CC BY
69
Cloud of Science. 2020. T. 7. № 3 http:/ / cloudofscience.ru
Анализ защиты компьютерных сетей и приложений информационных процессов учреждений здравоохранения
Ш. Г. Магомедов
МИРЭА - Российский технологический университет, 119454, Москва, пр. Вернадского, 78
e-mail: magomedov_sh@mirea.ru
Аннотация. На сегодняшний день учреждения здравоохранения представляют собой обширные экосистемы, состоящие из большого количества сетей устройств, оборудования и систем, которые часто требуют подключения к внешним системам. Медицинские данные очень чувствительны к изменениям, они представляют реальную угрозу здоровью и жизни пациентов. Не нужно обладать специальными навыками чтобы познакомиться с потенциальными уязвимостями, с которыми может столкнуться медицинское учреждение. Поэтому безопасность медицинских данных должна обеспечиваться на каждом этапе получения, передачи, обработки, хранения информации, для обеспечения конфиденциальности данных пациента, а также доступности и устойчивости служб здравоохранения одновременно. Исходя из этого производителям медицинских систем, а также организациям, которые организуют тех поддержку, необходимо реализовывать меры по обеспечению необходимого уровня защиты от киберугроз, что позволит повысить уровень безопасности пациентов и инфраструктуры медицинского учреждения в целом. В статье проведен анализ существующей архитектуры и даны рекомендации к построению безопасной инфраструктуры медицинского учреждения.
Ключевые слова: безопасность медицинских учреждений, компьютерные сети, уязвимости, протоколы, сервер архивации данных.
1. Введение
Медицинские данные медленно, но уверенно мигрируют с бумажных носителей в «цифровую» инфраструктуру медицинских учреждений. Сегодня они «разбросаны» по различным системам, работающих в разных сетях в том числе подключенным к внешней сети, специфичных медицинских устройств, работающих с разными протоколами и т. п. [1]. При этом зачастую безопасность сетевой инфраструктуры таких организаций остается без внимания, а ресурсы, обрабатывающие медицинскую информацию, доступны извне.
Обеспечение безопасности данных в медицине — проблема куда более серьезная, чем может показаться на первый взгляд. События, которые сейчас происходят
с пандемией COVID-19 лишнее тому подтверждение. Обвал рынков, отмена авиасообщений, остановка большого количества производственных предприятий, огромные потери в сфере туризма (22 млрд долл. США по предварительной оценке президента Всемирного совета по туризму и путешествиям (WTTC) Глории Гева-ра). Злоумышленники начали проникать проникать в инфраструктуру медицинских учреждений и искусственно сообщать общественности о якобы новых случаях более масштабных заражений. Государства начали закрывать свои границы, карантин, огромные спекуляция с продуктами и вещами. И тогда существовавшие сценарии с кражей медицинских данных и перепродажа их на черном рынке, покажутся пустяком. Есть еще варианты с изменениями данных диагностики, когда пациенту изменят его результаты обследований, например заменят файл DICOM (стандарт обработки, хранения, печати и передачи информации в системах медицинской визуализации) [2], и, соответственно, начнут лечить совсем другими лекарствами или вовсе посчитают здоровым.
Вне зависимости от преследуемых злоумышленниками целей (вымогательство денег у руководства медицинского учреждения или целевая атака на конкретных пациентов), пациентов не ждет ничего хорошего. Даже в том случае, когда скомпрометированные данные обнаружены сразу (путем получения других анализов, либо назначения повторного обследования), нормальная работа медучреждения может быть приостановлена из-за необходимости перепроверки всех данных, хранящихся в скомпрометированном медицинском учреждении.
Согласно отчету Centers for Disease Control and Prevention (CDC) [3] на третьем месте среди причин смерти в США стоят медицинские ошибки. Постановка правильного диагноза помимо квалификации врача зависит также и от корректности данных, поступающих от медицинского оборудования и хранящихся на медицинских серверах. Это означает, что эти ресурсы также могут представлять интерес для злоумышленников.
2. Типовая медицинская инфраструктура
Проектирование качественной медицинской инфраструктуры накладывает свои ограничения из-за большого количества разнообразных учреждений как государственных, так и частных. Большое количество разнотипных информационных систем, потоки рекламной информации, непредсказуемое качество оказываемых услуг, законодательные инициативы — все это усугубляет ситуацию. Но в этом беспорядке четко формируется главная потребность пользователей: получать доступные и качественные медицинские услуги, не бояться утечек персональных данных, различных спекуляций и шантажа.
