Сфера здравоохранения занимает все более важное место на рынке кибербезопасности. В отчете исследовательской компании IDC и американской Seagate Technology говорится, что объем важных данных, связанных со здоровьем и жизнью людей в регионе EMEA (Европа, включая Россию, Ближний Восток и Африка), будет расти на 47% ежегодно.
Проблема кибератак в здравоохранении
Первая документально зафиксированная атака на подключенное к сети медоборудование произошла в мае 2017 года. Тогда после кибератаки на облачный онкосервис сторонней компании вирусом-вымогателем WannaCry были заражены приборы в нескольких американских больницах. В итоге больным раком, проходящим лучевую терапию в четырех учреждениях, пришлось перенести лечение.
Этот случай показал, что отрасль здравоохранения наравне с остальными не застрахована от кибератак и утечек данных. Помимо прочего, медицинские данные пациента нуждаются в особой защите, поскольку вся информация передается через облачные сервисы, которые можно взломать. В ходе опроса Ponemon Institute четверть американских компаний, предоставляющих медицинские услуги, заявили об увеличении числа смертей пациентов после внедрения в системы вирусов-вымогателей.
С тех пор атаки стали еще более изощренными. В сентябре 2022 года техасский медицинский центр OakBend подвергся взлому, что привело к утечке медицинских данных и повреждению систем. Взломщики смогли заполучить имена, контактную информацию, даты рождения и номера социального страхования пациентов клиники.
После атаки на OakBend ФБР предупредило медицинские учреждения, что их оборудование зачастую работает на устаревшем программном обеспечении и уязвимо для взлома. Ранее летом 2022-го американские сенаторы предложили законопроект, который обяжет Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) выпускать более регулярные рекомендации по кибербезопасности медицинских устройств. Также законопроект требует, чтобы производители устройств имели план действий на случай любых проблем кибербезопасности.
Само FDA попросило больше полномочий для разработки таких правил кибербезопасности. В настоящее время нет требований к тому, как часто агентство должно выпускать рекомендации. Последнее руководство вышло в 2018 году.
Кроме того, FDA намерено ужесточить требования ко всему жизненному циклу медустройств. Их производителям порекомендуют включать в комплект спецификацию программного обеспечения (SBOM), чтобы пользователи получали полную информацию о различных элементах, из которых состоит устройство. SBOM также позволяет следить за безопасностью устройств. Например, если в программном обеспечении обнаружена ошибка или уязвимость, больница может легко проверить, использует ли ее оборудование это ПО.
Однако новые рекомендации и законодательство в первую очередь будут применяться к устройствам, только поступающим на рынок, но они не распространяются на миллионы медицинских устройств, уже используемых в США. В отношении этого медоборудования у FDA пока нет четких планов.
Согласно отчету американской фирмы кибербезопасности Armis, 61% пациентов не слышали о кибератаках в сфере здравоохранения за последние годы, хотя около трети признали, что становились их жертвами. При этом около половины опрошенных заявили, что поменяют больницу после кибератаки, а более 70% считают, что проблемы кибербезопасности могут повлиять на их лечение.
Таким образом, задача специалистов кибербезопасности — не только защитить медицинское оборудование (стационарное, импланты и носимую электронику), но и предотвратить утечки данных с камер наблюдения в больницах, систем идентификации врачей и пациентов, а также карт посетителей.
Цифровизация здравоохранения в России
В России все участники системы здравоохранения, в том числе частные клиники, должны передавать данные в Единую государственную информационную систему здравоохранения (ЕГИСЗ). Положение о ЕГИСЗ, которое действует с марта 2022 года, позволяет формировать в системе обезличенные наборы данных для исследований, обучения искусственного интеллекта, хранения и обработки медицинской документации. Объем таких данных быстро прирастает за счет
внедрения электронных медицинских карт, развития технологий диагностики и отрасли носимых медицинских устройств.
Согласно положению о ЕГИСЗ, защиту информации в единой системе должен обеспечивать ее оператор. Он будет предотвращать атаки и утечки, отслеживать работоспособность системы и ее защищенность, а также восстанавливать информацию. Оператор должен взаимодействовать с Национальным координационным центром по компьютерным инцидентам.
В документе особо отмечается, что для защиты данных должны использоваться технологии, которые прошли сертификацию Федеральной службы безопасности и/или Федеральной службы по техническому и экспортному контролю средств защиты информации.
В распоряжении правительства РФ о стратегическом направлении в области цифровой трансформации здравоохранения говорится, что big data в здравоохранении должны обеспечить информационное сопровождение граждан, контроль предоставления медпомощи по ОМС, а также переход на электронный документооборот к 2030 году.
