Кибербезопасность КИИ здравоохранения. Нормативное регулирование и практика
В рамках конгресса #ИТМ2023 состоялась дискуссия на тему «Кибербезопасность КИИ здравоохранения. Нормативное регулирование и практика». Участники обсудили особенности кибератак в текущем году, задачи, стоящие перед медицинскими организациями по обеспечению информационной безопасности и импортозамещения ПО, узнали планы Центра информационной безопасности и импортозамещения программного обеспечения Минздрава России, а также ознакомились с последними изменениями законодательства.
Руководитель отраслевого Центра информационной безопасности и импортозамещения программного обеспечения Минздрава России Сергей Миронов рассказал, что созданный менее года назад Центр будет взаимодействовать со всеми участниками сферы здравоохранения, оценивать состояние защищенности, формировать показатели для каждого подведомственного учреждения в части корректности инфраструктуры, безопасности, импортозамещения, выявлять проблемные точки и предпринимать действия для их минимизации.
«Например, если мы увидим, что в какой-то организаций достаточно низкая квалификация по безопасности сотрудников, мы дадим рекомендацию направить их на учебу. В ближайшее время соответствующие курсы появятся в программе ЦНИИОИЗа. Также мы будем разрабатывать курсы по повышению квалификации, по информационной безопасности (ИБ) для главврачей», — сказал Сергей Миронов.
Будет проводиться оценка всех затрат на обеспечение безопасности. Центру предстоит разработать стандарты по таким областям, как организационно-кадровая, классификации, построение и эксплуатация СЗИ, мониторинг и реагирование на инциденты, средства криптографической защиты информации.
Не все организации подключаются к защищенной сети передачи данных (ЗСПД) Минздрава России правильно, в соответствии с методическими рекомендациями, продолжил докладчик. Представители Центра будут выезжать на узлы связи, в точки доступа к ЕЗСПД, смотреть, как реально происходит подключение, и давать рекомендации, как исправить ситуацию. Работа будет комплексная: проводится проверка ИБ, составлеются паспорт ИБ подведомственной организации.
«Еще одно направление, которое Минздрав поручил нам, — создание рейтингов по направлениям IT, информационной безопасности, импортозамещению», — резюмировал Сергей Миронов.
Профессор Высшей школы управления здравоохранением Андрей Столбов рассказал о новеллах в законодательстве, принятом в области ИБ в 2022–2023 годах. С ними можно ознакомиться в презентации, опубликованной на портале конгресса.
В частности, с 1 июня этого года не допускается биометрическая аутентификация при оказании медицинской помощи, отпуске лекарственного препарата по рецепту, получении информированного добровольного согласия на медицинское вмешательство или отказ от него, получении медицинских документов (копий), проведении дистанционных медосмотров работников и контроля за их состоянием, проведении вступительных испытаний, промежуточной и итоговой аттестации с использованием дистанционных образовательных технологий (Федеральный закон 572-ФЗ от 29.12.2022).
«Так что мы для себя тему биометрии закрыли», — подчеркнул эксперт.
Координатор ключевых проектов компании НПЦ «КСБ» (Чебоксары) Андрей Петренко рассказал об особенностях кибератак 2023 года, таких как SEO poisoning (использование поисковой оптимизации (SEO) для опережения выдачи незаконного домена над законным) и QR-фишинг (атакующие используют QR-коды, чтобы обойти антиспам-фильтры и другие средства защиты). Он добавил, что в 2023 году 11% всех кибератак пришлось на медицинские учреждения.
Обеспечение ИБ упирается в ряд проблем, включая финансовые. Например, специалист ИБ в среднем по России обходится в 1 млн руб. в год. После того, как он проработал три года, его стоимость на рынке повышается, отметил эксперт.
Генеральный директор НУБЕС Василий Степаненко посоветовал медицинским организациям не пренебрегать возможностями облаков. По его словам, в медицинской организации всегда есть незначимые объекты критической информационной инфраструктуры (КИИ), например, почта, бухгалтерия, — все это может прекрасно «жить» в облаке. Там же можно получить встроенную защиту от DDos-атак. Плюс можно прекрасно тестировать медицинские программные продукты в облаках, подчеркнул спикер.
Начальник отдела по работе с партнерами компании Ред Софт Андрей Свиридов призвал не бояться импортозамещения, так как уже накоплен большой опыт в этой части, есть проведенные отечественные решения, которые позволяют мягко мигрировать с ОС Microsoft на Linux. Так, РЕД ОС внедрена в медицинских организациях 46 регионов страны.
Директор департамента информационной безопасности компании Uniteller Александр Оводов обратил внимание участников дискуссии на вопросы обеспечения кибербезопасности медицинской техники. Один из трендов текущего года — атаки через цепочку поставок (через те компании, которые имеют доступ к инфраструктуре объекта атаки). Принципиально важно, чтобы трафик проходил через межсетевой экран для глубокой фильтрации трафика NGFW. Также обязательно мониторить аномальное поведение оборудования через Industrial Security Incident Manager (ISIM) или аналоги.