Информационные технологии, из которых строится вся медицинская инфраструктура, подразделяются по уровню использования в медицине и здравоохранении, в соответствии с концепцией создания единой государственной информационной системы в сфере здравоохранения, утвержденной приказом Министерства здравоохранения и социального развития Российской Федерации от 28 апреля 2011 № 364, следующим образом [4]:
- единая государственная информационная система в сфере здравоохранения (ЕГИСЗ);
- региональные медицинские информационные системы; медицинские организации.
Единая государственная информационная система в сфере здравоохранения
ЕГИСЗ
♦ \
Региональные медицинские информационные системы
| ЦЕНТРАЛИЗОВАННЫЕ РЕГИОНАЛЬНЫЕ КОМПОНЕНТЫ
• Центральный архив медицинских изображений
• Управление потоками пациентов/электронные расписания врачей
Управление льготным лекарственным обеспечением/электронные рецепты
Интегрированная электронная медицинская карта/региональные нозологические регистры Телемедицинская система Диспетчеризация скорой помощи
I 85
I субъектов
1 Медицинские организации Г
| МЕДИЦИНСКИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ 1
РЕПОЗИТОРИЙ ДОКУМЕНТОВ АВТОМАТИЗИРОВАННЫЕ
Структурированные | Неструктурированные РАБОЧИЕ МЕСТА ВРАЧЕЙ
Рисунок 1. Единое информационное пространство в сфере здравоохранения, данные 2017 года (Источник: ИПр:/^ёгау.ехреН/)
Если рассматривать более локально, на примере одного крупного медицинского учреждения, то можно представить следующую иерархию:
1. ЕГИСЗ (только обмен данными).
2. Медицинская информационная система (например 1С Медицина).
2.1 Автоматизированное рабочее место врача.
2.2.1 Система для передачи и хранения изображений (PACS).
2.2.2 БШЯ — стандарт обмена медицинскими и околомедицинскими данными между системами, созданный международной организацией HL7 (CRUD операции, т. е. создание, чтение, обновление, удаление).
2.2.3 Лабораторные анализы (интеграция с лабораторной информационной системой).
2.2 Регистратура.
2.3 Врач стационара (список коек и оформление питания).
2.4 Медицинская статистика (различные медицинские формы).
2.5 Руководитель (отчеты).
2.6 Кассовый модуль.
2.7 Маркетинг (изменение цен и договоров).
2.8 Нормативно-справочная информация (изменение общей информации).
2.9 Администрирование.
Современные диагностические устройства могут подключаться к локальной сети организации или же могут быть подключены к рабочим станциям с помощью, например, USB-соединения, нередко используется и беспроводные соединения. Довольно часто медицинское оборудование обрабатывает данные (например, снимки пациента) которые также могут представлять интерес для злоумышленника.
Для моделирования угроз, а также понимания функционирования учреждения здравоохранения, рассмотрим схему сети типовой ИТ-инфраструктуры (рис. 2).
Рисунок 2. Схема типовой ИТ-инфраструктуры учреждения здравоохранения
ИТ-инфраструктура учреждения здравоохранения выглядит следующим образом и состоит из множества рабочих станций, серверов и специализированного медицинского оборудования, подключенных к сети медицинского учреждения.
Остановимся более подробно на сегменте, в котором находится PACS. Он представляет из себя ряд диагностических аппаратов (МРТ, КТ, УЗИ и т. д.), рабочие станции, персональные компьютеры, видеоархивы [5].
Рисунок 3. PACS-сервер (Picture Archiving and Communication System) Система связи и архивирования изображений (Источник: https://www.cnews.ru/reviews/free/publichealth2012/articles/articles7.shtml )
Данный сегмент задействован на всех этапах обследования больного: от его регистрации, проведения исследования до составления отчетов и рассылки их по больнице и сторонним пользователям, в том числе через внешнюю сеть.
3. Схема взаимодействия объектов медицинской инфраструктуры
Любая инфраструктура представляет собой совокупность взаимодействующих систем. В случае организации здравоохранения можно выделить 3 функциональные системы: система медицинского оборудования, система взаимодействия административного персонала, а также сервисные системы обслуживания оборудования.
Одной из самых критически важных систем медицинской организации является ее медицинская инфраструктура. На рис. 4 представлена инфраструктура, в которой показаны взаимодействия медицинских объектов учреждения здравоохранения, которая состоит из: зоны медицинских приборов и оборудования; зона сетевого коммутационного оборудования; зоныы серверов, обслуживающих медицинское оборудование; зоны маршрутизации и межсетевого экранирования; зоны серверов
медицинских сервисов, требующих обмена данных с внешними сервисами. Рассмотрим каждую из функциональных зон подробнее.
