Приложите подорожник!

Приложите подорожник!

28 июля 2017 года Правительством РФ было подписано Распоряжение №1632-р, что ознаменовало начало претворения в жизнь программы «Цифровая экономика Российской Федерации» (далее – Программа). Для управления Программой были определены пять базовых и три прикладных направления развития. К базовым направлениям отнесены нормативное регулирование, кадры и образование, формирование исследовательских компетенций и технических заделов, информационная инфраструктура и информационная безопасность. К прикладным – государственное управление, «умный город» и здравоохранение. Таким образом, Программа предусматривает автоматизацию и цифровизацию одной из основных государственных отраслей, обеспечивающих удовлетворение физиологических потребностей людей, – здравоохранения.

ПРИМЕРЫ АВТОМАТИЗАЦИИ МЕДИЦИНЫ

Рис. 1. Помощник директора клиники МЧС России проверяет интеграцию роботизированного биохимического анализатора крови (робота) с лабораторной информационной системой

Рис. 2. Хирург проводит операцию при помощи робота da Vinci

Безусловно, автоматизация, цифровизация, роботизация любой отрасли связаны со значительными инвестициями, но при этом влияние их на повышение эффективности производства (производительность труда, сокращение/исключение ошибок, связанных с человеческим фактором и прочие показатели) несоизмеримо выше. Передовые медицинские технологии получают все большее распространение среди российских клиник (Рис. 1, 2).

Рассмотрим для примера робота da Vinci. Его особенность в том, что он не выполняет все свои действия самостоятельно, а лишь повторяет движения хирурга, то есть робот позволяет при значительной пространственной удаленности от врача, проводящего манипуляции, проводить операцию (например, врач находится в США, а пациент – в Индии, так называемая телехирургия). Робот осуществляет сложные хирургические действия, требующие высокой точности при манипуляциях.

Полноправным аналогом da Vinci стал робот под названием Raven II, который появился несколько позже своего собрата, и ни в чем ему не уступает. При этом важным конкурентным преимуществом Raven II является стоимость, которая значительно ниже стоимости da Vinci ($250тыс. против $1,8 млн.), что обусловлено функционированием его на операционной системе и программном обеспечении, которые имеют открытый исходный код.

ПРОБЛЕМЫ ИБ МЕДИЦИНСКИХ ТЕХНОТРЕНДОВ

К сожалению, производители медицинских передовых технологий мало задумываются об их кибербезопасности. Так, например, все сигналы, посылаемые роботам (и da Vinci, и Raven II), передаются по открытым каналам, и могут быть легко перехвачены (уничтожены или модифицированы) злоумышленником. Тут возникает вопрос: «А как защитить от такой перспективы врача и пациента?» На сегодняшний день заказные убийства, основанные на незаконном вмешательстве в цифровые технологии, мало распространены, но в перспективе, при повышении зависимости жизнеобеспечения людей от данных технологий, это может стать реальной угрозой (Рис. 3).

Подобная атака с успешным результатом была реализована специалистами Вашингтонского университета. На первом этапе эксперимента были перехвачены пакеты данных, адресованные роботу Raven II, что позволило изменить их последовательность при передаче. Манипулятор робота начал производить хаотичные движения и перестал подчиняться управлению врачом. Вторым этапом экспериментальной атаки было изменение угла наклона рабочих инструментов робота и дистанции их перемещения. В итоге специалистам удалось получить полный контроль над действиями Raven II, при этом влияние на робота оказалось настолько серьезным, что робот-хирург даже не отреагировал на команду к перезагрузке системы и продолжал выполнять навязанные ему действия.

Рисунок 3 – Робот-хирург Raven II делает операцию на мозге пациента

Проблема безопасности может стать одним из основных камней преткновения в развитии современной телехирургии. Своим экспериментом специалисты Вашингтонского университета доказали, что использование открытых каналов передачи данных для таких серьезных действий как медицинские манипуляции, теоретически, может закончиться плачевно, если не прибегать к защите передаваемых данных. Не стоит забывать, что помимо проблемы отсутствия шифрования, канал передачи данных от хирурга к роботу может быть попросту подвержен DDOS-атаке.

Но все-таки роботизация медицины – весьма дорогое и далекое до массового внедрения «удовольствие». Давайте рассмотрим более актуальные проблемы и задачи ИБ в сфере здравоохранения.

НАСУЩНЫЕ ПРОБЛЕМЫ ИБ В МЕДИЦИНЕ

До сегодняшнего дня нам казалось, что медицинская сфера не может представлять для преступников особого интереса, поскольку в ней нет больших денег, секретных данных и другой значимой информации, ради которой нужно проводить дорогостоящие атаки. Но появление жизнеобеспечивающих систем и медицинского оборудования, подключенных к интернету и имеющих сетевые интерфейсы, открывает для злоумышленников новые, более дешевые способы воздействия.

Обратим внимание на автоматизированные линии производства лекарственных препаратов, которые тоже подключаются к сети Интернет. Представьте на минуту, насколько серьезны могут быть последствия изменения концентрации или состава производимых средств! Решением по защите таких систем являются продукты контроля их целостности: мы на каждом этапе штатного функционирования системы должны быть уверены в неизменности информационных потоков и конфигураций устройств, критичных для жизни и здоровья людей.

