Основи кібербезпеки
Тема 6.1 Основи кібербезпеки
6.1.1. Глосарій
Інформація - будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді.
Захист інформації - сукупність правових, адміністративних, організаційних, технічних й інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї.
Кібербезпека - стан захищеності даних в електронному вигляді від їх несанкціонованого використання або кримінальних дій з цими даними, а також набір заходів для досягнення такого стану захищеності даних.
Кібератака - навмисне втручання в роботу комп'ютерних систем, мереж або отримання несанкціонованого доступу до систем та даних.
Конфіденційність інформації - властивість, яка гарантує те, що доступ до інформації можуть одержати тільки авторизовані особи або процеси.
Цілісність інформації - властивість, яка гарантує те, що інформація не містить помилок, є актуальною, вичерпною, будь-які зміни інформації здійснюються авторизованими особами або процесами.
Доступність інформації - властивість, яка гарантує те, що забезпечується своєчасний доступ авторизованих осіб і/або процесів до інформації, а також відсутні затримки в процесі її обробки.
Належний рівень інформаційної безпеки - стан фізичного, інформаційного середовища і сфери користувачів інформаційних та цифрових активів, який гарантує конфіденційність, доступність, цілісність інформації та спостережність і контрольованість систем/підсистем, в яких ця інформація циркулює.
Відповідальний за інформаційну безпеку (ВІБ) закладу охорони здоров'я - призначена посадова особа зі складу персоналу закладу, який/яка відповідає за дотримання належного рівня інформаційної безпеки ЗОЗ.
Політика інформаційної безпеки - визначає основні засади забезпечення інформаційної безпеки ЗОЗ, служить центральним програмним документом з інформаційної безпеки, який встановлює відповідні процедури і правила запровадження та виконання головного процесу побудови й підтримки на належному рівні системи управління інформаційною безпекою.
6.1.2. Вступ
Інформаційна революція ХХ сторіччя та подальший невпинний розвиток інновацій у сучасному світі не залишає жодної сфери діяльності людства поза межами впливу новітніх інформаційних технологій. Сфера охорони здоров′я не є виключенням. Водночас разом з перевагами і новими можливостями цифровізації сфера охорони здоров′я стикається зі значними викликами. Приватність та достовірність персональних даних пацієнтів є однією з важливих складових проблематики цифровізації галузі.
З одного боку сфера охорони здоров′я має порівняно низький рівень уваги до проблематики захисту інформації в цифровому вигляді, а з іншого – галузь покладається на технології й інформаційний цифровий простір, який є спільним з іншими секторами економіки, включаючи фінансовий сектор та сферу державного регулювання. Це так само означає, що сфері охорони здоров′я необхідно за стислий термін пройти ті ж етапи еволюції в області безпеки інформації, що відбувалися у фінансовому секторі та державних установах впродовж останніх п'ятдесяти років. Для розкриття базових понять безпеки інформації важливо використовувати наступні терміни та визначення.
Поняття захисту не обмежується цифровою формою інформації і як сфера знань виникла задовго до появи першого комп'ютера. Водночас саме загрози інформації в цифровому просторі є найбільш актуальними і масштабними. Відповідно це вимагає від організацій сучасних підходів і заходів захисту інформації. Сталим терміном для захисту інформації в цифрових (комп'ютерних) технологіях є «кібербезпека».
У спрощеній інтерпретації кібербезпека – це захист комп'ютерів, комп'ютерних мереж і програмного забезпечення від потенційних загроз, які можуть виникнути в процесі ведення діяльності.
Заклади охорони здоров’я у сучасному світі широко застосовують цифрові системи, щоб ефективно надавати медичну допомогу. Подібно до того, як захищаються фізичні об‘єкти, необхідно захищати «цифрові» активи, тобто інформацію в електронному вигляді.
ЗОЗ відповідно до законодавчих і нормативних вимог несуть відповідальність за забезпечення безпеки даних пацієнтів для збереження їхньої довіри. Окрім того, заклади повинні захищати свої цифрові активи та системи з метою забезпечення безперервності надання медичної допомоги пацієнтам та сталого функціонування важливих робочих процесів.
З огляду на це заклади і установи повинні впроваджувати політики та правила кібербезпеки, що допоможе знизити до мінімуму результати кібератак. Наслідками кібератаки можуть бути завдання шкоди репутації організації і погіршення фінансового становища. Заклади повинні дотримуватись нормативно-правових вимог для захисту конфіденційних даних пацієнтів, а також відповідати певним міжнародним вимогам, таким як Загальний регламент захисту даних (GDPR). Цей регламент вимагає від організацій, які володіють, обробляють та зберігають персональні дані громадян держав-учасниць ЄС, вжити ряд заходів з кібербезпеки.
