Light mode

«ИТ и ИБ — это две стороны одной медали»: кибербезопасность в НМИЦ нейрохирургии им. Н. Н. Бурденко

7 минут
  • #Медицина

Цифровизация в медицине на федеральном уровне — угрозы и атаки злоумышленников — ИБ-ландшафт исследовательского медицинского центра

НМИЦ нейрохирургии им. Н. Н. Бурденко — головное нейрохирургическое учреждение России. В центре работают около 100 научных сотрудников и почти 200 врачей разных специальностей, которые выполняют порядка 10 000 нейрохирургических вмешательств ежегодно.

Национальный центр занимается научной деятельностью, ведет подготовку кадров для отечественной и зарубежной нейрохирургии, а также отвечает за координацию и развитие всей нейрохирургической службы России. 

Как лично вы оцениваете текущий уровень цифровизации российских медучреждений?

В этом плане российская медицина выглядит убедительно. На рынке достаточно отечественных программных продуктов, способных обеспечить работу любой клиники в стране. Причем эти решения изначально были написаны под российские реалии — с учетом нашей специфики. Наверняка часть из них заимствует зарубежный опыт, но без этого сегодня никуда: мы смотрим на разработки иностранных коллег, они на наши — это нормальная практика. В качестве примера приведу отличные лабораторные системы на базе платформы «1С»: специалисты нашего центра сравнивали их с зарубежными аналогами и не заметили серьезных отличий.

Отмечу, что многие больницы цифровизируются неравномерно. Зачастую учреждения «со скрипом» переходят на новые системы (даже значительно более удобные и эффективные), просто потому что привыкли к имеющимся решениям и не хотят ничего менять. С другой стороны, нередко встречаются кейсы, когда люди самостоятельно автоматизируют свои участки, потому что уже не могут работать по старинке, в то время как смежные направления становятся цифровыми только на бумаге. После этого начинается полуавтоматический или даже ручной перенос накопленных данных, который неизбежно приводит к ошибкам. 

Тем не менее в последнее время наметилась положительная тенденция: отрасль начинает смотреть на цифровизацию как на комплексную задачу. Яркий пример — московские клиники. Департамент здравоохранения Москвы реализовал их цифровизацию в рамках единого проекта. Результаты положительные, поэтому сейчас нечто подобное происходит на федеральном уровне. Теперь пациенты и врачи видят все данные и результаты исследований в электронном личном кабинете — больше не нужно постоянно носить с собой пачку бумаг. 

Сейчас обсуждается переход на единые медицинские ИС в рамках отдельных субъектов Федерации. Это связано с тем, что федеральному центру необходимо управлять данными, а для этого нужно получать их из регионов в согласованном формате. Подобные меры позволят унифицировать медицинские данные по всей стране.

Насколько сегодня цифровизирован НМИЦ нейрохирургии им. академика Н. Н. Бурденко?

У нас достаточно высокий уровень цифровизации — центр нередко приводят в качестве положительного примера. Мы регулярно делимся опытом с коллегами, в том числе из регионов. Отмечу, что процесс цифровизации в НМИЦ начался далеко не вчера. Я работаю здесь уже два года, и до моего прихода в центре уже были две медицинских ИС. На мою долю выпал переход на ЕМИАС.

Я уже упоминал, что в отрасли есть задача привести все медучреждения к «единому знаменателю», и ЕМИАС в этом плане очень полезна. Предположим, у нас появляется хороший кейс — успешное внедрение. На основании этого кейса мы создаем модуль, который может внедрить любая подключенная к ЕМИАС клиника. В качестве примера приведу достаточно сложную систему планирования операций. Наш заведующий оперблоком поставил условие: мы не будем переходить на ЕМИАС, если этот модуль останется таким, каким он был в коробочной версии продукта. Коллеги из ЕМИАС оперативно выделили аналитиков, программистов и дизайнеров. Они приехали в нашу клинику, провели интервью, подготовили функциональные схемы, сформировали технические требования и финальное ТЗ. А затем в кратчайшие сроки сделали новый модуль. Недавно я был в одной московской клинике и увидел, что коллеги успешно им пользуются.

Вы используете решения на базе open source? 

В основном мы применяем их для формирования внутренних отчетов и в рамках научной деятельности. Мы не выставляем такие системы во фронт — они работают в глубине нашей инфраструктуры, как правило, в изолированном сегменте. Т.е. коллеги запускают модель, она отрабатывает в защищенном контуре, а затем мы отключаем ее от сети. Кроме того, мы проверяем весь открытый код на предмет бэкдоров и прочих сюрпризов, регулярно проводим пентесты, следуем ИБ-рекомендациям регуляторов и госорганов. Исключать open-source решения из ИТ-ландшафта смысла нет, но нужно помнить, что они несут достаточно высокие риски с точки зрения ИБ.

