Розроблено рекомендації щодо кіберзахисту закладів охорони здоров’я
Для збереження конфіденційності інформації, що стосується персональної медичної інформації та персональних даних пацієнтів Міністерством охорони здоров’я України та проєктом USAID «Підтримка реформи охорони здоров'я» розроблено настанови з кіберзахисту закладів охорони здоров’я, скорочені рекомендації з яких наводяться нижче.
Обізнаність користувачів інформаційних систем щодо ризиків кібербезпеки та заходів захисту від загроз відіграє ключову роль у підвищенні стійкості кіберзахисту закладу охорони здоров’я.
Щоб забезпечити належний рівень інформаційної безпеки, закладам слід дотримуватись таких технічних та організаційних заходів:
Конфіденційність
Весь персонал повинен знати про чутливий характер медичних та персональних даних, що отримує заклад у ході свого функціонування, розуміти та дотримуватись правил роботи з конфіденційною інформацією; утримуватись від розголошення таких даних. Для досягнення цієї мети слід проводити регулярні навчання всього персоналу, щонайменше раз на рік.
Конфіденційна інформація передається від однієї людини до іншої під час ведення службових справ. Особа, яка отримала конфіденційну інформацію, повинна забезпечити її зберігання та обробку відповідно до умов, встановлених особою, яка надала згоду на обробку персональних даних.
Шифрування даних з обмеженим доступом
Зберігання та передача персональної інформації має бути в зашифрованому вигляді. До такої інформації відноситься будь-яка інформація, яка може бути використана для ідентифікації особи та медичні дані пацієнта. Алгоритми та засоби, які використовуються для шифрування, мають відповідати вимогам, що встановлені Державною службою спеціального зв'язку та захисту інформації України.
Ідентифікація користувачів інформаційних систем
Кожен користувач медичних інформаційних систем повинен мати унікальний ідентифікатор (обліковий запис, логін) та пароль для входу в систему.
Контроль доступу до інформації
Інформаційні ресурси закладу захищаються шляхом використання системи контролю доступу. Система контролю доступу повинна ідентифікувати кожного користувача відповідно до його ідентифікатора і запобігати доступу та використанню інформаційних ресурсів закладу неавторизованими користувачами. Система контролю доступу включає внутрішні засоби захисту (паролі, шифрування даних, таблиці контролю доступу, налаштування інтерфейсів користувача тощо), так і зовнішні (пристрої захисту портів, брандмауери, автентифікацію на основі хоста тощо).
Цілісність даних пацієнтів
Заклад повинен впроваджувати та підтримувати організаційні та технологічні заходи для підтвердження того, що медичні дані пацієнтів та інша конфіденційна інформація стосовно пацієнтів не були змінені або знищені несанкціонованим чином.
Заклад повинен підтримувати впровадження автоматизованих систем та програмного забезпечення, для автоматичної перевірки наявності людських помилок під час обробки даних пацієнтів.
Дані пацієнтів, що зберігаються у медичному закладі, повинні мати резервну копію. У разі створення резервних копій та їх зберіганні слід обов'язково проводити їх регулярну перевірку.
Доступність медичної інформації
Медпрацівник може отримати доступ до електронної захищеної медичної інформації у разі екстреної необхідності. Рішення екстреного доступу використовується лише тоді, коли звичайні процеси виявляються недостатніми для своєчасного надання медичної допомоги.
Відповідальний з інформаційної безпеки розробляє, документує, впроваджує та перевіряє процедури екстреного доступу, які використовуються у випадку надзвичайної ситуації.
Доступ до таємних даних автентифікації, такі як логін та пароль, для використання надзвичайних облікових записів, створених заздалегідь, надаються на таких носіях, як друкована сторінка, картка з магнітною смужкою, смарткартка або жетон в залежності від способу автентифікації для конкретної системи.
Носій з таємними даними автентифікації зберігається в запечатаному конверті у сейфі старшої медсестри. Отримання носія вимагає надання ідентифікації за допомогою посвідчення особи, яка отримує носій, та реєстрації факту отримання носія в журналі реєстрації з метою гарантування принципу 4-х очей та неспростовності події.
Додатково закладам охорони здоров’я необхідно подбати про:
Антивірусний захист
Антивірусне програмне забезпечення встановлюється на всьому робочому обладнанні і серверах закладу та періодично оновлюється. Антивірусне ПЗ повинно мати підтримку з боку розробника, можливості щодо передачі підозрілих файлів на аналіз відповідним фахівцям та мати можливості евристичного аналізу.
Програмне забезпечення
На внутрішніх комп'ютерах і мережах закладу має використовуватися лише дозволене до використання програмне забезпечення. Встановлення програмного забезпечення має відбуватись лише уповноваженою особою (адміністратором). Усе програмне забезпечення перед встановленням має пройти перевірку та отримати дозвіл від керівника закладу або відповідального з інформаційної безпеки.
Усі файли і програми, які були передані в електронному вигляді на комп'ютери або мережу закладу з іншого місця, повинні бути перевірені на віруси відразу після отримання.
Крім того, варто також дотримуватись таких рекомендацій щодо фізичної безпеки закладу:
- вхід до будівлі в неробочий час повинен бути зачинений та контролюватися охоронною сигналізацією;
- потрібно періодично змінювати код безпеки, який надавати тільки конкретним працівникам;
- всі особи, які заходять/виходять до/з будівлі, мають фіксуватися 24 години на добу 365 днів на рік;
- вхідні двері в зону прийому пацієнтів та відвідувачів мають завжди замикатися у неробочий час і вимикатися у робочі години закладу;
- будь-яка невизнана особа, яка перебуває в службових приміщеннях закладу, повинна негайно виводитись з службової зони персоналом, що її побачив, та супроводжуватись до зони рецепції;
- серверне та комунікаційне обладнання має бути розташовано в приміщеннях з обмеженим доступом, куди не мають доступ відвідувачі. Обладнання має встановлюватися в спеціалізованих шафах, які зачиняються під час роботи;
- робочі станції, ноутбуки та інше цифрове обладнання, яке знаходиться в зоні, дозволеній для перебування відвідувачів, повинні бути облаштовані спеціальними комп’ютерними замками для фіксації до встановленого місця розташування, що унеможливлюватиме їх винос або переміщення від встановленого місця розташування;
- серверне та мережеве обладнання повинно бути забезпечене основним та резервним безперебійним живленням;
- усі зовнішні вікна будівлі повинні мати датчики розбиття скла, що гарантуватиме негайне повідомлення до охоронної служби;
- протипожежний захист будівлі повинен бути встановлений відповідно до вимог ДСНС України;
- заклад потрібно обладнати системою безперебійного живлення та дизель-генератором.
Дотримуючись цих вимог, ви убезпечите працівників медичного закладу і його пацієнтів.