CC BY
3УДК 004.056
Исрафилов Анар
магистр, индивидуальный исследователь
КИБЕРБЕЗОПАСНОСТЬ В МЕДИЦИНЕ: ЗАЩИТА ЭЛЕКТРОННЫХ
МЕДИЦИНСКИХ ДАННЫХ
Аннотация: Статья освещает актуальную проблему кибербезопасности в медицинской сфере. Отмечается важность конфиденциальности электронных медицинских данных (ЭМД). Рассматриваются основные угрозы, а также методы защиты ЭМД. Анализируются законодательные и технологические аспекты, особое значение уделяется необходимости непрерывного обучения и адаптации к новым угрозам для обеспечения безопасности баз данных. Исследование подчеркивает, что комплексный подход и постоянное обновление знаний являются важным аспектом защиты медицинской информации.
Ключевые слова: Кибербезопасность, электронные медицинские данные, медицина, защита данных, вредоносное программное обеспечение, нормативные акты.
Israfilov Anar
master's degree, individual researcher
CYBERSECURITY IN MEDICINE: PROTECTION OF ELECTRONIC
MEDICAL DATA
Abstract: The article addresses the pressing issue of cybersecurity in the medical field. It highlights the importance of confidentiality for electronic medical records (EMR). The main threats are examined, as well as methods for protecting EMR. Legislative and technological aspects are analyzed, with special emphasis on the need for continuous education and adaptation to new threats to ensure database security. The study emphasizes that a comprehensive approach and constant updating of knowledge are important aspects of protecting medical information.
Keywords: Cybersecurity, electronic medical records, medicine, data protection, malicious software, regulatory acts.
ВВЕДЕНИЕ
Цифровизация в сфере здравоохранения повышает эффективность оказания медицинских услуг. Однако инновационные технологии имеют и обратную сторону - увеличиваются риски нарушения информационной безопасности. Привлекательность медицинских учреждений (МУ) для
киберпреступников объясняется содержанием в их базах данных различной конфиденциальной информации (КИ), включая личные сведения пациентов, номера банковских карт, результаты анализов. Утечки и кражи таких материалов могут привести к серьезным последствиям, включая нарушение личной неприкосновенности пациентов, финансовые потери для МУ и угрозу здоровью и жизни людей.
Цель данной работы - анализ основных аспектов кибербезопасности в медицине. Исследуются виды угроз, с которыми сталкиваются МУ, и методы защиты электронных медицинских данных (ЭМД).
ОСНОВНАЯ ЧАСТЬ
Согласно исследованиям компании Positive Technologies (Россия) в 2023
году самой атакуемой киберпреступниками сферой была сфера
здравоохранения (рис. 1) [1].
12% -11%
10% 8% 6% 4% 2% 0%
2022 год 2023 год
Рисунок 1. Количество успешных кибератак в медицине в мире [1] В 2023 году 96% атак были целевыми, и год в целом ознаменовался для медицины повышением активности злоумышленников. Киберпреступники чаще всего похищали персональные данные (ПДн) и медицинскую информацию (40% и 26% от общей доли похищенных данных за 4 квартал 2023 года) [1]. Примером являются атаки ортопедических клиник Теннесси (США) в 2023 году, в результате которых неавторизованная сторона получила доступ к системам МУ и завладела КИ о пациентах, включая имена, даты рождения, сведения о диагнозе и лечении, контактные данные, имена поставщиков, информацию о рецептах и медицинском страховании, а также стоимости
услуг [2]. Тогда клиника отреагировала на инцидент сразу после обнаружения и внедрила дополнительные технические меры безопасности.
В России в 2023 году медицинская лаборатория «Хеликс» подверглась серьезной кибератаке. Это вывело из строя системы компании, из-за чего клиенты несколько дней не могли получить результаты своих анализов. Хакеры пытались заразить системы вирусом-вымогателем [3].
Еще одним примером является атака киберпреступников из группировки Rhysida на медицинскую компанию Prospect Medical Holdings (США) в августе 2023 года [4]. В результате больнице пришлось отключить IT-сети для предотвращения распространения атаки, вернуться к бумажным картам и остановить предоставление ряда услуг (например, прием анализов).
