01.01.2010

«Подцепили шифровальщика — меняют компьютер и всё»: О чем говорили на первом МедИнфоБезе

27 сентября в Москве успешно прошла первая Всероссийская конференция по информационной безопасности в здравоохранении «МедИнфоБез», в которой приняли участие специалисты из медучреждений, эксперты по информационной безопасности, представители рынка ИБ, а также Минздрав России и ФСБ России.

В ходе открытого диалога были подняты вопросы, которые больше всего беспокоят представителей отрасли: нехватка квалифицированных кадров, отсутствие у главных врачей и врачебного персонала понимания элементарных требований к ИБ, а также трудности, связанные с переходом на отечественное оборудование.

«У главврачей абсолютно нет понимания, что такое ИБ»

Несмотря на наличие требований, главные врачи медучреждений как правило не имеют представления о том, зачем нужна ИБ и какие вопросы она решает, поэтому «часто системы безопасности просто не внедряются», говорит начальник отдела научно-медицинских цифровых решений НИИ неотложной детской хирургии и травматологии ДЗМ Алексей Жуков:

«Зачастую главврачи отказываются вводить ставки специалистов по ИБ. Но даже если такие ставки есть, то либо на работу принимаются неквалифицированные сотрудники, либо специалистов по ИБ используют не для обеспечения информационной безопасности».

Вместо того, чтобы выстраивать систему ИБ, специалистам приходится заниматься изготовлением электронных подписей и обслуживанием серверов, рассказал эксперт. Выстроенная в медучреждениях иерархия не позволит ему заниматься обеспечением ИБ, так как персонал не станет его слушать, а любые инциденты, произошедшие по их вине, не воспринимаются руководством всерьез: «Подцепили шифровальщика — меняют компьютер и на этом всё. Никаких расследований не проводится».

Чтобы решить эту проблему, необходимо, чтобы вышестоящие органы привлекали внимание главврачей к вопросу ИБ, а сами руководители медучреждений проходили обучение по программам повышения квалификации по основам информационной безопасности, которые включают также и вопросы ответственности за их нарушение, добавляет замдиректора Академии Информационных Систем Игорь Хайров.

С персоналом больниц и поликлиник также необходимо вести регулярную работу, но уже со стороны специалистов по ИБ, уверен Алексей Жуков. С ними нужно разговаривать и объяснять требования и возможные последствия инцидентов, а главные врачи должны оказывать содействие в этом вопросе. 

По его словам, медики в процессе обучения не получают никаких представлений об ИБ, что также заслуживает внимания со стороны регуляторов:

«У сотрудников медорганизаций нет понимания элементарных требований ИБ: передача паролей, редко блокируется автоматизированное рабочее место, дела пациентов оставляют на рабочих столах, медики покидают кабинет в присутствии пациентов, корпоративный e-mail используется не по рабочим вопросам».

«Все вопросы ИБ стали возлагать на сотрудников IT-отделов»

Относительно низкие зарплаты и отсутствие у главврачей заинтересованности в вопросе обеспечении ИБ приводит к тому, что в медучреждениях наблюдается дефицит высококвалифицированных специалистов. 

Даже после выхода Указа Президента №250 функции по обеспечению ИБ стали часто перекладывать на IT-отделы медучреждений, у сотрудников которых «нет ни профильного образования, ни знаний в этой области», сетует Алексей Жуков во время своего выступления на МедИнфоБезе: «Как они будут настраивать систему защиты, технические средства [защиты информации]?»

Даже если для обеспечения ИБ привлекать внешние организации, встанет вопрос о контроле за их работой, а значит без «своих» специалистов не обойтись, уверен Игорь Хайров. Однако одной из проблем отрасли, которая препятствует этому процессу, является большая текучка, добавляет ведущий менеджер ООО «Газинформсервис» Никита Штубов: «Люди, доучившиеся до определенного уровня, сразу идут в коммерцию и зарабатывают там другие деньги».