Какие ИБ-угрозы вы считаете наиболее критичными?

Например, утечки данных. Подобные кейсы автоматически повлекут за собой полноценное расследование, возможно, будет возбуждено уголовное дело. Но самый критичный риск — если в результате атаки злоумышленники положат нашу инфраструктуру или систему хранения данных. Безусловно, у нас есть протоколы, которые позволят центру функционировать даже в каменном веке. В сложной ситуации мы вернемся к бумажным носителям и продолжим работу, но общая эффективность резко упадет. Кроме того, в этой ситуации мы можем потерять результаты важных исследований.

Интересный момент: нас часто путают с Главным военным клиническим госпиталем им. Н. Н. Бурденко. Из-за этого западные «партнеры» аннулируют нам лицензии, а злоумышленники постоянно нас атакуют. Соответственно, защита от внешних атак — один из наших главных приоритетов. Для решения этой задачи мы внедрили ряд российских ИБ-продуктов, в том числе MaxPatrol SIEM.

В своей практике я сталкивался с критичным ИБ-инцидентом. Через уязвимость в MS Exchange злоумышленники проникли в инфраструктуру компании и зашифровали систему хранения данных. Что интересно, все критичные системы (бухгалтерия и др.) находились на обособленных Linux-серверах, и именно это позволило им устоять. Впоследствии специалисты компании расшифровали часть данных и вернули доступ к ним, но кейс получился очень показательный. Несмотря на то что все продукты Microsoft были обновлены до последних версий, они не устояли — легло все, кроме Linux.

Как часто вас атакуют?

Постоянно. Хотя сейчас активность хакеров снизилась, а их атаки не приносят существенных результатов. Общая защищенность центра продолжает расти, но порой инциденты все же случаются. Например, не так давно злоумышленники положили несколько сайтов медицинских учреждений, в том числе наш. 

Опишите вашу ИБ-инфраструктуру. Как она встроена в общий ИТ-ландшафт центра?

На мой взгляд, здесь правильнее говорить о едином ИТ-ландшафте. ИБ без ИТ в принципе быть не может, как и ИТ без ИБ — это две стороны одной медали. У нас есть полный пакет базовых средств защиты: UserGate, который обеспечивает защиту периметра, уже упомянутый MaxPatrol SIEM, PT Application Firewall, антивирусы и т.д.

Мы уделяем большое внимание обучению своих сотрудников, потому что главная угроза для любой ИС — это ее пользователь. Плюс наши специалисты активно набираются опыта в ходе решения инцидентов, например, когда взаимодействуют со службой поддержки Positive Technologies или других партнеров центра.

Каких средств защиты вам не хватает?

Инструментов, которые смогут автоматически реагировать на угрозы. Да, у нас есть SIEM — классная система, которая помогает детектировать инциденты, выдает алармы и т.д. Но она не может работать без участия человека. На администратора сваливается огромный объем информации, поэтому ошибки неизбежны. Для решения этой проблемы нужна система, которая будет эффективно отрабатывать заранее подготовленные регламенты при наступлении подозрительного события. Смысл в том, чтобы купировать последствия возможного инцидента еще до того, как на него обратят внимание ИБ-специалисты.

Вы сталкиваетесь с проблемой кадрового голода?

Конечно, сегодня сложно найти подходящих специалистов. Например, когда мы открывали вакансии на внедрение ЕМИАС, из 102 кандидатов мы взяли всего двоих. Сейчас многие, кто прочитал хотя бы одну книгу или прошел какой-то курс, считают себя хорошими ИТ-шниками. Поверьте, господа, это не так :) Хороших специалистов мало, их сложно найти и заменить, поэтому, если из клиники уходит ИТ-шник, это действительно может стать проблемой. Раньше мы рассматривали только кандидатов с опытом в медицинской отрасли, а сейчас уже не обращаем на это внимания. Если человек подходит, мы без проблем его доучиваем.

К слову, напоминаю читателям: с точки зрения кибербезопасности защититься от людей, досконально знающих вашу инфраструктуру, очень и очень сложно. Поэтому берегите своих админов, относитесь к ним по-человечески и платите им достойную зарплату.

В нашем случае ИБ — это обособленное подразделение, а не часть ИТ-блока, потому что вся бумажная работа по организации протоколов и приказов, составлению и принятию регламентов должна вестись в отдельной службе. При этом внедрение средств защиты ложится на плечи коллег из ИТ, потому что именно они строили инфраструктуру медцентра и гораздо лучше знают все ее нюансы.

Мы дěлаем Positive Research → для ИБ-экспертов, бизнеса и всех, кто интересуется ✽ {кибербезопасностью}