Данные о пациентах – информация особо критичная: мошенники используют ее для шантажа и вымогательств, преступных схем с лекарственными средствами, для давления на родных больного человека, для маркетинговых кампаний и рассылки спама – вредительских вариантов очень много. Разберем, что уже сделано и что предстоит сделать, чтобы защитить граждан от подобных рисков при обращении в учреждения здравоохранения.  

Законы на защите данных

Проблема с утечками данных обострилась в период пандемии COVID-19: медорганизации были вынуждены экстренно переходить на телемедицинские технологии, сокращать офлайн-контакты с пациентами и максимально переводить данные в цифровой формат. С введением сертификатов о вакцинации и ПЦР-тестированием ситуация только усложнилась – учреждения здравоохранения были обязаны обмениваться чувствительными данными с государственной информационной системой (ГИС). Самих учреждений стало больше – вакцинация и тестирование проводились в ТЦ, на вокзалах и в аэропортах.

В июне прошлого года появился важнейший документ для сферы здравоохранения – Концепция безопасности, которую разработал Минздрав. Ее цель – повысить уровень защиты информации в медучреждениях. Концепция содержит конкретные рекомендации и обращает внимание на то, что основную угрозу информационной безопасности несут инсайдеры. В документе описаны риски, связанные с преднамеренными и непреднамеренными действиями внутреннего нарушителя, а также совершенные с использованием приемов социальной инженерии.

Ранее было принято Постановление Правительства № 140 от 9.02.2022 «О единой государственной информационной системе в сфере здравоохранения». В документе прописаны задачи ЕГИС для медорганизаций: порядок ее ведения, сроки предоставления информации, порядок обмена данными с использованием ЕГИС и др. В марте прошлого года Минздрав утвердил методические рекомендации по формированию службы информационных технологий в медорганизациях. В документе прописаны возможные направления деятельности служб ИБ и примерная численность специалистов в каждом направлении.

Весной прошлого года появились два указа президента – № 166 и № 250 – влияние которых затронуло все госструктуры и множество российских компаний, том числе из сферы здравоохранения. Таким образом, задачи кибербезопасности были вынесены на самый высокий уровень.

Как на практике реализуется «буква закона»

С принятием Концепции по ИБ в здравоохранении и ужесточением других требований регуляторов, организации стали активнее интересоваться темой защиты данных и рассматривать внедрение ИБ-решений. Пока не решен вопрос с бюджетами – часто у медорганизаций они очень скромные, а средства на инфобез выделяются по остаточному принципу. По данным нашего исследования, в 2022 году об увеличении бюджетов на ИБ заявили 24% респондентов, при этом 65% компаний оставили финансирование этого направления без изменений, 11% урезали бюджеты.   

Спустя почти год с момента выхода указов президента во многих медорганизациях так и не появились заместители по ИБ, а если и появились, то чаще всего у них нет не только профильного образования, но и опыта выстраивания информбезопасности в организациях. В 2022 году 19,5% медорганизаций отметили, что кадровый дефицит усилился по сравнению с прошлым годом, еще 41% респондентов считают, что нехватка ИБ-специалистов в сфере здравоохранения сохранилась на уровне 2020-2021 годов. Также оказалось, что только в 24% организаций в 2022 году появилось выделенное подразделение по ИБ и лишь в 17% организаций это отдел уже был сформирован[1]. 

Все же изменения в регуляторике должны позитивно сказаться на «практической» безопасности в сфере здравоохранения. Но результат будет зависеть от «личной» ответственности каждой организации. Для этого нужно:

1. Подготовить профильных специалистов по ИБ

Нехватка таких специалистов – проблема для здравоохранения хроническая. Вторая трудность – низкая квалификация кадров. Необходимо доучивать сотрудников на платных и бесплатных курсах, чтобы их подготовка соответствовала современному уровню угроз. Если же учреждение продолжает испытывать нехватку ИБ-кадров, финансирования, технических средств, то использовать альтернативные варианты для защиты данных – аутсорсинг информационной безопасности, средства ИБ «в облаке» и другие.

2. Внедрять современные средства защиты информации  

Обеспечить сохранность ПД в ручном режиме сегодня просто невозможно. Большая часть информации хранится и передается в электронном виде, к ней имеют доступ различные сотрудники и подрядные организации. Автоматизированные средства защиты (такие как DLP), позволяют специалисту по ИБ не только отслеживать любые действия с информацией, но в случае инцидента оперативно провести расследование и отчитаться перед регулятором. А самое главное – только с их помощью можно снизить риски утечек персданных. 

3. Внедрять успешные практики

Организациям необходимо перенимать опыт других компаний (стандарты, принципы, методики ИБ). Если компания по ИТ-инфраструктуре или масштабам похожа на какую-то другую организацию, где ИБ налажена хорошо, то можно перенимать ее опыт. А также опираться на методические материалы ФСТЭК, в которых описаны подходы к защите разных участков ИТ-инфраструктуры. Эти рекомендации построены на опыте конкретных организаций и учитывают их «слабые» и «сильные» стороны. 

4. Обучать сотрудников правилам и навыкам информационной безопасности

Основной проблемой остается уровень знаний рядовых сотрудников медучреждений об информационной безопасности. Ведь утечки данных чаще всего (по данным разных исследований в 70-80% случаев) происходят по вине работников. Согласно нашему опросу, 80% медорганизаций обучают работников ИБ-грамотности. При этом из них 70% респондентов считают, что сотрудники должны самостоятельно получать знания, читая должностные инструкции. Еще 39% компаний отметили, что периодически делают рассылки с описанием новых типов киберугроз. Лишь 2% медорганизаций проводят киберучения и 25% пользуются бесплатными ресурсами для обучения.

В ближайшие год-два предстоит еще много работы для усиления информационной безопасности в организациях здравоохранения. Важно, что в прошлому году ради этой цели объединили усилия регуляторы, ИТ-компании, ассоциации и сами медицинские организации. Уверен, что этот тренд только укрепится.  

[1] Исследование «СёрчИнформ»: «Уровень информационной безопасности в компаниях России за 2022 год».