Системы помощи принятия решений при постановке диагноза, для анализа и прогноза состояния пациента на сегодняшний день имеются не во всех клиниках. Для решения этих задач врачи ежедневно посещают множество веб-сервисов, и здесь нашу клинику опять поджидают опасности: значительный ущерб могут нанести вирусы, поражающие Интернет-ресурсы. Снизить данные риски можно посредством выстраивания эшелонированной антивирусной защиты как на стороне владельцев веб-сервисов, так и на стороне медицинских организаций, являющихся потребителями соответствующей информации.

А задумывались ли вы об уязвимостях в специализированном программном обеспечении? Каждая ли компания-производитель медицинской информационной системы проводит аудит своего продукта? Ответ однозначный – нет. По данным исследования, проведенного в США, в управляющих модулях кардиостимуляторов четырех производителей суммарно было обнаружено более 8 тысяч уязвимостей.

Рост доступности медицинских услуг через Интернет (так называемая телемедицина), приложения которой на текущий момент времени не обеспечивают должного уровня информационной безопасности обрабатываемых в нем данных, также являются одним из источников интереса для злоумышленников. Разработчикам таких решений стоит задуматься о реализации технологий электронной подписи в приложении (например, для формирования рецептов пациенту), а также шифрования результатов анализов, передаваемых от врача к пациенту.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Одна из важнейших составляющих безопасной коммерческой деятельности любой медицинской организации – обработка персональных данных пациентов. Попадая в руки злоумышленников, информация о ваших клиентах, может повлечь судебные иски, мошенничество по отношению к пациентам, санкции регуляторов, удар по престижу клиники, нарушения штатного режима функционирования оборудования и жизнеобеспечивающих систем. Нужно предупредить возникновение подобных инцидентов.

Здесь же стоит обратить внимание и на возрастающий интерес к медицинскому туризму в Россию. На сегодняшний день такой тип получения медицинской помощи становится все более популярным, что связано не только с ценой оказываемых в России услуг, но и их качеством. Согласно исследованию компании Transparency Market Research, мировой рынок медицинского туризма в ближайшие годы будет расти в среднем на 17,9% в год, и к 2019 году его объем достигнет $32,5 млрд (в 2012 году это значение было $10,5 млрд).

Относительно стоимости услуг приведем наглядный пример: коронарное шунтирование в России стоит примерно $3200 -$3500, а в США - от $55 тыс. до $130 тыс., лазерная коррекция зрения - от $340 до $650 против $4000-5000. При этом наиболее популярными направлениями для иностранцев являются: стоматология (имплантация, протезирование), урология, гинекология (экстракорпоральное оплодотворение), пластическая хирургия, ортопедия, травматология, сердечно-сосудистая хирургия, офтальмология.

По данным Forbes, 23% всех пребывающих в Россию пациентов - это граждане Евросоюза. И если Ваша клиника предоставляет услуги таким пациентам, то возникает вопрос защиты персональных данных граждан Евросоюза, что связано с выполнением новых требований ЕС – GDRP (General Data Protection Regulation).

Но, думая об иностранных клиентах, не стоит забывать и о защите персональных данных российских пациентов. В этом направлении основным регламентирующим документом является Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ. Таким образом, нужно учесть требования обоих документов, и при этом ничего не забыть во избежание штрафных санкций.

ЧТО ДЕЛАТЬ? КАК ЖИТЬ ДАЛЬШЕ?

Что же делать? Конечно, можно купить отдельные средства защиты информации, которые окажут благоприятное воздействие на ситуацию, но этого недостаточно. Не стоит забывать, что информационная безопасность – это в первую очередь совокупность соответствующих организационных процессов. Можно создать службу информационной безопасности, которая будет эксплуатировать эти средства и организовывать необходимые процессы, но задача проектирования, ввода в действие высокотехнологичных средств информационной безопасности и выстраивания защитных процедур является достаточно трудоемкой и требующей совместной работы многих высококомпетентных узконаправленных специалистов.

Для решения задачи обеспечения информационной безопасности на должном уровне лучшей практикой является привлечение соответствующих специализированных компаний, имеющих в штате требуемых экспертов каждого направления. Данные организации смогут провести аудит того, что есть; подготовят дизайн будущей системы; сделают так, как должно быть «под ключ» и в последующем будут обеспечивать ее сопровождение и модернизацию в соответствии с новыми требованиями регуляторов и актуальными проблемами информационной безопасности.

Хотелось также обратить внимание, что при решении задач информационной безопасности, зачастую, небольшие клиники обращаются к непроверенным подрядчикам, предоставляя им полный доступ к своим информационным ресурсам. Не поступайте так! Вспомните старую пословицу: «Скупой платит дважды», не экономьте там, где эта экономия может вылиться массой новых проблем.

Компания «Газинформсервис» является интегратором и разработчиком средств информационной безопасности. Мы трудимся на рынке уже на протяжении 14 лет, обеспечиваем спокойствие и безопасность целого ряда крупных предприятий, реализуем самые сложные и амбициозные проекты. С радостью поможем и Вам обеспечить безопасность на пути к успеху!