«ИТ и ИБ — это две стороны одной медали»: кибербезопасность в НМИЦ нейрохирургии им. Н. Н. Бурденко

Как лично вы оцениваете текущий уровень цифровизации российских медучреждений?

В этом плане российская медицина выглядит убедительно. На рынке достаточно отечественных программных продуктов, способных обеспечить работу любой клиники в стране. Причем эти решения изначально были написаны под российские реалии — с учетом нашей специфики. Наверняка часть из них заимствует зарубежный опыт, но без этого сегодня никуда: мы смотрим на разработки иностранных коллег, они на наши — это нормальная практика. В качестве примера приведу отличные лабораторные системы на базе платформы «1С»: специалисты нашего центра сравнивали их с зарубежными аналогами и не заметили серьезных отличий.

Отмечу, что многие больницы цифровизируются неравномерно. Зачастую учреждения «со скрипом» переходят на новые системы (даже значительно более удобные и эффективные), просто потому что привыкли к имеющимся решениям и не хотят ничего менять. С другой стороны, нередко встречаются кейсы, когда люди самостоятельно автоматизируют свои участки, потому что уже не могут работать по старинке, в то время как смежные направления становятся цифровыми только на бумаге. После этого начинается полуавтоматический или даже ручной перенос накопленных данных, который неизбежно приводит к ошибкам. 

Тем не менее в последнее время наметилась положительная тенденция: отрасль начинает смотреть на цифровизацию как на комплексную задачу. Яркий пример — московские клиники. Департамент здравоохранения Москвы реализовал их цифровизацию в рамках единого проекта. Результаты положительные, поэтому сейчас нечто подобное происходит на федеральном уровне. Теперь пациенты и врачи видят все данные и результаты исследований в электронном личном кабинете — больше не нужно постоянно носить с собой пачку бумаг. 

Сейчас обсуждается переход на единые медицинские ИС в рамках отдельных субъектов Федерации. Это связано с тем, что федеральному центру необходимо управлять данными, а для этого нужно получать их из регионов в согласованном формате. Подобные меры позволят унифицировать медицинские данные по всей стране.

Насколько сегодня цифровизирован НМИЦ нейрохирургии им. академика Н. Н. Бурденко?

У нас достаточно высокий уровень цифровизации — центр нередко приводят в качестве положительного примера. Мы регулярно делимся опытом с коллегами, в том числе из регионов. Отмечу, что процесс цифровизации в НМИЦ начался далеко не вчера. Я работаю здесь уже два года, и до моего прихода в центре уже были две медицинских ИС. На мою долю выпал переход на ЕМИАС.

Я уже упоминал, что в отрасли есть задача привести все медучреждения к «единому знаменателю», и ЕМИАС в этом плане очень полезна. Предположим, у нас появляется хороший кейс — успешное внедрение. На основании этого кейса мы создаем модуль, который может внедрить любая подключенная к ЕМИАС клиника. В качестве примера приведу достаточно сложную систему планирования операций. Наш заведующий оперблоком поставил условие: мы не будем переходить на ЕМИАС, если этот модуль останется таким, каким он был в коробочной версии продукта. Коллеги из ЕМИАС оперативно выделили аналитиков, программистов и дизайнеров. Они приехали в нашу клинику, провели интервью, подготовили функциональные схемы, сформировали технические требования и финальное ТЗ. А затем в кратчайшие сроки сделали новый модуль. Недавно я был в одной московской клинике и увидел, что коллеги успешно им пользуются.

Вы используете решения на базе open source? 

В основном мы применяем их для формирования внутренних отчетов и в рамках научной деятельности. Мы не выставляем такие системы во фронт — они работают в глубине нашей инфраструктуры, как правило, в изолированном сегменте. Т.е. коллеги запускают модель, она отрабатывает в защищенном контуре, а затем мы отключаем ее от сети. Кроме того, мы проверяем весь открытый код на предмет бэкдоров и прочих сюрпризов, регулярно проводим пентесты, следуем ИБ-рекомендациям регуляторов и госорганов. Исключать open-source решения из ИТ-ландшафта смысла нет, но нужно помнить, что они несут достаточно высокие риски с точки зрения ИБ.

Какие ИБ-угрозы вы считаете наиболее критичными?

Например, утечки данных. Подобные кейсы автоматически повлекут за собой полноценное расследование, возможно, будет возбуждено уголовное дело. Но самый критичный риск — если в результате атаки злоумышленники положат нашу инфраструктуру или систему хранения данных. Безусловно, у нас есть протоколы, которые позволят центру функционировать даже в каменном веке. В сложной ситуации мы вернемся к бумажным носителям и продолжим работу, но общая эффективность резко упадет. Кроме того, в этой ситуации мы можем потерять результаты важных исследований.

Интересный момент: нас часто путают с Главным военным клиническим госпиталем им. Н. Н. Бурденко. Из-за этого западные «партнеры» аннулируют нам лицензии, а злоумышленники постоянно нас атакуют. Соответственно, защита от внешних атак — один из наших главных приоритетов. Для решения этой задачи мы внедрили ряд российских ИБ-продуктов, в том числе MaxPatrol SIEM.

Как часто вас атакуют?

Постоянно. Хотя сейчас активность хакеров снизилась, а их атаки не приносят существенных результатов. Общая защищенность центра продолжает расти, но порой инциденты все же случаются. Например, не так давно злоумышленники положили несколько сайтов медицинских учреждений, в том числе наш. 

Опишите вашу ИБ-инфраструктуру. Как она встроена в общий ИТ-ландшафт центра?

На мой взгляд, здесь правильнее говорить о едином ИТ-ландшафте. ИБ без ИТ в принципе быть не может, как и ИТ без ИБ — это две стороны одной медали. У нас есть полный пакет базовых средств защиты: UserGate, который обеспечивает защиту периметра, уже упомянутый MaxPatrol SIEM, PT Application Firewall, антивирусы и т.д.

Каких средств защиты вам не хватает?

Инструментов, которые смогут автоматически реагировать на угрозы. Да, у нас есть SIEM — классная система, которая помогает детектировать инциденты, выдает алармы и т.д. Но она не может работать без участия человека. На администратора сваливается огромный объем информации, поэтому ошибки неизбежны. Для решения этой проблемы нужна система, которая будет эффективно отрабатывать заранее подготовленные регламенты при наступлении подозрительного события. Смысл в том, чтобы купировать последствия возможного инцидента еще до того, как на него обратят внимание ИБ-специалисты.

Вы сталкиваетесь с проблемой кадрового голода?

Конечно, сегодня сложно найти подходящих специалистов. Например, когда мы открывали вакансии на внедрение ЕМИАС, из 102 кандидатов мы взяли всего двоих. Сейчас многие, кто прочитал хотя бы одну книгу или прошел какой-то курс, считают себя хорошими ИТ-шниками. Поверьте, господа, это не так :) Хороших специалистов мало, их сложно найти и заменить, поэтому, если из клиники уходит ИТ-шник, это действительно может стать проблемой. Раньше мы рассматривали только кандидатов с опытом в медицинской отрасли, а сейчас уже не обращаем на это внимания. Если человек подходит, мы без проблем его доучиваем.

К слову, напоминаю читателям: с точки зрения кибербезопасности защититься от людей, досконально знающих вашу инфраструктуру, очень и очень сложно. Поэтому берегите своих админов, относитесь к ним по-человечески и платите им достойную зарплату.