Background.

Применение современных информационных технологий и систем (ИТ, ИС) в здравоохранении становится сегодня одним из важнейших факторов повышения доступности, безопасности, качества и эффективности медицинской помощи, что в очередной раз убедительно показала нынешняя ситуация с пандемией новой коронавирусной инфекции COVID-19. В условиях всеобщей «интернетизации», активного применения различных «облачных» сервисов и телемедицинских (ТМ-) технологий все более актуальным становится обеспечение кибербезопасности медицинской деятельности – защита медицинских информационных систем (МИС) и цифровой медицинской техники (ЦМТ) от случайного или преднамеренного несанкционированного воздействия (НСВ), результатами которого могут быть: нарушение работоспособности или неконтролируемое изменение параметров их функционирования; потеря, искажение или недоступность медицинских документов или записей в электронных медицинских картах (ЭМК) пациентов; утечка персональных данных, в т.ч. сведений, составляющих врачебную тайну (далее – компьютерный инцидент) [1–3].

Количество такого рода инцидентов за последнее время заметно возросло. Например, в результате хакерской атаки на информационную систему Тюменского федерального центра нейрохирургии, которая случилась во время операции на головном мозге 13-летней девочки, отказала почти вся цифровая медицинская техника. Врачам удалось довести операцию до конца фактически без показаний приборов и снимков на мониторах. Идентификация нарушений и восстановление работоспособности системы заняли почти неделю1. По данным Н. Касперской2, количество утечек персональных данных в 2019 г. по сравнению с 2018 г. возросло в РФ более чем на 40% (в мире – на 10%). Почти 53,7% – это «случайные» утечки. Доля утечек из медицинских организаций составила 21,6%, из государственных и муниципальных органов – 23,6%, «телеком» операторов – 23,5%. Утечки через web-браузеры и облачные сервисы составили 61,6%. Основными причинами 78% инцидентов являются низкая организация, незнание и халатность пользователей ИС. Заметим, что в большинстве случаев информация об инцидентах всячески скрывается, а официальная статистика о киберинцидентах в РФ сегодня не публикуется.

Цель настоящей работы

Анализ и обсуждение нормативных требований к обеспечению кибербезопасности при осуществлении медицинской деятельности. При этом необходимо учитывать, что медицинская организация (МО) сегодня:

а) функционирует в составе единого цифрового контура здравоохранения3;

б) ведет медицинскую документацию в форме электронных документов;

в) может использовать цифровую медицинскую технику и программное обеспечение (ПО), относящееся к медицинским изделиям (программные медицинские изделия – ПМИ);

в) участвует в оказании государственных услуг гражданам в электронной форме4;

г) может оказывать медицинскую помощь с применением ТМ-технологий.

Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» определена следующая классификация ИС, образующих единый цифровой контур здравоохранения:

Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ), предназначенная для обеспечения: а) доступа граждан к услугам в электронной форме; б) взаимодействия ИС в сфере здравоохранения. Положение о ЕГИСЗ утверждено постановлением Правительства РФ от 05.05.2018 № 555 «О единой государственной информационной системе в сфере здравоохранения».

Информационные системы в сфере здравоохранения (ИСЗ), к которым относятся: федеральные государственные ИС в сфере здравоохранения (ФГИСЗ)5; ИС Федерального и территориальных фондов обязательного медицинского страхования (ИС ФОМС, ИС ТФОМС); государственные ИС в сфере здравоохранения субъектов РФ (ГИСЗ); медицинские ИС медицинских организаций (МИС МО) и ИС фармацевтических организаций (ИС ФО). Требования к ГИСЗ, МИС МО и ИС ФО, в т.ч. к защите информации в указанных ИС, утверждены приказом Минздрава России № 911н от 24.12.20186.

Иные информационные системы

(ИнИС), предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности МО и предоставляемых ими услуг, участвующие в информационном взаимодействии с ЕГИСЗ, ИС в сфере здравоохранения и МО. Правила взаимодействия иных ИС с ИС в сфере здравоохранения утверждены постановлением Правительства РФ № 447 от 12.04.20187.