УГРОЗЫ КИБЕРБЕЗОПАСНОСТИ В МЕДИЦИНСКОЙ СФЕРЕ Кибербезопасность - это система мер, направленная на предотвращение, выявление и нейтрализацию атак на информационные системы. Основная цель киберуязвимостей состоит в получении конфиденциальных данных пользователей и использовании их в своих целях. Прежде всего, злоумышленников привлекает простота проведения подобных киберпреступлений, поскольку для МУ характерно несвоевременное обновление программного обеспечения (ПО). Подобная тенденция в организации информационной безопасности в медицинской сфере приводит к большому количеству опасных уязвимостей. В таблице 1 представлены распространенные виды атак киберпреступников на учреждения здравоохранения.
Таблица 1. Типы кибератак в МУ [5, 6]
Тип атаки Описание Потенциальные последствия
Фишинг Атаки, при которых злоумышленники маскируются под легитимные организации, чтобы получить КИ. Утечка личных данных пациентов и сотрудников.
Шифровальщик (вирус- вымогатель) Вредоносное ПО, блокирующее доступ к системам или данным до выплаты выкупа. Потеря доступа к критически важным медицинским записям и системам.
DDoS-атаки Перегрузка сетевых сервисов, серверов или инфраструктуры с целью сделать их недоступными. Нарушение работы медицинских сервисов и систем.
Внутренние угрозы Атаки, исходящие от сотрудников организации, имеющих доступ к системам. Утечка или повреждение данных из-за недобросовестности или ошибок сотрудников.
Эксплойты Использование уязвимостей в ПО для получения несанкционированного доступа. Компрометация систем и утечка КИ.
Согласно отчету Positive Technologies (Россия) за 2023 год, вредоносное ПО использовалось в каждой второй атаке в мире, наиболее популярными инструментами были шифровальщики (51%) и шпионское ПО (27%). В основном злоумышленники распространяли уязвимости через электронную почту (66%) и при компрометации компьютеров, серверов и сетевого оборудования (26%) [1].
ЗАКОНОДАТЕЛЬНАЯ БАЗА. ОБЗОР МЕЖДУНАРОДНЫХ И НАЦИОНАЛЬНЫХ НОРМАТИВНЫХ АКТОВ Роль законодательства в защите медицинских данных (МД) заключается в установлении правил и норм, регулирующих обработку и защиту КИ. В сфере кибербезопасности существует множество международных и национальных нормативных актов, которые регулируют обработку и хранение ЭМД. Эти законы и стандарты направлены на обеспечение конфиденциальности, целостности и доступности информации о пациентах.
Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR) - европейский стандарт, который устанавливает строгие требования к обработке ПДн, включая медицинскую информацию. GDPR предоставляет людям права по управлению данными, собранными МУ. Организация должна своевременно предоставлять информацию о запросах личных сведений и нарушениях безопасности, а также выполнять оценку надежности и защиты конфиденциальности.
Закон о переносимости и подотчетности медицинского страхования (англ. Health Insurance Portability and Accountability Act, HIPAA) -американский закон, который обеспечивает конфиденциальность МД и других ПДн пациентов. HIPAA устанавливает стандарты безопасности информации и
ХОЛОДНАЯ НАУКА №6/2024
требует от МУ внедрения административных, физических и технических средств защиты. HIPAA предназначен для неразглашения КИ о состоянии здоровья человека и обеспечения безопасного обмена информацией между организациями. Это важное требование для всех, кто имеет дело с конфиденциальной медицинской информацией в системе здравоохранения США.
Защита информации в российских МУ регулируется федеральным законодательством, указами Президента Российской Федерации, руководящими документами ФКУ «Государственные технологии», Минцифры России, ФСТЭК и ФСБ России, а также отраслевыми рекомендациями Министерства здравоохранения России. Данные документы обеспечивают защиту прав человека при обработке его персональных данных, а также регулируют отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
Для обеспечения соответствия вышеупомянутым законам и регламентам, МУ должны следовать определенным стандартам защиты данных:
ISO/IEC 27001 - международный стандарт, который определяет требования к системам управления информационной безопасностью. Он помогает организациям защищать данные с помощью процесса риск-менеджмента и внедрения соответствующих мер безопасности.