X
1г1егпе1
Рисунок 4. Схема взаимодействия объектов медицинской инфраструктуры организации
здравоохранения
Зона медицинских приборов и оборудования (рис. 5). Эта зона является одной из наиболее критических. Тут происходит сбор медицинских данных с пациентов, обработка и дальнейшая передача информации в единые системы обработки медицинских данных (ЕМИАС и т. д.). Аппаратное и программное обеспечение этой зоны подвержены различным рискам сбоев в результате внешнего воздействия на данную систему.
В состав системы входят: медицинское оборудование; различные сопутствующие устройства для взаимодействия с серверным оборудование организации; автоматизированное рабочее место, оборудованное необходимой периферией и оборудование; дополнительное оборудование автоматизированного рабочего места (опционально).
Медицинское оборудование в основном состоит из следующих устройств: аппараты КТ, МРТ, УЗИ; оборудование — рентген, инсулиновые помпы и всевозможные датчики, контролирующее и обеспечивающее процессы жизнедеятельности пациентов. Каждое оборудование имеет в своем составе медицинские датчики и управляющие элементы медицинского оборудования.
В свою очередь аппаратное обеспечение управляется своим специализированным программным обеспечением (firmware), которое зачастую имеет ошибки и уязвимости. Такое программное обеспечение, как правило, обновляется на заводе-изготовителе или во время гарантийного обслуживания. Ниже мы рассмотрим подробно уязвимости, которым подвержены рассматриваемые системы.
Рисунок 5. Схема взаимодействия медицинского оборудования с АРМ
Зона сетевого коммутационного оборудования (рис. 6). Функциональная особенность данной зоны заключается в передаче медицинских данных между медицинским оборудованием, рабочим местом врача и сервером программно-аппаратного комплекса медицинского оборудования.
Рисунок 6. Схема коммутационного оборудования
В состав системы входят: коммутационное оборудование; маршрутизаторы; кабельные линии; сетевая часть медицинского оборудования и рабочих мест. Обычно в качестве среды передачи медицинских данных используется компьютер-
ная сеть Ethernet c применением специализированных протоколов передачи данных.
Зона серверного оборудования, необходимого для работы медицинского оборудования (рис. 7). Серверное оборудование необходимо для обработки и хранения различных типов медицинских данных. Для цифровой обработки сырых данных с медицинского оборудования применяются специализированные программно-аппаратные комплексы, в которые входят в том числе и серверное оборудование.
Рисунок 7. Схема взаимодействия медицинского оборудования с АРМ
В состав системы входят: серверные коммутаторы; серверы обработки данных; серверы хранения данных; серверы для обеспечения работы других сервисов.
Зона сетевого оборудования, которое отвечает за маршрутизацию и межсетевое экранирования трафика организации (рис. 8).
Рисунок 8. Схема подключения сетевого оборудования, выполняющего маршрутизацию и межсетевое экранирование трафика медицинской организации
Развитие информационных технологий привело к тому, выход в интернет является обязательным условием любого бизнес-процесса. А за последние несколько
лет это привело к тому, что некоторое медицинское оборудование потребовало наличия постоянного соединения с глобальной сетью. В одном случае — для обслуживания и проверки лицензий оборудования, в другом — передачи определенных данных на сервера других медицинских организаций. Прямое подключение медицинского оборудования к глобальной сети потенциально опасно. Для обеспечения безопасности применяются межсетевые экраны (Firewall). В состав системы входят: внутренние маршрутизаторы медицинской организации; межсетевые экраны; внешние маршрутизаторы.
Зона работы внешних сервисов (в том числе медицинских) — DMZ (демилитаризированная зона) (рис. 9). Для обеспечения непрерывной передачи данных между организациями используются специальные серверы, которые могут обмениваться медицинскими данными. Помимо них, для публикации открытых данных, web-порталов и других открытых ресурсов используются web-сервера. Распределение возможной высокой нагрузки на ресурсы осуществляется благодаря прокси-серверам.
Рисунок 9. Схема взаимодействия медицинского оборудования с АРМ
В состав системы входят: коммутационное оборудование DMZ зоны; сервера, обеспечивающие прием и передачу медицинских данных; веб-порталы организации; прокси-сервера.
Наличие демилитаризированной зоны необходимо для предотвращения возможных атак на внутреннюю инфраструктуру организации при возможном нарушении периметра.
4. Анализ уязвимости программного обеспечения, работающего с протоколом DICOM
Во многих учреждениях здравоохранения инфраструктура PACS реализована на основе проекта с открытым исходным кодом под названием — dcm4chee [6]. Про-
ект также сопровожден подробной документацией по установке и эксплуатации, чем объясняется его популярность. Открытость и популярность этого и подобных проектов ожидаемо вызывает у злоумышленников и исследователей безопасности желание проверить его устойчивость к взлому. Не остался в стороне и автор статьи.