Директор по развитию Webiomed, эксперт по искусственному интеллекту Центрального научно-исследовательского института организации и информатизации здравоохранения (ЦНИИОИЗ) Минздрава России Александр Гусев рассказал, что с ЕГИСЗ взаимодействуют как государственные информационные системы, так и частные. При этом для некоторых из них ввели особый статус так называемой «Иной информационной системы». Для того, чтобы получить этот статус, оператору такой системы необходимо выполнить довольно объемный и сложный перечень требований, подчеркивает эксперт. По его словам, эта проверка включает в себя независимую аттестацию на требования по безопасности. В Webiomed уже выполнили все эти требования и зарегистрировали в качестве «Иной ИС» свою платформу прогнозной аналитики. Таким образом, компания может использовать облачную версию платформы для взаимодействия с ГИС субъектов РФ и медицинских информационных систем учреждений.
Проблемы цифровизации в контексте киберугроз
Александр Гусев считает основным вызовом в здравоохранении большую скорость накопления цифровых данных, причем не только электронных медицинских карт, но и данных с носимых устройств, сведений в системе маркировки лекарств, а также информации из системы обязательного медицинского страхования. По словам эксперта, в российском здравоохранении работает много различных информационных систем от разных поставщиков, а данные собираются на трех основных уровнях — учреждений, регионов и на федеральном. Чем больше информационных систем внедряется и чем больше данных они накапливают, тем сложнее становится управлять этими массивами данных и обеспечивать надлежащий уровень их защиты.
Директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов отмечает, что создание централизованных баз данных несет риски: «По мере того как медицинские учреждения внедряют личные кабинеты пациентов и переводят многие процессы взаимодействия в электронный формат, критически важная информация уходит за пределы защищенного контура».
По словам эксперта, для здравоохранения работают те же киберугрозы, что и для других сфер: хакерские атаки (DDoS или массированные атаки на оборудование, фишинговые, которые нацелены на конкретных людей, а также атаки программ-вымогателей, которые шифруют данные и предлагают выкупить их), утечки конфиденциальной информации. В 2021 году в московской наркологической клинике Verimed произошла утечка данных VIP-пациентов, которую впоследствии опровергли, а в 2020 году утекли данные 300 тысяч переболевших COVID-19 москвичей.
В «Лаборатории Касперского» подчеркивают, что с дальнейшим развитием телемедицины и появлением большего числа приложений хакеры смогут находить уязвимости в этих сервисах, поскольку многие из их разработчиков ранее не создавали подобных продуктов.
Директор по развитию бизнеса компании Vinteo, лектор международной школы РУДН и ISFTeH «Современные аспекты телемедицины» Борис Попов отмечает, что в телемедицинских системах личные данные пациентов должны передаваться в зашифрованном виде, а не через общедоступные мессенджеры и зарубежные сервисы видеоконференций. По его словам, серверы этих площадок расположены за рубежом, и гарантировать сохранность данных нельзя. Между тем в России каждый шестой случай компрометации конфиденциальных данных приходился на мессенджеры, и при этом здравоохранение занимало значительную долю в списке, заявляли в InfoWatch.
В «Лаборатории Касперского» указывают на еще одну связанную проблему — недостаточную осведомленность сотрудников медорганизаций о правилах информационной безопасности.
Директор по проектной деятельности, член наблюдательного совета ассоциации «Национальная база медицинских знаний» Андрей Алмазов говорит, что для защиты данных требуется стандартизация всех процессов и их документирование. Однако пока общие подходы только формируются.
Новые вызовы
Дополнительные риски кибербезопасности в здравоохранении эксперты связывают также с геополитическим кризисом и уходом с российского рынка зарубежных IT-компаний.
Согласно последнему исследованию Positive Technologies, 96% крупных российских компаний имеют такие уязвимости в своих IT-системах, которые позволяют хакерам получить доступ к конфиденциальной информации.
Александр Гусев отмечает, что сейчас как никогда стала актуальной работа по импортозамещению. Однако он подчеркивает, что отрасль здравоохранения довольно слабо использовала западные прикладные продукты, и в подавляющем большинстве случаем компоненты ЕГИСЗ, а также медицинские информационные системы были созданы и развиваются именно российскими компаниями. Многие из этих компаний находятся в реестре российского ПО. По словам Александра Гусева, Webiomed изначально использует только свободное программное обеспечение, а системы компании работают на операционных системах и системах управления базами данных, размещенных в реестре российского ПО.
Эксперт считает более серьезной проблему импортозамещения операционных систем, систем управления базами данных и систем связи. В настоящее время работу в этом направлении активно продвигает Минцифры.