HITRUST CSF - свод правил, который помогает МУ последовательно и упорядоченно демонстрировать свою безопасность и соответствие требованиям путем внедрения интегрированной системы управления рисками и соответствия нормативным требованиям. Этот документ объединяет различные стандарты, такие как HIPAA, ISO, NIST, и обеспечивает единый подход к управлению безопасностью данных. Применение HITRUST CSF позволяет учреждениям эффективно идентифицировать и устранять уязвимости, минимизировать риски и улучшать защиту данных пациентов.
NIST Cybersecurity Framework - это набор руководящих принципов по снижению организационных рисков кибербезопасности, опубликованных
ХОЛОДНАЯ НАУКА №6/2024
Национальным институтом стандартов и технологий США Он предоставляет организациям систематизированный подход для выявления, оценки и управления рисками кибербезопасности, способствуя повышению общей устойчивости кибератак и обеспечивая надежную защиту информационных ресурсов.
Данные стандарты играют важную роль в укреплении кибербезопасности МУ, предоставляя им руководство по созданию эффективных систем обеспечения безопасности информации.
МЕТОДЫ ЗАЩИТЫ ЭЛЕКТРОННЫХ МЕДИЦИНСКИХ ДАННЫХ
Технологии защиты информации включают способы противодействия направленным атакам и профилактику внутрикорпоративной конфиденциальности. Правильный выбор, применение, администрирование средств охраны информации гарантирует, что важные сведения компании не попадут в чужие руки.
Шифрование - это средство защиты конфиденциальных данных, хранящихся в компьютерных системах. Оно позволяет преобразовать информацию в иную форму или код, прочитать которые могут только те пользователи, которые имеют пароль или доступ к ключу дешифрования (рис. 2).
Нарушитель
—зп—
Отправитель А
М-сообщение Е — криптограмма К - ключ
Рисунок 2. Модель системы шифрования Использование современных методов шифрования, таких как симметричный или криптографический алгоритм с открытым ключом, обеспечивает недоступность данных для несанкционированного доступа [7]. ISSN 3034-2627 64 https://coldscience.ru
ХОЛОДНАЯ НАУКА №6/2024
Аутентификация - этап защиты информации, на котором проверяется подлинность личности пользователя. Иными словами, эта процедура позволяет удостовериться, что субъект, который обращается к некой защищенной информации, действительно является тем, за кого себя выдает. В процессе аутентификации пользователь предоставляет системе набор уникальной информации, удостоверяющий его личность и право доступа. Эта совокупность символов называется фактором аутентификации.
Резервное копирование данных - это метод, при котором создаются копии МД для предотвращения потери информации в случае кибератак или сбоев системы. Это помогает обеспечить сохранность информации, позволяя быстро восстановить данные и минимизировать время простоя, а также снижает риск серьезных потерь данных для бизнеса и пользователей [8].
Ограничение доступа - метод, при котором доступ к МД предоставляется только авторизованным пользователям. Это может быть достигнуто путем применения паролей, идентификационных карт или биометрических систем [9].
Использование антивирусного ПО - метод, при котором используются специальные программы для обнаружения и блокирования вредоносных программ, которые могут повредить МД.
Киберпреступники используют разнообразные методы атак, от фишинговых писем до сложных вирусов и программ-вымогателей. Только комплексное использование всех способов защиты может обеспечить достаточный уровень безопасности.
ПРАКТИЧЕСКИЕ АСПЕКТЫ РЕАЛИЗАЦИИ КИБЕРБЕЗОПАСНОСТИ
Обеспечение информационной безопасности включает в себя не только технологические решения, но и разработку соответствующих процедур и политик. Важно проводить регулярные аудиты безопасности, анализировать уязвимости и осуществлять тестирование на проникновение новых угроз для обеспечения защиты [10].