Помимо шифрования и проблем протокола, нужно учитывать и свойства серверного ПО, обрабатывающего поступающие сообщения. Если отсутствуют механизмы авторизации, то любой атакующий может просматривать снимки любых пациентов по протоколу DICOM.
В частности, в рамках исследования было выявлено, что таким свойством обладает пакет ПО dcm4che (представляет собой набор ПО и утилит для работы с DICOM), в который входит DICOM сервер, программы для извлечения и загрузки DICOM-файлов, в котором реализован DICOM-сервер, клиент, а также веб-приложение для просмотра результатов. В веб-приложении реализован механизм авторизации, и для просмотра снимков необходимо ввести логин и пароль, однако, атакующий может подключиться к серверу по протоколу DICOM и извлечь чужие снимки при помощи DICOM-сервиса Query/Retrieve.
В целях оценки защищенности распространенных реализаций DICOM была смоделирована инфраструктура медицинского учреждения при помощи пакета dcm4che, в который входит DICOM-сервер, веб-интерфейс для просмотра изображений и различные вспомогательные утилиты.
В экспериментальной инфраструктуре был развернут DICOM-сервер, слушающий TCP-порт 11112, веб-интерфейс на порту 80, защищенный механизмом авторизации. На DICOM-сервер был загружен тестовый файл DICOM, взятый из он-лайн-коллекции [7].
В рамках исследования были изучены возможности пакета dcm4che, доступные утилиты и механизмы безопасности. Подразумевается, что врачи в больнице должны пользоваться веб-сервером, введя логин и пароль от своей учетной записи. При этом сами DICOM-устройства загружают изображения через интерфейс DICOM-сервера (на порту 11112).
Как выяснилось, на этом интерфейсе доступны все DICOM-сервисы, включая Query, без какой-либо авторизации.
Для взаимодействия с DICOM-сервером воспользуемся входящей в пакет утилитой findscu [6,16,17]. Строка запуска утилиты выглядит следующим образом: usage: findscu [options] -c <aet>@<host>:<port> [dcmfile_in...]
Таким образом, подключение определяется тремя параметрами: aet, host, port. Параметр AET — это значение Application Entity Title, в котором принято записывать уникальный идентификатор DICOM-устройства, состоящий из букв в верхнем
регистре и цифр. В документации было обнаружено значение по умолчанию для AET: строка "DCM4CHEE".
Ключ "-с" в вызове программы означает отправку запроса C-FIND по протоколу DICOM. При этом также можно передать опцию "-m", в которой передается фильтр для поиска изображений по различным параметрам, таким как имя пациента, тип снимка, возраст и т. д.
Было выявлено, что в параметры фильтра можно подставлять не только буквальные значения, но и шаблоны: символ "*" означает любую подстроку.
Таким образом, утилита позволяет извлечь из настроенного по умолчанию DICOM-сервера с защищенным веб-интерфейсом на основе проекта dcm4che результаты исследований любых пациентов.
Пример запуска атакующим команды для извлечения снимка, загруженного ранее на экспериментальный сервер:
$ ./findscu -c DCM4CHEE@10.10.0.17:11112 -m PatientName='*' 00:21:24,416 INFO - Initiate connection from 0.0.0.0/0.0.0.0:0 to 10.10.0.17:11112 00:21:24,437 INFO - Established connection Sock-
et[addr=/ 10.10.0.17,port=11112,localport=35385]
00:21:24,468 INFO - FINDSCU->DCM4CHEE(1) << A-ASSOCIATE-RQ
00:21:24,631 DEBUG - FINDSCU->DCM4CHEE(1) >> 1:C-FIND-RSP Dataset:
(0008,0052) CS [STUDY] QueryRetrieveLevel
(0008,0054) AE [DCM4CHEE] RetrieveAETitle
(0008,0056) CS [ONLINE] InstanceAvailability
(0010,0010) PN [SHAMILAMAGOMEDOV] PatientName
(0088,0130) SH [] StorageMediaFileSetID
(0088,0140) UI [] StorageMediaFileSetUID
В результате выполнения скрипта мы получаем все данные значения PatientName, обходя при этом авторизацию.
5. Анализ инфраструктуры медицинских объектов
Современные диагностические устройства могут подключаться к локальной сети организации или же могут быть подключены к рабочим станциям с помощью, например, USB-соединения, нередко используются и беспроводные соединения. Довольно часто медицинское оборудование обрабатывает данные (например, снимки пациента) которые также могут представлять интерес для злоумышленника. Остановимся подробнее на том, за счет чего и каким образом злоумышленники могут проникнуть в учреждение здравоохранения.
Разобьем на три группы основные объекты, которые прежде всего будут интересовать злоумышленников.