У питаннях кібербезпеки фундаментальним завданням є розуміння яка саме інформація обробляється і зберігається в інституції, та від яких негативних факторів її необхідно захищати. Визначення цих критеріїв називається моделюванням загроз.
Типові загрози безпеці інформації – це загрози викрадення, пошкодження, змінення або знищення інформації. Крім того, цифрові пристрої можуть бути зламані і це може завдати прямої шкоди пацієнтам.
Стан захищеності інформації визначають через наступні параметри – конфіденційність, цілісність та доступність інформації.
6.1.3. Конфіденційність, цілісність і доступність інформації
Отже, до складових кібербезпеки входить гарантування конфіденційності, цілісності та доступності цифрових активів.
Конфіденційна інформація передається від однієї людини до іншої під час ведення службових справ. Особа, яка отримала конфіденційну інформацію, повинна забезпечити її зберігання та обробку відповідно до умов, встановлених особою, яка надала згоду на передачу конфіденційної інформації (наприклад, обробку персональних даних) або вимог керівних документів стосовно захисту інформації, якщо конфіденційна інформація складає державну таємницю. Детальніше це питання розглянуто у 6.4.1 Вступ.
Працівники закладів повинні знати про чутливий характер медичних і персональних даних, що отримує заклад у ході свого функціонування, розуміти та дотримуватись правил роботи з конфіденційною інформацією; утримуватись від розголошення таких даних. Для досягнення цієї мети слід проводити регулярні навчання всього персоналу, щонайменше раз на рік.
Наряду з конфіденційністю, важливою властивістю медичної інформації пацієнта є цілісність, адже спотворені дані можуть призвести до лікарських помилок у лікуванні пацієнтів з дуже серйозними та навіть тяжкими наслідками.
Ще однією властивістю інформації, яку повинна забезпечувати кібербезпека, є доступність.
На практиці це означає, що лікар повинен мати можливість отримати доступ до електронної медичної картки пацієнта або до медичної інформаційної системи, з правами доступу в межах своїх повноважень, саме тоді, коли йому це потрібно.
Доступність інформації забезпечується шляхом використання системи контролю доступу. Зазначена система повинна ідентифікувати кожного користувача відповідно до його ідентифікатора і запобігати доступу та використанню інформаційних ресурсів ЗОЗ неавторизованими користувачами. Система контролю доступу включає як внутрішні засоби захисту (паролі, шифрування даних, таблиці контролю доступу, налаштування інтерфейсів користувача тощо), так і зовнішні (пристрої захисту портів, брандмауери, автентифікацію на основі хоста тощо).
Для можливості відновлення даних пацієнтів, що зберігаються у закладах, запроваджується система резервного копіювання. У разі створення резервних копій, ЗОЗ слід обов'язково проводити їх регулярну перевірку на предмет функціональності процедури відновлення даних з резервних копій.
Таким чином, забезпечення конфіденційності, цілісності та доступності інформації є першим базовим принципом кібербезпеки.
У травні 2017 року програмне забезпечення-вимагач WannaCry зашифрувало дані і файли на 230 000 комп’ютерах у 150 країнах, й порушило роботу Національної служби охорони здоров’я (NHS) Великобританії. Ключові системи були заблоковані, що перешкоджало доступу персоналу до даних пацієнтів і критичних послуг. Хоча атака WannaCry не була спрямована безпосередньо на NHS, постраждали й інші великі організації, зокрема Telefonica, FedEx, Nissan та Банк Китаю. Проте найбільший негативний ефект від кібератаки відчула саме NHS.
Під час спостереження за системами охорони здоров’я в усьому світі стало очевидно, наскільки ця сфера вразлива до будь-якої кіберзагрози. Отже, кібербезпека закладів стає дуже актуальним питанням у період цифрової трансформації сфери охорони здоров’я України.
Відповідно до нормативно-правових вимог керівництво ЗОЗ несе повну відповідальність за підтримання належного рівня інформаційної безпеки закладів.
У закладах необхідно впроваджувати і підтримувати організаційні та технологічні заходи для підтвердження того, що медичні дані пацієнтів та інша конфіденційна інформація не були змінені або знищені несанкціонованим чином. Заклад повинен підтримувати впровадження автоматизованих систем та програмного забезпечення для автоматичної перевірки наявності людських помилок під час введення та обробки даних пацієнтів.