Андрей Алмазов соглашается, что импортозамещение системного ПО — задача крайне сложная, зато системно-прикладные решения по информационной безопасности или по сервисам обмена данными и так были изначально российскими, как и медицинские информационные системы. Он уверен, что риски в отрасли здравоохранения из-за использования иностранного ПО сегодня минимальные.
Решение проблем киберугроз для здравоохранения в России
Ряд российский компаний, организаций и профильных ведомств уже разрабатывают инструменты, которые позволяют снизить риски кибератак и утечек данных из медучреждений.
Стандартизация процессов
Разработкой российской спецификации стандарта обмена медицинскими данными и их структурирования занимается сообщество HL7 FHIR Russia. Оно ориентируется на опыт таких стран, как США, Дания и Австралия. В задачи организации входит:
- формирование требований к программным платформам, на которых будут работать медицинские продукты;
- составление требований к методам поиска информации и структурированным электронным документам;
- разработка требований к совместимости с Национальной платформой «Здоровье» (объединит ЕГИСЗ, ФГИС ОМС, АИС Рoсздравнадзора и другие системы);
- проработка требований к безопасности данных;
- составление перечня инструментов разработки (утилиты, библиотеки и компоненты, рекомендуемые к использованию);
- формулирование технических соглашений.
Итогом этой работы станет FHIR Ru Core — общепринятая модель данных, которая будет использоваться в информационных системах здравоохранения и будет отвечать международным стандартам на всех уровнях. Ее совместимость и модульность позволит снизить зависимость от решений конкретного разработчика и построить целый маркетплейс цифровых решений в сфере здравоохранения.
Образование медперсонала
Зачастую главным фактором утечек становится человеческий фактор. В связи с этим необходимо обучать специалистов медучреждений цифровой грамотности. Ассоциация «Национальная база медицинских знаний» (НБМЗ) совместно с физтех-школой биологической и медицинской физики МФТИ в 2022 году запустят первую в России программу магистратуры «Цифровая трансформация в управлении здравоохранением». Она рассчитана на два года. В рамках программы специалистов будут готовить по предметам медицинской информатики и управления данными. В 2023 году ожидается первый выпуск 10-20 таких специалистов, которые начнут внедрять новые цифровые технологии в медицинских организациях, научно-исследовательских центрах и органах управления здравоохранением.
Отдельные курсы будут ориентированы на врачей и организаторов, которым нужно приобрести конкретные знания и умения в сфере нейротехнологий. Они будут проходить обучение по направлениям онкологии, кардиологии, профилактической медицины и так далее.
Защита по периметру
Региональные информационные системы в сфере здравоохранения уже эксплуатируются в так называемых «защищенных цифровых контурах», утверждает Александр Гусев. Из них доступ в открытый интернет ограничен или вовсе заблокирован. По словам эксперта, также применяются защищенные каналы связи между медицинскими организациями и региональном центром обработки данных, между регионом и федеральными сервисами. В госсекторе регулярно проводят проверки инфраструктуры на предмет соблюдения требований по безопасности и используемому ПО, при этом регулятор может предъявлять рекомендации по устранению нарушений. Однако, отмечает он, в частной системе здравоохранения такой системной работы и надзора практически нет, поэтому с точки зрения информационной безопасности информационные системы частных клиник находятся в более уязвимом состоянии.
Российские компании уже разрабатывают комплексные решения для медотрасли. Так, «Лаборатория Касперского» предлагает многоуровневую защиту данных для физических и виртуальных рабочих мест, а также для мобильных устройств, встроенных устройств в медицинском оборудовании и облачных сред. Технология использует облачную систему сбора сведений об угрозах и машинное обучение.
Система позволяет защитить данные медицинских карт пациентов и персонала, обеспечить бесперебойное функционирование медицинских систем, а также оградить объекты интеллектуальной собственности от кражи.
Шифрование данных
Большинство современных решений способны только идентифицировать персональные биометрические данные, но не могут эффективно их защищать. Однако Холдинг «Росэлектроника» (входит в Ростех) уже представил нейросеть для безопасного использования биометрических данных. Она способна переводить такую информацию в специальные зашифрованные ключи, которые сразу же стираются после использования и нигде не хранятся.
Нейросеть создает криптографические ключи из биометрических данных их владельца. Сам такой ключ разделен на две части: первая — собственно нейронная сеть, вторая — биометрия. Так, при сканировании сетчатки глаза пользователь сможет запустить программу, которая выберет в массиве информации именно его данные. Это позволит хранить электронные документы на телефонах, флешках, в «облаке» в зашифрованном виде, поскольку расшифровать их сможет только владелец.
Разработчики утверждают, что их продукт «Биометрия-код» может применяться в медицинских системах при хранении историй болезни, оформлении рецептов и больничных листов.