Клинические информационные системы [8-11]. Клинические информационные системы, как мы рассмотрели выше, состоят из большого количества модулей, как от различных поставщиков, так и всевозможные решения с открытым исходным кодом, которые взаимодействуют и обмениваются файлами друг с другом, поэтому уязвимость одного из компонентов может повлиять на другие. Другая проблема — это повышение функциональной совместимости, как было описано выше, стоит глобальная задача по созданию единой государственной информационной системы в сфере здравоохранения, которая подразумевает использование данных различными системами, только уже не внутри организации, а при взаимодействии с внешними. Тут к уязвимости одного из компонентов добавляется проблема обеспечения безопасного обмена данными посредством внешней сети.
Медицинское оборудование. Медицинское оборудование можно сравнить по функциональности и времени эксплуатации с автоматизированными системами управления технологическими процессами (АСУ ТП), со всеми вытекающими проблемами обеспечения безопасности. Медицинское оборудование дорогое, поэтому в медицинских учреждениях планируют использовать эти устройства в течение многих лет. Из-за этого возникают сложности при получении технической поддержки от производителей, которые, как правило, пытаются разработать новое, а заниматься поддержкой морального устаревшего не видят целесообразным. По этой причине уязвимости появляются, а устранением практически никто не занимается, и, таким образом, их можно использовать с помощью кибератак.
Следующая не менее важная проблема в том, что медицинское оборудование всегда сложное в управлении и настройке. Как правило врачи и специалисты информационного отдела (если он есть) не проходят обучение на новом оборудовании. Обычное действие — оставить это оборудование в стандартной настройке, поэтому предотвращение использования паролей по умолчанию и обеспечение того, чтобы неизвестные функции не активировались, является еще одной проблемой в этих средах. На устройствах могут быть реализованы оперативные процедуры (например, запросы на дату/время, передача технических и сервисных данных производителю, запросы на техническое обслуживание, автоматические обновления), которые могут инициировать оповещения безопасности в системе предотвращения вторжений больницы (необходимо учитывать, что устанавливаются они крайне редко). Эта взаимосвязанность открывает злоумышленникам множество возможностей получить доступ к инфраструктуре медицинского учреждения. Также важно учесть, что новейшие устройства обычно имеют функции удаленного управления и даже возможность подключения к беспроводной сети. Это позволяет поставщикам
снизить затраты на обслуживание и выполнять другие операции, что обычно очень удобно для медицинского учреждения. Но эти случаи, если их игнорировать или пренебречь, могут привести к появлению «задних дверей» в организации, поскольку они часто создаются без ведома медицинского учреждения.
Также серьезной проблемой медицинского оборудования, требующего внимания, является сертификация в различных ведомствах, процедура очень долгая и дорогая. К примеру, производитель производит аппарат, например инфузионные насосы, согласно официальной документации: устройство работает на 23 порту под операционной системой XP. Процедура сертификации была пройдена в далеком 2003. На сегодняшний день поддержка операционной системы XP прекратилась, но производитель не будет мотивирован проходить новую сертификацию, с более надежной операционной системой, а значит мы получаем уязвимые устройства с большим количеством CVE
Сети. Одна из проблем — это использование специфических медицинских протоколов. Как и с примером в АСУ ТП, протоколы были разработаны с учетом вариантов использования, но игнорируя случаи злоупотреблений. Персональные данные пациентов не меняются, утечка данных может иметь влияние на пациентов в течение всей его жизни. Повышение безопасности протоколов, используемых для обмена данными пациента, имеет решающее значение.
Следующая и не менее серьезная проблема — это небезопасное конфигурирование сети для обмена информацией через интернет, подключение различных сервисов, открывающих незащищенные сетевые интерфейсы. Используя информационно-поисковую систему для мониторинга «интернета вещей» (Internet of Things) Shodan, можно очень легко найти большое количество медицинских учреждений по всему миру (рис. 10), в инфраструктуре которых размещены публично доступные системы (рис. 11), обрабатывающие медицинские данные. Медицинские учреждения сами размещают конфиденциальную информацию в общем доступе, так что для ее чтения не нужно специальных навыков и взлома, достаточно воспользоваться поисковой системой. Например, можно найти незащищенный паролем интерфейс для просмотра снимков УЗИ (рис. 12).
Не будем подробно останавливаться, каким образом можно обнаружить конкретное медицинское учреждение и найти его IP-адрес. На рис. 11 видно, что имеется огромное количество открытых сетевых портов, которые можно атаковать. Например, можно найти интерфейсы администрирования Linux-систем (порты 22, 5800, 5900), управляющие интерфейсы ОС Windows (порты 137, 138, 139, 445), а также веб-интерфейсы приложений для учета пациентов, обработки клинических изображений и т. д.