6.1.4. Захист інформації при передачі, зберіганні та обробці
Виходячи з визначення належного рівня інформаційної безпеки, а саме такого стану, який гарантує конфіденційність, доступність, цілісність інформації в організації, необхідно зазначити, що є й інші важливі складові кібербезпеки. Для належного рівня кіберзахисту необхідно забезпечити спостережність і контрольованість систем та підсистем, в яких циркулює інформація. Це означає, що інформація повинна бути спостережна і захищена не тільки при її збереженні, а також при передачі чи обробці (див. рисунок 1).
Рисунок 1. Спостережність та контрольованість інформаційних систем
Дані й інформація, що передаються каналами зв'язку, повинні бути захищені від несанкціонованого доступу (забезпечена конфіденційність) та/чи змін (цілісність). Крім того, повинна бути забезпечена їхня доступність абонентам, які передають та отримують інформацію.
Дані й інформація, що обробляються, повинні бути захищені при обробці таким чином, щоб була забезпечена їх конфіденційність, цілісність та доступність.
Дані й інформація повинні зберігатися захищено і в такий спосіб, щоб було забезпечено виконання принципів інформаційної безпеки із забезпечення конфіденційності, цілісності та доступності.
Спостережність – це властивість інформації бути захищеною весь час і на всіх етапах обробки. Отже, забезпечення захисту інформації на етапах передачі, обробки чи зберігання є другим базовим принципом кібербезпеки. Він досягається за рахунок вмілого використання комплексу апаратних, програмних і технічних засобів, а також організаційних заходів, спрямованих на забезпечення захищеності інформації на всіх етапах обробки, передачі та зберігання.
Зберігання і передача конфіденційної інформації має здійснюватися в зашифрованому вигляді. До конфіденційної інформації відноситься будь-яка інформація, яка може бути використана для ідентифікації особи, та медичні дані пацієнта. Алгоритми і засоби, які використовуються для шифрування, мають відповідати вимогам, що встановлені Державною службою спеціального зв'язку та захисту інформації України.
За сутністю заходи захисту інформації при передачі, обробці і зберіганні можна поділити на організаційні, фізичні, апаратні, програмні та апаратно-програмні, а також криптографічні. Ці заходи потребують використання певних засобів і технологій інформаційної безпеки, але в першу чергу, необхідно забезпечити правильну організацію та вміле застосування інформації користувачами. Отже, третя базова складова кібербезпеки – люди, процеси та технології.
Три принципи кіберзахисту (конфіденційність, цілісність, доступність) не існують ізольовано і впливають один на одного. Управління системою кібербезпеки включатиме пошук ефективного балансу цих факторів. Балансування різних факторів завжди пов'язано з управлінням.
Для управління системою кібербезпеки необхідно призначити відповідальну посадову особу. За належний рівень кібербезпеки організації відповідає керівник цієї організації, проте він/вона не зможе приділяти достатньо часу даному процесу, який потребує значної залученості, обізнаності та відповідної підготовки. Тому в тих ЗОЗ, де визначено багато інформаційних активів та систем, що потребують захисту, керівник призначає окремого відповідального за кібербезпеку/інформаційну безпеку.
У кібербезпеці застосовується багатогранний комплексний підхід до запровадження і застосування методів та засобів кібербезпеки, який ще називається кубом кібербезпеки або кубом МакКамбера, що візуалізує комплексний підхід із забезпечення інформаційної безпеки та є широко відомим і зрозумілим у спільноті фахівців з кібербезпеки.
Куб МакКамбера — це спосіб оцінки системи безпеки з огляду на всі її аспекти, який був детально описаний у 2004 році Джоном МакКамбером у книзі «Оцінка та управління ризиками безпеки в ІТ-системах: структурована методологія». Куб кібербезпеки виглядає як тривимірна геометрична фігура, де однією з трьох видимих поверхонь є цілі кібербезпеки — конфіденційність, цілісність і доступність. Іншою спостережною поверхнею є стани інформації при передачі, обробці та зберіганні. Третя видима поверхня цього кубу відноситься до складових, пов’язаних із управлінням людьми, процесами і технологіями (див. рисунок 2).
Рисунок 2. Куб кібербезпеки або куб МакКамбера
6.1.4.1 Люди
Зазначена посадова особа контролює всю поточну діяльність, пов'язану з розробкою, впровадженням та підтримкою політики інформаційної безпеки ЗОЗ, забезпечує дотримання належного рівня кіберзахисту, оптимізує методи цифрового захисту та ефективно використовує наявні ресурси.
