств

UserGate NGFW позволяет обеспечивать безопасность при использовании в организации концепции BYOD (Bring your own device). Если во внутренней сети есть портативные устройства работников (ноутбуки, планшеты, и т. п.), им можно разрешать или запрещать доступ в сеть, гибко ограничивая, например, максимальное количество одновременно активных устройств для одного пользователя.

• Гостевой портал (Captive Portal)

UserGate NGFW предоставляет специальный портал, с помощью которого внешние пользователи могут получить доступ в сеть, зарегистрировавшись через email или SMS. А для внутренних пользователей Captive Portal будет дополнительным средством аутентификации, проверяющим SMS/OTP.

• Кластеризация

UserGate NGFW поддерживает возможность кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).

• Защита медицинского оборудования

Новая версия UserGate NGFW также способна разбирать технологические промышленные протоколы, позволяя обнаружить атаки или подозрительные операции в сетях. Особенно это актуально для лечебно-профилактических и диагностических учреждений, в которых дорогостоящее медицинское оборудование зачастую располагается в одной локальной сети с рабочими местами медицинского персонала.

Линейка программно-аппаратных комплексов UserGate NGFW способна покрыть потребности как небольшого филиала, так и крупной территориально-распределенной медицинской организации или центра обработки данных. Вся многофункциональность сосредоточена в едином корпусе. Для выполнения требований по информационной безопасности нужно будет установить всего одно устройство.

Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, аналогичных обычным программно-аппаратным комплексам. При этом производительность будет зависеть только от объёма выделенных ресурсов, без дополнительных лицензионных ограничений.

Медицинские информационные системы, объединяющие один или несколько регионов, для своего размещения требуют значительных серверных мощностей. Их можно разместить только в оборудованном ЦОД. Но поток трафика может быть настолько большим, что обычному межсетевому экрану сложно будет его обрабатывать.

В таком случае можно использовать высокопроизводительный межсетевой экран UserGate FG. Заявленная производительность одного устройства – до 80 Гб/с, с возможностью объединить устройства в кластер распределения нагрузки.

Высокая скорость обработки достигнута благодаря специальным FPGA (ПЛИС), обеспечивающим параллельную аппаратную обработку трафика. Также в UserGate FG предусмотрены скоростные интерфейсы QSFP28 (100 Гб/с) и 10 Гб/с SFP.

Во многих инцидентах ИБ, происходивших с медицинскими организациями, точкой проникновения злоумышленников в сеть был компьютер пользователя. К примеру, Ascend Clinical была взломана после фишинговой атаки. И, разумеется, система защиты информации была бы неполной без решения, защищающего рабочее место. В экосистеме продуктов UserGate эту роль выполняет UserGate Client. Он обнаруживает и блокирует сложные угрозы на автоматизированных рабочих местах (АРМ), например, шифровальщиков или вредоносную активность легитимного ПО.

Функции UserGate Client:

• Защита рабочего места от сложных угроз

Специальный движок отслеживает происходящие на АРМ процессы, используя индикаторы компрометации (IoC) и индикаторы атак (IoA). Также с компьютера собираются и анализируются дополнительные сведения: запуск или остановка антивируса, активный пользователь, установленное ПО и обновления ОС и т.п. Эти сведения коррелируются с другими событиями безопасности (в частности, сетевыми). В результате выявляются целевые угрозы, распределённые по времени и инфраструктуре атаки.

• Управление безопасностью АРМ

UserGate Client предоставляет возможность, обнаружив угрозу, немедленно на неё отреагировать: установить обновления безопасности, отключить сеть на потенциально заражённой машине.

• Хостовый межсетевой экран

Блокировка нежелательных сетевых соединений на уровне рабочего места.

• VPN-клиент

Для безопасной удалённой работы в UserGate Client встроен VPN-клиент, использующий протокол L2TP.