Рисунок 10. Использование поисковой системы Shodan
Рисунок 11. Просмотр портов доступных из внешней сети
Рисунок 12. Просмотр снимка УЗИ через публично доступный интерфейс в сети клиники
Таким образом, видно, что с точки зрения атакующего есть вероятность проникновения в подсеть с медицинскими учреждениями. При этом в некоторых паке-
тах медицинского ПО уже есть публично известные уязвимости с соответствующими идентификаторами CVE, которые также можно поэксплуатировать и удачно взломать медицинскую сеть.
Что касается CVE, то в каталоге уже в 2020 году появились новые уязвимости в медицинском оборудовании и программном обеспечении. Например, [12]:
- CVE-2020-6961 — поставка на устройствах общего SSH-ключа, позволяющего подключиться к любому устройству и выполнить код на нем. Данный ключ также используется в процессе доставки обновлений.
- CVE-2020-6962 — общие для всех устройств предопределенные учетные данные для доступа на запись и чтение к файловой системе по протоколу SMB;
- CVE-2020-6963 — возможность применения приложений MultiMouse и Kavoom KM для удаленного управления устройством (симуляция клавиатуры, мыши и буфера обмена) без проведения аутентификации;
- CVE-2020-6964 — предопределенные для всех устройств параметры подключения по протоколу VNC;
- CVE-2020-6965 — предустановка уязвимой версии Webmin, позволяющей удаленно получить доступ с правами root;
- CVE-2020-6966 — применяемый на устройствах менеджер установки обновлений допускает подмену обновления (обновления заверяются известным SSH-ключом).
Причем как указанно в источнике, пяти уязвимостям присвоен максимальный уровень опасности (CVSSv3 10 из 10). Это означает что перечисленные уязвимости позволяют получить полный контроль за устройствами, что позволяет внести изменения на уровне операционной системы, отключения сигнала тревоги или подмены данных о состоянии пациента. И на момент написания статьи они не закрыты.
6. Рекомендации к построению безопасной инфраструктуры учреждения здравоохранения
Выше описаны различные способы, с помощью которых злоумышленники могут получить доступ к медицинским данным пациентов. Рассмотрим шаги, которые необходимо предпринять всем медицинским учреждениям для повышения безопасности медицинских данных.
Первая и самая необходимая рекомендация — это, конечно же, убрать все узлы, которые участвуют в обработке медицинских данных из публичного доступа. Очевидный факт: медицинская информация должна оставаться исключительно в пределах локальной сети учреждения. Однако на данный момент более тысячи
DICOM-устройств находятся в публичном доступе, о чем говорит статистика, полученная с помощью поисковой системы Shodan (рис. 10). Как правило, в «открытом доступе» находятся всевозможные PACS-серверы и EMR-системы (системы учета пациентов), которые хранят в себе ценную (для злоумышленника) информацию. Такие системы необходимо поместить в соответствующие сегменты внутри корпоративного периметра, изолировать от их неавторизованного использования третьими лицами и осуществлять регулярное резервное копирование их содержимого. Практически любую систему обнаружения вторжений, в том числе и с открытым исходным кодом (например, Suricata) [13] можно настроить на обнаружение незашифрованных пакетов, передаваемых по протоколу DICOM в PACS-сети.
Еще один из вариантов к повышению безопасности — это защита передачи данных между сервером и медицинским оборудованием. Необходимо ставить дополнительное оборудование для шифрования трафика медицинского оборудования [18]. Для исключения подключения, между медицинским оборудованием и оборудованием для шифрования — вводятся модули проверки и аутентификации оборудования на основе протокола 802.1х и анализа трафика данного оборудования. Для серверов вводится дополнительный периметр защиты — с применением межсетевого экрана (для фильтрации и обслуживания только VPN трафика), а также Reverse Proxy и Web Application Firewall. Для подключения к серверам использую защищенный протокол HTTPS для медицинского персонала. Фактически, в таком случае, медицинская сеть является максимально приближенной к изолированной сети. Схематически это можно изобразить следующим образом, рис. 13.
Вторая рекомендация — обязательное ведение журналов логирования. Журналы являются важной частью стратегии обеспечения безопасности. Мы предполагаем, что рано или поздно любую систему можно будет скомпрометировать, как внешним злоумышленникам, так и внутренним, поэтому журналы являются одним из наиболее полезных инструментов, которые можно использовать для отслеживания того, как злоумышленники получили доступ к нашей системе. Также журналы позволяют организации быстрее вернуться в строй, так как можно понять вектор атаки и понять масштаб бедствия. Обеспечение безопасности журналов является одной из наиболее важных задач, хотя ее отсутствие не ставит под угрозу уже реализованную защиту.
