Журнал "Information Security/ Информационная безопасность" #2, 2018

Медицинские карты содержат в себе всю критическую информацию: номер социального страхования, дату рождения и т.д., что позволяет злоумышленникам использовать эти дан- ные в целях получения кредитов на стороннее лицо, для нало- говых махинаций, выставления фиктивных счетов страховым компаниям, получения лекарственных препаратов строгой отчетности, продажи баз персональных данных распространи- телям лекарств и БАДов и других противоправных действий. При всей очевидности угрозы корень проблемы в том, что учреждения, обрабатывающие данные медицинского характера, не обеспечивают необходимый уровень защиты персональных данных. Фактически многие организации в сфере здравоохра- нения ограничиваются лишь тем, что выполняют требования порой устаревших нормативных актов или имитируют их выполнение на бумаге. Со стороны регуляторов информа- ционная безопасность в здравоохранении чаще всего сводится к проверке исполнения нормативных требований, которые в России определяются по большому счету только федеральным законом 152-ФЗ. Требования этого закона, к сожалению, во многом формальны: защищенное хранение персональных дан- ных, регламентированный доступ, категоризация информации. Все эти требования чаще всего достаточно реализовать в бумажной форме: написать соответствующие приказы и поло- жения, ознакомить с ними персонал и пациентов, опубликовать положение о защите персональных данных. Как результат – информация о подавляющем большинстве утечек из медуч- реждений попросту не доходит до общественности или даже не фиксируется как инцидент. Российские медицинские учреж- дения не обязаны раскрывать факты утечек. На Западе ситуация уже давно прямо противоположная: в США утечки или даже ненадлежащее хранение данных паци- ентов чревато колоссальными штрафами или даже уголовным преследованием. Медучреждения обязаны обеспечивать защиту информации по закону HIPPA (закон о защите данных по медицинским страховкам) еще с 1996 г. В нашем блоге регу- лярно публикуются новости об утечках, происходящих по всему миру, в том числе в медицине и страховом бизнесе, и при этом размеры штрафов также известны публике. Так, страховая медицинская компания Aetna заплатит $17,1 млн за утечку персональной информации тысяч ВИЧ-инфицированных. Нью-йоркская компания EmblemHealth согласно решению про- куратуры должна выплатить $575 тыс. и выполнить план кор- ректирующих действий, который будет включать тщательный анализ рисков. Медицинские компании действительно слишком часто страдают от потери и хищения данных – по мнению независимых аналитиков, в 2016 г. организации здравоохра- нения подвергались в среднем одной атаке в день. Помимо внешних атак, значимую долю среди утечек меди- цинских данных занимают внутренние утечки, вызванные дей- ствиями инсайдеров. Как правило, используются съемные накопители, передача файлов через социальные сети и облач- ные хранилища и чаще всего – личная или корпоративная электронная почта. С сожалением стоит отметить, что уровень ИТ- и ИБ-подготовки сотрудников медучреждений по всему миру чаще всего весьма низкий и доля случайных, непредна- меренных утечек также велика. Свежий пример утечки без злого умысла – утечка из депар- тамента здравоохранения штата Миссисипи. Сотрудник депар- тамента по ошибке отправил электронное письмо со вложенным файлом Excel, содержащим медицинскую информацию паци- ентов, стороннему подрядчику. Для решения задачи предотвращения утечек медицинских данных за пределы организаций, а также их несанкциониро- ванного распространения внутри корпоративных информа- ционных систем необходимо использовать полноценные DLP- системы. Особо подчеркну, что ключевым показателем полно- ценности DLP-системы должно быть качество решения ключе- вой для DLP задачи – детектирования и предотвращения несанкционированной передачи защищаемой информации путем блокировки передачи (печати, сохранения на внешнем носителе и др.), а не только задачи мониторинга каналов пере- дачи данных и последующего расследования инцидентов. Рассмотрим на примере с утечкой медицинских данных из департамента здравоохранения штата Миссисипи, как должен был быть реализован DLP-контроль, в частности, канала пере- дачи информации посредством электронной почты. Прежде всего должен быть определен ограниченный перечень отправителей и получателей электронных сообщений. Оче- видно, что сторонние подрядчики вряд ли входят в число орга- низаций, для которых возможен доступ к данным пациентов. Инспекция содержимого вложения в сообщение, которым в данном случае являлся файл MS Excel, позволяет детектировать наличие персональных данных. Для инспекции потребуется проведение в режиме реального времени контентного анализа файла Excel с использованием методов поиска по ключевым словам и шаблонам регулярных выражений, например номеров социальных карт. Сочетание двух описанных критериев про- верки позволяет задать правило, предписывающее DLP- системе блокировать передачу такого сообщения, а следова- тельно – предотвратить утечку данных пациентов, а также зарегистрировать инцидент с попыткой передачи данных ограниченного доступа. Среди представленных на мировом рынке одним из лучших и единственным российским DLP-решением, обладающим полным функциональным оснащением в соответствии с рас- смотренным примером, является DeviceLock DLP. Избиратель- ный контроль всех каналов передачи, печати и сохранения данных, равно как и контентная фильтрация в DeviceLock DLP, выполняются непосредственно на контролируемых компьютерах и не зависят от подключения к корпоративной сети. l • 25 КОНТРОЛЬ ДОСТУПА www.itsec.ru Защита медицинских знаний – почему, зачем и как одной из наших статей, опубликованной еще год назад, особо отмечалось, что профиль угроз, исходящих от киберпреступности, сместился в сторону data-центричности, когда атаки направлены на завладение корпоративными данными, а причиной таких атак является коммерциализация киберпреступности. Цель атаки на данные практически всегда одна – заработать. Для этого охотятся за информацией, которую можно либо продать третьим сторонам или самим владельцам украденных данных, или использовать полученные данные как инструмент в других противоправных мероприятиях. Особое значение в этой преступной деятельности имеют персональные данные медицинского характера, как имеющие большую ценность. В Сергей Вахонин, директор по решениям, АО “Смарт Лайн Инк" АДРЕСА И ТЕЛЕФОНЫ АО "СМАРТ ЛАЙН ИНК" см. стр. 48 NM