Общие требования к организации защиты информации и обеспечению кибербезопасности установлены федеральными законами: от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; от 27.07.2006 № 152-ФЗ «О персональных данных»; от 26.07.2017 № 187-ФЗ «О безо пасности критической информационной инфраструктуры Российской Федерации» и соответствующими нормативными актами Правительства РФ, Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России). При этом указанные требования установлены для трех категорий ИТ-объектов:

для государственных информационных систем (ГИС);

для информационных систем, в которых осуществляется обработка персональных данных (ИСПДн) [1, 2, 4, 5];

для объектов критической информационной инфраструктуры (КИИ), к которым в системе здравоохранения относятся МИС, ПМИ, ЦМТ и информационно-телекоммуникационные системы / сети (ИТКС), используемые для взаимодействия между объектами КИИ и обмена информацией с ЕГИСЗ, ИС в сфере здравоохранения и указанными выше ИнИС.

Для каждой из перечисленных категорий определены «свои» критерии и классы защищенности, а также требования к обеспечению кибербезопасности (табл. 1). Класс (уровень) защищенности ГИС, ИСПДн или категория значимости объекта КИИ определяет состав необходимых организационных и технических мер, необходимых для обеспечения их кибербезопасности.

В общем случае та или иная ИС может одновременно относиться к нескольким перечисленным выше категориям, см. таблицу 2, где в графе 1 перечислены основные категории ИС; знак «+» в графах 3, 4 и 5 означает принадлежность системы к соответствующей категории; в графе 6 буква М означает использование системы непосредственно при оказании медицинской помощи; буква Т – обеспечение функционирования МИС и/или взаимодействие между МО при оказании медицинской помощи. В таблицу 2 включены также Единая система идентификации и аутентификации (ЕСИА), Единый портал государственных услуг (ЕПГУ) и федеральная телемедицинская система (ФТМС, http://tmk.rosminzdrav.ru), а также, как отдельные категории, относящиеся к объектам КИИ, цифровая медицинская техника и ИТКС. Считается, что ПМИ, которые также могут быть отнесены к объектам КИИ, интегрированы в состав МИС. В случаях, когда ИС одновременно относится к нескольким категориям, требования к составу и содержанию необходимых организационных и технических мер по обеспечению кибербезопасности системы формируются как сочетание (суперпозиция) соответствующих требований, установленных для этих категорий (см. таблицу 1). Требования к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования утверждены приказом ФСТЭК России от 21.12.2017 № 2358.

Медицинские информационные системы, программные медицинские изделия и цифровая медицинская техника должны разрабатываться и эксплуатироваться как системы в защищенном исполнении – с учетом положений, изложенных в ГОСТ Р 51583, ГОСТ Р 56939 и ГОСТ Р 58412 9. В соответствии с постановлением Правительства РФ от 13.04.2019 № 45210 все государственные органы и учреждения (субъекты КИИ) должны были до 01.09.2019 подготовить и представить в ФСТЭК России перечни своих объектов КИИ и в течение года после этого – определить категории значимости объектов11. Следует отметить, что методика определения категории значимости объекта КИИ для сферы здравоохранения пока еще не утверждена12. В связи с этим хотелось бы рассмотреть некоторые особенности разработки требований и обеспечения кибербезопасности цифровой медицинской техники, МИС и программных медицинских изделий. Очевидно, что вызванное НСВ нарушение работоспособности ЦМТ, ПМИ и МИС, искажение или удаление данных, на основе которых принимаются клинически значимые решения, может иметь самые серьезные последствия для здоровья пациента и/или персонала МО. При этом несанкционированное изменение режима работы ЦМТ, например, кардиостимулятора или инсулиновой помпы, может привести даже к более тяжелым последствиям, чем их явный отказ. Разработчики МИС, ПМИ и ЦМТ должны еще на этапе проектирования иметь возможность априорно оценить потенциальные риски их применения, связанные с возможным кибервоздействием, с тем, чтобы предусмотреть при необходимости включение в их состав средств защиты информации, контроля работоспособности и т.д., и определить требования к мерам и средствам их защиты в процессе эксплуатации. Потребитель, покупатель МИС, ПМИ и ЦМТ также должен заранее знать, какие ресурсы, организационные и технические меры защиты от кибервоздействия необходимы для обеспечения их нормальной, устойчивой и безопасной работы в условиях конкретного медицинского учреждения. При этом необходимо иметь в виду, что:

угроза НСВ является одной из составляющих риска безопасности применения медицинского изделия (ЦМТ, ПМИ), который должен оцениваться в зависимости от последствий для здоровья пациента и/или персонала, в том числе в случае их отказа или неправильной работы в результате компьютерного инцидента; медицинская организация – это организационно-техническая система, безопасность (в т.ч. кибербезопасность) и результативность работы которой в значительной степени зависят от «человеческого фактора» и качества управления (менеджмента), а не только от работоспособности и характеристик компьютерной и медицинской техники, программного обеспечения и используемых средств защиты информации;

требования к составу организационных и технических мер, необходимых для обеспечения кибербезопасности, установленные приказами ФСТЭК России № 1713, № 2114 и № 23915 для ГИС, ИСПДн и объектов КИИ соответственно, включают в т.ч. требования к классам защищенности средств вычислительной техники (СВТ)16, используемых в МИС, а также входящих в состав ЦМТ; при этом надо учитывать, что категория значимости ЦМТ, как объекта КИИ, и, соответственно, требования к классу защищенности СВТ, определяются конкретными условиями использования ЦМТ (см. таблицу 1) и поэтому могут быть разными в разных МО;

взаимодействие «врач – пациент» при применении ТМ-технологий (консультации, дистанционное наблюдение за состоянием здоровья), а также использование пациентом «медицинских» мобильных приложений и «облачных» сервисов по назначению врача, как правило, будет осуществляться с использованием открытых каналов связи общего пользования, что значительно повышает риски вредоносного кибервоздействия на ТМ-систему, указанные программные и технические средства;

оценка защищенности ЦМТ от несанкционированного кибервоздействия при государственной регистрации медицинских изделий сегодня у нас не предусмотрена, при том, что, как показали исследования, проведенные U.S. Food and Drug Administration (FDA, www.fda.gov), программное обеспечение многих типов ЦМТ, в т.ч. предназначенной для использования пациентами, содержит уязвимости, которые позволяют получить несанкционированный доступ к устройству17; заметим, что в США тестирование и оценка киберзащищенности ЦМТ при ее регистрации в FDA являются теперь обязательными.

Непростой проблемой является обеспечение кибербезопасности цифровой медицинской техники – томографов (КТ, МРТ), цифровых рентгеновских аппаратов, аппаратов УЗИ, ЭКГ, автоматизированных лабораторных комплексов и т.д. – при ее подключении к МИС и/или вычислительной сети МО. Основные трудности здесь связаны с тем, что:

в составе ЦМТ, особенно импортной, сегодня, как правило, отсутствуют средства защиты информации, соответствующие требованиям нормативных документов, принятым в РФ;

довольно часто в ЦМТ используются СВТ с «нестандартной» или уже не поддерживаемой производителем операционной системой и «прошитым» прикладным ПО, что может сделать невозможным применение сертифицированных ФСТЭК и ФСБ средств защиты информации из-за их несовместимости;

по условиям гарантийного технического обслуживания во многих случаях требуется постоянное подключение ЦМТ к удаленной ИС сервисной организации по незащищенному каналу связи, часто с автоматическим обновлением ПО, что может привести к коллизиям со средствами защиты информации и существенно повышает риски НСВ на ИС медицинской организации.