Третья рекомендация: ввиду разнообразия ролей в больнице (врачи, регистратура, ординаторы, медсестры, администрация и т. д.) должны быть введены процедуры и регламенты контроля доступа. А именно, каждая роль должна быть четко описана, и для нее должны быть конкретно перечислены системы и интерфейсы, которыми пользователь с данной ролью может пользоваться, а остальные, не являющиеся необходимыми для работы, должны быть строго недоступны. Также учет-
ные пользователи должны регулярно проверяться на соответствие реальной роли сотрудника (учитывать увольнения, переход в другую организацию или на другую должность и т. д.).
Рисунок 13. Рекомендованная настройка сегмента сети, содержащего PACS
Четвертая рекомендация: на сегодняшний день концепция «принеси свое собственное устройство» (BYOD) популярна во всех организациях, и медицинские учреждения тому не исключение. Использование личных мобильных устройств для решения повседневных задач, будь это проверка почты, пересылка диагноза, вход в клиническую систему, необходимо запретить, так как защищенность данных на личных мобильных устройствах не контролируется организацией, при этом большинство пользователей достаточно халатно относится как к персональной, так и к корпоративной безопасности.
Пятая рекомендация, которая также является одной из основных для повышения надежности функционирования сети, — это своевременное обновление всех программных компонентов медицинского учреждения и удаление не относящихся к функционированию организации программ. Выше показано как легко найти актуальные уязвимости и исопльзовать их, поэтому анализ установленного программного обеспечения очень важен.
7. Заключение
Не все учреждения здравоохранения обладают необходимым бюджетом и компетенциями для закупки дорогостоящего оборудования, программно-аппаратных
комплексов защиты информации, систем обнаружения вторжений и т. д., а также оплаты работы консультантов по информационной безопасности для построения процессов и поддержки приобретенных средств защиты информации. Один из выходов — это использовать продукты с открытым исходным кодом. Выполнять регулярный мониторинг [14] вредоносной активности в сети, ведь вряд ли возможна установка защитных решений на само устройство (МРТ, КТ, УЗИ), производитель может запретить любые манипуляции с программным обеспечением оборудования. Необходимо искать альтернативные варианты обнаружения и/или запутывания злоумышленника, например использование ханипотов, с помощью которых можно имитировать медицинское оборудование, которое будет находиться в отдельном выделенном сегменте во внешней сети.
Важная проблема, которую хотелось бы затронуть в заключении, это компрометация электронной почты (фишинг, спам), который является доминирующим вектором атак для заражения вредоносным программным обеспечением. Согласно Verizon DBIR 334 [15], взлом электронной почты был вектором атаки для 92.4% обнаруженных вредоносных программ. Большинство медицинских учреждений разрешают доступ к личным почтовым учетным записям на компьютерах больницы. При этом почтовые адреса врачей легко найти с помощью существующих презентаций в Интернете, на многочисленных вебинарах, а также в каталогах врачей, сайтах для поиска работы, досках объявлений. Поэтому необходимо либо запретить использование личной почты, либо выделить в отдельный пользовательский сегмент, где весь персонал мог бы проверять свою почту в случаях крайней необходимости.
На сегодняшний день существует огромное количество способов обнаружить вредоносную активность, выбирать которые можно исходя из бюджета, размера сети, используемого программного обеспечения и т. д. Важно при этом не забывать, отсутствие защиты в инфраструктуре учреждения здравоохранения может стать причиной потери жизни пациента.
Литература
[1] Королюк И. П. Медицинская информатика : учебник; 2 изд., перераб. и доп. — Самара : ООО «Офорт» ; ГБОУ ВПО «СамГМУ», 2012.
[2] DICOM (Digital Imaging and Communications in Medicine) [Электронный ресурс] URL:https://www.dicomstandard.org/.
[3] CDC. Ceners for Disease Control and Prevention [Электронный ресурс] URL: https://www.cdc.gov/.
[4] Медтех-портал [Электронный ресурс] URL: http://zdrav.expert/.
[5] Переверзев М. ИТ в зравоохранении 2012 // Cnews. Аналитика. 2012. P. 7 [Электронный ресурс] URL: https://www.cnews.ru/reviews/free/publichealth2012/ articles/articles7. shtml.
[6] Getting Started with DCM4CHEE ARR 4.x [Электронный ресурс] URL: https://github.com/dcm4che/dcm4chee-arr/blob/master/INSTALL.md.
[7] DICOM Library [Электронный ресурс] URL: https://www.dicomlibrary.com/.
[8] Бурков С. М., Косых Н. Э., Левкова Е. А., Савин С. З., Свиридов Н. М. Об одном методе декомпозиции для защиты персональных данных в медицинских информационных системах // Врач и информационные технологии. 2018. № 4. С. 59-66.
