Особенности изолированной программной среды медицинского учреждения в контексте обеспечения информационной безопасности организации

Медицинская информационная среда – уникальная среда со своими особенностями, и для неё также характерны особенные угрозы.

В настоящее время информатизации здравоохранения уделяется самое пристальное внимание, причем, не только со стороны практического звена и науки, но и со стороны государства. Но этот процесс был полноценно запущен совсем недавно, и поэтому на текущий момент информатизация лечебных учреждений неоднородна. При этом непосредственно медицинские технологии уже достигли определённых высот, но с точки зрения безопасности практически все лечебные учреждения крайне уязвимы для киберугроз.

ИТ-инфраструктура медучреждения состоит из трёх типов компьютеров.

Во-первых, это рабочие места сотрудников учреждения – компьютеры врачей, секретарей на рецепции и так далее.

Во-вторых, это медицинские информационные системы (МИС) – комплексные автоматизированные информационные системы, в которых объединены электронные медицинские записи о пациентах, данные медицинских исследований в цифровой форме, данные мониторинга состояния пациента с медицинских приборов, средства общения между сотрудниками, финансовая и административная информация. С технической точки зрения это сервер, на котором находится база данных и необходимое для работы с данными программное обеспечение.

В-третьих, это "тяжёлое" медицинское оборудование, например, томографы, которое представляет собой некий медицинский прибор или набор приборов, совмещённый с компьютером, на котором установлено специализированное ПО, и другими устройствами для передачи информации, например, принтером. Рассмотрим особенности каждого типа компьютеров в подробностях.

Рабочее место сотрудника – это самый обычный персональный компьютер, подключённый к локальной сети организации, причём, в случае медучреждений – обычно более-менее устаревший. По результатам исследований в 2008 году в ЛПУ Москвы 35-40% компьютеров использовались только в качестве пишущих машинок, и в настоящий момент по всей России этот показатель составляет примерно 25%. Операционная система в подавляющем большинстве случаев – одна из версий Microsoft Windows. Подключение к сети Интернет может иметься или отсутствовать, причём, чем крупнее учреждение, тем выше вероятность отсутствия доступа во всемирную сеть на компьютерах рядовых врачей. У врачей более высоких позиций и секретарей доступ в Интернет обычно есть, но канал связи очень тонкий.

Таким образом, на потенциально опасных машинах, то есть, секретариат, приёмная, рецепция, Интернет есть, а остальные компьютеры изолированы, и в случае заражения излечить их будет уже непросто. Доступ к компьютерам у персонала свободный, никакого контроля за переносными носителями информации и внешними устройствами нет, информация ходит по учреждению бесконтрольно, что приводит к повышенному риску распространения заражения с потенциально опасных машин на всю систему. Своего системного администратора у медучреждения обычно нет, так что в случае нарушения работоспособности системы реакция ИТ-службы происходит достаточно медленно, и восстановление системы занимает много времени. Большой объём данных на сервере образует коллапс в случае падения, возвращение работоспособности занимает не один день, а дорогостоящее оборудование либо простаивает, либо требует замены. Защитных решений на таких компьютерах либо нет вообще, либо используются стандартные антивирусные решения, применяемые и обновляющиеся спорадически.

МИС – обычная база данных, работающая автономно. Медицинские информационные системы классифицируют по направлению деятельности медицинского учреждения и подразделяются на МИС для стационаров, МИС для поликлиник и амбулаторий, МИС для стоматологических клиник и МИС для санаториев (лечебно-профилактических учреждений). С технической же точки зрения они практически не отличаются между собой и представляют собой некое ПО, устанавливающееся на сервер клиники и сочетающее в себе совмещение и обработку административной, медицинской и финансовой информации, информацию о пациентах и интеграцию со специфическим оборудованием. При этом обычно такое решение либо не имеет встроенных систем защиты вообще, либо имеющее минимальные защитные функции, созданные по остаточному принципу.

Как правило, различные медицинские информационные системы не совместимы друг с другом, однако существует стандарт передачи данных HL7, Health Level 7, описывающий процедуры и механизмы обмена, управления и интеграции электронной медицинской информации. Обычно присутствует минимальная защита от утечек данных, сводящаяся к разграничению доступа в зависимости от ролей, раздающихся сотрудникам администратором системы. Аутентификация происходит по паролю, логирования действий сотрудников с информацией нет, никакого контроля над администратором системы тоже нет. Стоит отметить, что у таких систем защиты обычно нет никакой сертификации, они не являются важным направлением для разработчиков медсофта, и необходимые для обеспечения сколько-нибудь полноценной защиты информации и получения сертификата ФСТЭК России трудозатраты, очевидно, не представляются рациональными.

Тяжёлое оборудование с точки зрения информационной безопасности представляет собой компьютер специализированной конфигурации с минимизированной операционной системой и особым ПО, которое крайне редко изменяется. Такой компьютер встроен в прибор, имеет специализированный интерфейс, работает со специфической периферией и обычно связан по локальной сети с рабочим местом сотрудника, работающего с этим прибором. Подключение к Интернет отсутствует полностью. ОС – Windows. Обычно имеет подключённый и работающий принтер и открытые порты доступа к устройству, USB для новых приборов и CD-ROM для более старых, которые используются сервисными инженерами для обновления специализированного ПО и никак не защищены от несанкционированного доступа.

В идеале МИСы и такое оборудование не стоит разделять с точки зрения безопасности, поскольку они должны выступать в связке, и информация с прибора должна автоматически поступать на сервер, откуда к ней может получить доступ врач. Однако на деле такая связь если и имеется, то крайне слабо автоматизирована, а в отдельных случаях доходит до того, что сотрудник распечатывает результаты исследования на встроенном в прибор принтере, сканирует получившиеся документы на обычном рабочем компьютере и использует получившийся документ в качестве рабочего материала.

Защищать инфраструктуру, состоящую из таких устройств, нужно от следующего диапазона угроз: от эпидемиологических заражений, от таргетированных атак, от взломов и от действий собственных сотрудников. Вредоносные действия сотрудников, в свою очередь, делятся на две категории – это использование компьютеров малограмотными с точки зрения применения информационных технологий людьми, причиняющими вред системе по неосторожности, и злонамеренные действия инсайдеров от кражи или модификации отдельных данных до полного уничтожения системы. Причины, способные подтолкнуть сотрудника к намеренным вредоносным действиям, разнятся, они могут основываться как на желании личной наживы, так и на помощи третьему лицу или из чувства мести из-за конфликтов с коллегами и руководством. Обычная система медучреждения не защищена от действий любого сотрудника, обладающего минимальной технической грамотностью в обращении с компьютерами, а более продвинутые системы, предусматривающие минимальные уровни защиты от собственных сотрудников, абсолютно уязвимы перед администраторами ИТ-инфраструктуры учреждения.

Tweet