Важнейшими факторами обеспечения кибербезопасности являются мониторинг функционирования ИС и обнаружение признаков компьютерных атак и инцидентов, которые во многих случаях могут быть неявными, скрытыми. Медицинские организации и иные операторы ИС – субъекты КИИ – обязаны незамедлительно информировать ФСБ России о компьютерных инцидентах (п. 1 ч. 2 ст. 9 закона № 187-ФЗ)18. Созданы Национальный координационный центр по компьютерным инцидентам (НКЦКИ, www.cert.gov.ru)19 и Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), оператором которой является ФСБ России. Заметим, что ПМИ и ЦМТ являются медицинскими изделиями, поэтому информацию о связанных с ними компьютерных инцидентах необходимо направлять также в органы Росздравнадзора20. Решением Коллегии Евразийской экономической комиссии от 03.04.2018 № 47 утвержден классификатор видов неблагоприятных событий, связанных с использованием медицинских изделий, разработанный на основе технических спецификаций ISO/TS 19218-121, в котором предусмотрены в т.ч. события, связанные с компьютерными инцидентами. Вопрос в том, как корректно идентифицировать эти события, обладает ли персонал медицинских организаций необходимыми для этого компетенциями?

Обеспечение кибербезопасности требует значительных ресурсов и затрат, что в условиях дефицита квалифицированных кадров и финансовых ограничений становится весьма серьезной проблемой. В то же время сегодня разработаны технические решения, позволяющие существенно сократить указанные затраты. Например, для организации защищенного автоматизированного рабочего места можно использовать так называемые технологии Lightweight Portable Security (LPS), когда на USB-flash накопитель записывается дистрибутив операционной системы (LiveUSB), средства доверенной загрузки, web-браузер, средства электронной подписи и шифрования, а также прикладное ПО, позволяющее пользователю решать его профессиональные задачи. При этом компьютер используется только как «железо», все данные по завершении работы записываются на USB-накопитель и в памяти компьютера ничего не остается. При наличии доступа в Интернет через VPN22 можно связаться с сервером удаленного центра обработки данных, синхронизировать данные, использовать «облачные» сервисы и т.д. Дополнительно в такой комплект могут входить также средства для защищенной видеоконференцсвязи, модули для подключения медицинских приборов, например, датчиков для снятия ЭКГ и др.23. Подобное решение может быть эффективным, например, для сельских амбулаторий, офисов врачей общей практики, фельдшерско-акушерских пунктов и др. Аналогично может быть изготовлен и USB-комплект для пациента, с помощью которого он сможет конфиденциально общаться со своим лечащим врачом, подключаться к «личному кабинету» на защищенном сайте и т.д. При массовом, централизованном изготовлении и тиражировании таких USB-комплектов их стоимость будет невысокой. Они практически не требуют технического обслуживания, их администрирование может осуществляться централизованно по защищенным каналам VPN в автоматическом режиме.

Обеспечение кибербезопасности медицинской деятельности – это целый комплекс мероприятий и специфических бизнес-процессов, которые должны быть формализованы, регламентированы и документированы, с четким определением процедур, действий, ролей, прав, обязанностей и ответственности всех участников. Результативность этих мероприятий во многом зависит от четкой организации работы технического персонала и пользователей МИС, знания, понимания и соблюдения ими основных принципов информационной безопасности, их ответственности и самоконтроля («кибербезопасность как осознанная необходимость»).

Предложения и выводы

В связи с вышеизложенным представляется целесообразным:

разработать комплект типовых организационно-распорядительных и методических документов по обеспечению кибербезопасности в медицинских организациях, в т.ч. в части обеспечения и контроля кибербезопасности цифровой медицинской техники;

разработать классификацию цифровой медицинской техники по уровням киберзащищенности и определить типовые процедуры ее анализа и оценки [3];

проработать вопрос о применении технологий LPS в медицинских организациях;

включить в федеральный реестр медицинских организаций сведения об объектах критической информационной инфраструктуры;

предусмотреть в «дорожных картах» по созданию единого цифрового контура здравоохранения мероприятия по повышению осведомленности руководителей, медицинских работников и других специалистов медицинских организаций в вопросах обеспечения кибербезопасности. Разработка и практическая реализация комплекса правовых, организационных и технических мероприятий, направленных на обеспечение кибербезопасности при осуществлении медицинской деятельности, является сегодня одной из важнейших и приоритетных задач, стоящих перед здравоохранением в условиях цифровой трансформации отрасли.