Создание четких и понятных систем безопасности является важным элементом защиты данных. Политика должна включать инструкции по
использованию паролей, управлению доступом, реагированию на инциденты и восстановлению данных. Внедрение правил помогает создать структурированную среду, где каждый сотрудник знает свои обязанности в области кибербезопасности.
Подготовка персонала является важной частью стратегии кибербезопасности. Регулярное обучение и проведение тренингов по охране информации повышает осведомленность о потенциальных угрозах и лучших практиках их предотвращения. Это способствует созданию культуры безопасности, где каждый сотрудник вносит свой вклад в защиту данных.
ВЫВОДЫ
Кибербезопасность в медицинской сфере является важной для охраны ЭМД от угроз, которые могут подвергнуть риску не только конфиденциальность пациентов, но и целостность всей системы здравоохранения. Современные технологии, такие как шифрование и аутентификация, а также разработка и внедрение политик безопасности и обучение персонала, играют важную роль в создании надежной защиты данных.
Однако необходимо понимать, что технологии постоянно развиваются, и угрозы становятся все более изощренными. МУ важно не только внедрять существующие решения, но и постоянно следить за новыми тенденциями в области кибербезопасности. Это требует непрерывного обучения, адаптации и проактивного подхода к управлению рисками.
ЛИТЕРАТУРА
1. Итоги расследований инцидентов ИБ в 2021-2023 годах. URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/outcomes-of-IS-incident-investigations-in-2021-2023-years.pdf (дата обращения: 20.04.2024).
2. Tennessee Orthopaedic Clinics Affirms Security Breach / Healthcare Facilities // URL: https://www.healthcarefacilitiestoday.com/posts/Tennessee-Orthopaedic-Clinics-Affirms-Security-Breach--28653 (дата обращения: 01.05.2024)
3. Актуальные киберугрозы для организаций: итоги 2023 года / Positive Technologies // URL: https://www.ptsecurity.com/ru-ru/research/analytics/aktualnye-kiberugrozy-dlya-organizacij-itogi-2023-goda/ (дата обращения: 03.05.2024)
4. Rhysida Ransomware / U.S. Department of Health and Human Services Health Sector Cybersecurity Coordination Center // URL: https://www.hhs.gov/sites/default/files/rhysida-ransomware-sector-alert-tlpclear.pd^:~:text=URL%3A%20https%3A%2F%2Fwww.hhs.gov%2Fsites%2Fdefault %2Ffiles%2Frhysida (дата обращения: 05.05.2024)
5. Малинина Е. В., Дубинкин В.А., Маркова Н. Ю., Кичко И. С. применение цифровых технологий в практическом здравоохранении // Вестник новых медицинских технологий. Электронное издание. 2024. №«2. С.98-107.
6. Козлова М. Д., Огарков А. И., Кузнецов И. А., Заломский А. С., Рубин И. М. Влияние цифровизации на повышение операционной эффективности медицинского бизнеса: тенденции и примеры // Конкурентоспособность в глобальном мире: экономика, наука, технологии. 2024. №25(3). С. 250-257
7. Любаева Д. Ю. Правовые аспекты защиты персональных данных в медицинских учреждениях // Контентус. 2022. №9 (122). С. 57-63.
8. Огарков А. И. Управление эффективностью продаж и маркетинговой деятельности в фарминдустрии // Научный сетевой журнал «Столыпинский вестник» №3/2024.
9. Попова С. А., Нестеров Д. А. Влияние цифровизации на оказание социально значимых услуг населению России // Вестник УМЦ. 2023. С. 178-184.
10. Захаров А. Д. Эффекты цифровизации финансовых услуг на динамику потребительского кредитования в США // ЭЛЕКТРОННЫЙ НАУЧНЫЙ ЖУРНАЛ «ДНЕВНИК НАУКИ». 2024. №1/2024.
11. Аверьянов В. С., Карцан И. Н. Цифровая трансформация государственных учреждений // Современные инновации, системы и технологии. 2024. №2. С.90-101.