Тем не менее появляются и новые возможности для подготовки кадров. Недавно ФСТЭК России  согласовал профильную программу повышения квалификации «Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну в сфере здравоохранения», которая как раз предназначена для специалистов, ответственных за защиту информации в медучреждениях, в том числе для руководителей из этой сферы, рассказал Игорь Хайров. Уже в декабре этого года в АИС будет начата подготовка кадров по ней.

Однако в отрасли уже есть задел для подготовки и развития кадров, считает эксперт в области информационной безопасности, преподаватель АИС Михаил Зюзин. Как и другие спикеры МедИнфоБеза он обратил внимание на разработанную недавно Минздравом «Концепцию информационной безопасности в сфере здравоохранения». По его мнению, это «грамотный документ», который включает в себя обзор всего законодательства в сфере ИБ, выходившего с 2006 года, и с которым следует ознакомится всем специалистам в этой области.

«Отрасль в зоне риска»

Впрочем, хакеры действуют здесь и сейчас: по статистике Positive Technologies за первый квартал 2022 года, медицинская отрасль входит в топ-2 сфер по числу кибератак, обратил внимание Никита Штобов. В первую очередь злоумышленники атакуют компьютеры, серверы и сетевое оборудование, используя для этого вредоносное ПО, социальная инженерия и эксплуатация уязвимостей.

Как пояснил представитель НКЦКИ Иван Минаев, последние полгода против российских организаций происходят мощные, но относительно безвредные DDoS-атаки с привлечением активистов из разных стран, причем используются они, в том числе для «хорошее прикрытие для более серьезных воздействий».

Чтобы защититься от такого воздействия, он предлагает использовать ресурсы методические материалы ГосСОПКА, которые доступны взаимодействующим с ней организациям: 

«Необходимый набор рекомендаций по угрозам мы формулируем в бюллетенях НКЦКИ, которые публикуются на нашем сайте. Мы также адресно рассылаем рекомендации тем, кто организовал с нами взаимодействие. Своевременная реализация наших рекомендаций помогла многим участникам ГосСОПКА избежать компьютерных инцидентов в этой непростой обстановке», — заверил эксперт.

Он также обратил внимание на «очень плотное взаимодействие» с Минздравом и с Росздравнадзором, которое помогло купировать и предотвратить большое количество инцидентов ИБ, в том числе связанных с функционированием тяжелой медицинской техники.

По его мнению, многих имевших место инцидентов можно было бы избежать, если бы службы ИБ не допускали элементарных ошибок вроде словарных паролей, паролей по умолчанию или отсутствия антивируса — «были даже такие случаи», добавляет Иван Минаев.

Впрочем, Михаил Зюзин обратил внимание, что медицинские учреждения часто не обладают ресурсами и специалистами для отражения сильных DDoS-атак. Здесь, по его мнению, недостаточно просто прописать, что угроза актуальна и начать использовать средства антивирусной защиты:

«Как вы думаете, антивирус со стандартным сигнатурным анализом защитит от таргетированной атаки, которая пойдет на медучреждение, где хранятся персональные данные, врачебная тайна? Я очень сильно в этом сомневаюсь».

«В Windows это делалось несколькими нажатиями клавиш»

Михаил Зюзин также подчеркнул, что планируемый переход на отечественное ПО, в частности на операционные системы на базе Linux, может также повлечь за собой ряд сложностей.

«Даже многие интеграторы, которые сейчас осуществляют внедрение Linux, достаточно слабо понимают концепцию работы операционной системы самой по себе, глубинный уровень», — говорит он. 

Такие специалисты часто не разбираются, как настроить в Linux параметры безопасности, ведь «в Windows это делалось несколькими нажатиями клавиш».

Найти на рынке специалистов, которые хорошо бы знали все эти моменты, достаточно сложно. Поэтому нужно готовить своих специалистов, объяснил эксперт, добавив, что даже если сейчас единовременно  выстроить в медучреждении качественную систему защиты, после полного перехода на Linux, на который отводится 2,5 года, придется пересмотреть «многие моменты с точки зрения ИБ».