 

 

1 ТАСС, 06.07.2018

2 www.InfoWatch.ru, 24.04.2020

3 Федеральный проект «Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения» («Цифровой контур здравоохранения»), период выполнения с 01.01.2019 по 31.12.2024. Утвержден Советом по стратегическому развитию и национальным проектам при Президенте Российской Федерации, протокол № 16 от 24.12.2018.

4 Распоряжение Правительства РФ от 15.11.2017 № 2521-р «О Перечне услуг в сфере здравоохранения, возможность предоставления которых гражданам в электронной форме посредством единого портала государственных и муниципальных услуг обеспечивает единая государственная информационная система в сфере здравоохранения».

5 К ним относятся, например, ИС ведения федеральных нозологических регистров, ИС Росздравнадзора и Федерального центра гигиены и эпидемиологии.

6 Приказ Минздрава России от 24.12.2018 № 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».

7 Постановление Правительства РФ от 12.04.2018 № 447 «Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями».

8 Приказ ФСТЭК России от 21.12.2017 № 235 (ред. от 27.03.2019) «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (зарегистрировано в Минюсте России 22.02.2018 № 50118).

9 ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.

ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования.

ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности при разработке программного обеспечения.

10 Постановление Правительства РФ от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 08.02.2018 № 127».

11 По нашему мнению, сегодня практически все МИС, ПМИ и ЦМТ должны быть отнесены к значимым объектам КИИ.

12 Центром компетенции по цифровой трансформации в сфере здравоохранения, который создан на базе ЦНИИОИЗ (www.mednet.ru), подготовлен проект методического документа «Рекомендации по проведению процесса категорирования объектов критической информационной инфраструктуры учреждений сферы здравоохранения Российской Федерации» (ред. от 26.03.2020). На момент написания статьи этот документ не опубликован.

13 Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (с изм. и доп.).

14 Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 23.03.2017) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (зарегистрировано в Минюсте России 14.05.2013 № 28375).

15 Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (с изм. и доп.).

16 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ. Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992.

17 Извещения об обнаружении уязвимостей в ПО медицинской техники и о киберинцидентах публикуются на официальном сайте FDA, начиная с 2013 г.

18 Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».

19 Приказ ФСБ России от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам».

20 Приказ Минздрава России от 20.06.2012 № 12н «Об утверждении Порядка сообщения субъектами обращения медицинских изделий обо всех случаях выявления побочных действий, не указанных в инструкции по применению или руководстве по эксплуатации медицинского изделия, о нежелательных реакциях при его применении, об особенностях взаимодействия медицинских изделий между собой, о фактах и об обстоятельствах, создающих угрозу жизни и здоровью граждан и медицинских работников при применении и эксплуатации медицинских изделий». Приказ Минздрава России от 14.09.2012 № 175н. «Об утверждении Порядка осуществления мониторинга безопасности медицинских изделий».

21 ГОСТ Р 55746-2015 / ISO/TS 19218-1 Изделия медицинские. Иерархическая структура кодов для неблагоприятных событий. Часть 1. Коды типов событий.

22 Virtual Private Network – виртуальная защищенная сеть передачи данных. ПО VPN-клиента также записывается на USB-накопитель.

23 Такие технологии сегодня используются в медицинской службе вооруженных сил США.

1. Guliev Y.I., Tsvetkov A.A. Ensuring Information Security in Healthcare Organizations. – Physicians and IT. – 2016. – № 6. – Р. 49–62.
2. Mikerin D.S., Karpov O.E. Information Protection in medical information systems, the need for implementation: a practical guide. – Germany: LAP LAMBERT Acad. Publ. – 2017. – 52 p.
3. Stolbov A.P. About the definition of the classes of Cybersecurity of Medical devices. – Physicians and IT – 2016. – № 5. – Р. 35–43.
4. Goncharenko J.A., Kushnaryov A.A., Isakov S.A. Software implementation of the method for determining the actual threats to the personal data security. – Research result. Information Technologies – 2019. – № 1. – Р. 9–14.
5. ГGoldberg D.L., Grigoriev P.E., Olenchuk A.V. Main aspects of ensuring the protection of personal data in medical information systems. – Biotechnosphere. – 2016. – № 2. – Р. 12–16.