[9] Гулиев Я. И., Цветков А. А. Обеспечение информационной безопасности в медицинских организациях // Врач и информационные технологии. 2016. № 6. С. 49-62.
[10] Рябко С. Д. Защита информационной инфраструктуры медицинского учреждения // Здравоохранение. 2012. № 7. С. 34-38.
[11] Procurement Guidelines for Cybersecurity in Hospitals [Электронный ресурс] URL: https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services.
[12] CyberMDX Research Team Discovers Vulnerability in GE CARESCAPE, ApexPro, and Clinical Information Center Systems [Электронный ресурс] URL: https://www.cybermdx.com/vulnerability-research-disclosures/cic-pro-and-other-ge-devices.
[13] Suricata [Электронный ресурс] URL: https://suricata-ids.org/.
[14] Беклемищева Н. Б., Жуков В. Г., Михайлов К. Д. О некоторых вопросах информационной безопасности медицинских устройств // Актуальные проблемы авиации и космонавтики. 2017. Т. 2. № 13. С. 191-193.
[15] 10 key takeaways from the 2018 Verizon Data Breach Investigations Report (DBIR) [Электронный ресурс] URL: https://www.verizondigitalmedia.com/blog/10-takeaways-from-the-2018-verizon-dbir/.
[16] PS 3.6-2011 Digital Imaging and Communications in Medicine (DICOM) Part 6: Data Dictionary. — Published by National Electrical Manufacturers Association, 2011. P. 216.
[17] ISO 12052:2017. Health informatics — Digital imaging and communication in medicine (DICOM) including workflow and data management. [Электронный ресурс] URL: https://www.iso.org/standard/72941 .html
[18] Bu L., Karpovsky M. G., Kinsy M. A. Bulwark: Securing implantable medical devices communication channels // Computes & Security. 2019. Vol 86. P. 498-511.
Автор:
Шамиль Гасангусейнович Магомедов — кандидат технических наук, доцент, заведующий кафедрой «Интеллектуальные системы информационной безопасности», МИРЭА — Российский технологический университет
Security Analysis of ^mputer Networks and Applications of the Healthcare Organizations Information Processes
S. G. Magomedov
**MIREA — Russian Technological University, 78 Vernadsky Avenue, Moscow 119454 magomedov_sh@mirea. ru
Abstract. Today the healthcare organizations are vast ecosystems that consist of a large number of networks of devices, equipment and systems that often require connection to external systems. Medical data is very sensitive to change and poses a real threat to patients' health and lives. No special skills are required to become familiar with the potential vulnerabilities that a healthcare facility may face. Therefore, the security of medical data must be ensured at every stage of the receipt, transmission, processing, storage of information, to ensure the confidentiality of patient data and the availability and sustainability of healthcare services at the same time. Therefore, health system manufacturers, as well as organizations that provide support, need to implement measures to ensure the necessary level of protection against cyberthreats, which will improve patient safety and the overall infrastructure of the health care facility.
Keywords: mechanotherapy, rehabilitation exoskeleton, cardiovascular system, physiological indicators, experiment.
References
[1] Korolyuk I. P. (2012) Medicinskaya informatika (Samara). [Rus]
[2] https://www.dicomstandard.org/.
[3] https://www.cdc.gov/.
[4] http://zdrav.expert/.
[5] https://www.cnews.ru/reviews/free/publichealth2012/articles/articles7.shtml.
[6] https://github.com/dcm4che/dcm4chee-arr/blob/master/INSTALL.md.
[7] https://www.dicomlibrary.com/.
[8] Burkov S. M., Kosyh N .E., ... & Sviridov N. M. (2018) Vrach i informacionnye tekhnologii,(4):59-66.
[9] Guliev Y. I., Cvetkov A. A. (2016) Vrach i informacionnye tekhnologii, (6):49-62. [Rus]
[10] RyabkoS. D. (2012) Zdravoohranenie, (7):34-38. [Rus]
[11] https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services.
[12] https://www.cybermdx.com/vulnerability-research-disclosures/cic-pro-and-other-ge-devices.
[13] https://suricata-ids.org/.
[14] Beklemishcheva N. B. et al. (2017) Aktual'nyeproblemy aviacii i kosmonavtiki, 2(13):191-193. [Rus]
[15] https://www.verizondigitalmedia.com/blog/10-takeaways-from-the-2018-verizon-dbir/.
[16] PS 3.6-2011 Digital Imaging and Communications in Medicine (DICOM) Part 6: Data Dictionary.
[17] ISO 12052:2017. Health informatics — Digital imaging and communication in medicine (DICOM) including workflow and data management.
[18] Bu L., Karpovsky M. G., Kinsy M. A. (2019) Computes & Security, 86:498-511.