Даже самое функциональное средство защиты информации может стать тяжким грузом и «дырой» в информационном периметре, если таких средств будет не одно, а пять, десять или более. Особенно это актуально, если они размещены не в одном месте, а в нескольких – в сети частных клиник или лабораторий сбора анализов. Для удобного централизованного управления UserGate NGFW был создан UserGate Management Center. Управление осуществляется на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств.

Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО.

Возможности управления:

• Создание областей безопасности

Для разных подразделений (функциональных или территориальных) можно создавать свои области безопасности и администраторов этих областей. Если же необходимости в этом нет, можно обойтись одной стандартной областью.

• Группы шаблонов безопасности

Управление подчиненными устройствами реализуется с помощью шаблона безопасности, в котором выстраиваются необходимые политики, правила и настройки. Шаблон можно применять для одного или нескольких устройств и комбинировать их.

• Обновление ПО и библиотек

ПО и обновления библиотек (сигнатуры IPS, списки сайтов и т.п.) могут быть загружены на UserGate Management Center и установлены на все устройства.

• Мониторинг и управление питанием

Для подчинённых устройств доступна информация о лицензии (используемые модули и количество активных подключений), аптайме, занятых ресурсах RAM и CPU. В этой же консоли есть кнопки перезагрузки и выключения устройств.

Для повышения уровня безопасности медицинских организаций, Минздрав России создаёт отраслевой центр системы реагирования на компьютерные атаки и инциденты информационной безопасности. При этом значительное место в этой системе уделяется именно регистрации событий безопасности и передаче их в этот центр. Если в сети организации несколько источников, удобнее всего будет использовать централизованную систему сбора событий. UserGate Log Analyzer как раз и является такой системой.

После появления функций анализа событий и реагирования на инциденты UserGate Log Analyzer становится полноценной SIEM-системой. Можно будет, например, организовать обработку событий безопасности для всех филиалов территориально-распределённой медицинской организации в одном месте. Причём не только для устройств UserGate, планируется добавлять источники других производителей. Уже сейчас возможен сбор по протоколу SNMP.

Её возможности:

• Сбор и хранение журналов

UserGate Log Analyzer собирает события безопасности с устройств Usergate (по проприентарному протоколу) и с других устройств (по SNMP). Благодаря этому высвобождаются ресурсы конечных устройств, и увеличивается срок хранения этих событий. Хранятся: журнал событий (изменение настроек целевых серверов, обновления и т. д), журнал веб-доступа пользователей, журнал трафика (срабатывания правил межсетевого экрана, NAT, маршрутизации), журнал IPS, история перехваченных поисковых запросов пользователей в поисковиках.

• Анализ событий и автоматическое реагирование

Поступающие журналы автоматически проверяются на соответствие встроенным правилам UserGate Log Analyzer, и при совпадении создаётся срабатывание.

Когда генерируется срабатывание, система может выполнить действия, настроенные в правиле создания инцидента. Можно отправить email или SMS, создать правило на межсетевом экране с задаваемыми параметрами, или создать тикет в системе.

• Создание отчётов

В UserGate Log Analyzer доступна фильтрация, сортировка и группировка по журналам событий, веб-доступа, трафика, IPS. Отчёты могут предоставить подробный список всех посещенных веб-сайтов, топ блокируемых доменов, топ пользователей по URL-категориям и по заблокированным сайтам, топ заблокированных приложений, топ сработавших правил; топ IP-адресов источников атак, IP-адресы целей атакующих, топ протоколов, используемых в атаках; используемые в организации устройства, топ сигнатур устройств. Можно настроить генерацию отчёта по расписанию и отправку их по протоколу SNMP.

Используя UserGate NGFW, медицинские учреждения не только выполняют требования регуляторов, но и решают проблемы комплексной защиты информации от различных угроз. При наличии EDR-решения UserGate Client снижается вероятность проникновения в сеть вредоносной программы или шифровальщика, а Log Analyzer и Management Center ускорят процессы управления устройствами и анализа событий.

Поскольку медицинские организации обрабатывают большие объёмы данных о здоровье и личности своих клиентов, данная информация становится уязвимой. Необходимо минимизировать риски и ответственно подходить к обеспечению ее безопасности.