Рекомендується, щоб відповідальним за інформаційну безпеку (далі – ВІБ) був заступник керівника ЗОЗ. Отже, така посадова особа буде мати достатньо повноважень для виконання функціональних обов’язків, пов’язаних із забезпеченням кібербезпеки. Зазвичай ВІБ та відповідальний за ІТ – це різні посадові особи (див. рисунок 3). Це пов’язано з різницею у завданнях. У відповідального за ІТ основним завданням є підтримання надання ІТ-сервісів та служб на відповідному рівні, який зазвичай визначається керівником або відповідним договором, який має назву Service-Level-Agreement (SLA).
Рисунок 3. Можливий розподіл відповідальності та повноважень щодо інформаційної безпеки між посадовими особами закладу
Зі свого боку ВІБ несе відповідальність перед керівництвом за безпеку інформаційних систем та цифрових активів (даних) ЗОЗ. У певний момент часу може скластися ситуація, коли з міркувань безпеки буде необхідно припинити надавати окремі ІТ-сервіси, щоб запобігти ризикам інформаційної безпеки. Саме таке протиріччя краще всього вирішується розподіленням повноважень та ескалацією ухвалення відповідного управлінського рішення безпосередньо керівнику ЗОЗ.
ВІБ повинен надати керівнику відповідну інформацію про «Максимально допустимий період збою/відключення ІТ-системи» (англ. Maximum Tolerable Period of Disruption – MTPD). Він визначається як максимально допустимий час, протягом якого ключові сервіси/послуги можуть не надаватися до того часу, поки це не призведе до неприйнятних наслідків.
Безумовно, обмежитись лише одним ВІБ для забезпечення кіберзахисту ЗОЗ неможливо. Щонайменше повинна бути сформована група реагування на інциденти інформаційної безпеки. Якщо ЗОЗ невеликий, з обмеженою кількістю інформаційних систем і цифрових активів, група може складатися з персоналу, який окрім виконання штатних обов’язків залучається до реалізації завдань з підтримання рівня інформаційної безпеки на належному рівні. Якщо ЗОЗ великий, з досить розвиненою ІТ-інфраструктурою, доцільно створювати штатну команду фахівців з кібербезпеки.
Забезпечення інформаційної безпеки ЗОЗ на належному рівні залежить від рівня обізнаності та підготовки персоналу ЗОЗ протистояти загрозам кібербезпеці. Більшість працівників ЗОЗ не освічені щодо сучасних загроз й існуючих рекомендацій з безпеки для захисту пристроїв, мереж та даних. Навчання працівників ЗОЗ принципам кібербезпеки дозволяє знизити ризики порушень політики інформаційної безпеки, що призводять до негативних наслідків. Відповідальність за організацію і проведення навчання персоналу покладається на функціональні обов'язки ВІБ.
6.1.4.2 Процеси
Підвищення обізнаності і навчання працівників принципам кібербезпеки – один з багатьох напрямів роботи ВІБ. Проте головним завданням ВІБ є побудова ефективної системи кіберзахисту. Це комплексне завдання, яке потребує багато знань і навичок у сфері кібербезпеки. Для практичної реалізації зазначеного завдання існують стандарти з кібербезпеки. Одним із таких загальноприйнятих стандартів з кібербезпеки є NIST Cybersecurity Framework («Рамкова модель кібербезпеки NIST»). Відповідно до стандарту кібербезпеку організації потрібно забезпечувати циклічно, виконуючи певні процеси (див. рисунок 4):
Рисунок 4. Забезпечення кібербезпеки відповідно до NIST Cybersecurity Framework
Ідентифікація. Відноситься до управління системами, людьми, активами, даними і ризиками. Цей процес поділяється на шість підпроцесів: управління активами, управління бізнес-середовищем, загальне управління процесами кібербезпеки, оцінка ризиків, управління ризиками і управління ризиками ланцюгів постачання.
Захист. Стосується насамперед захисту послуг і бізнес-процесів. Підпроцеси включають наступні категорії: керування ідентифікацією, автентифікація та контроль доступу, інформування і навчання, безпека даних, захист інформації та пов’язані з цим процедури, обслуговування й технології захисту.
Виявлення. Відноситься до подій інформаційної безпеки та ідентифікації інцидентів. Цей процес включає моніторинг і виявлення загроз, пов’язаних з будь-якими нехарактерними діями чи аномаліями. Процес виявлення інцидентів і подій інформаційної безпеки складається з наступних етапів: забезпечення спостережності інформаційних систем і мереж, ідентифікація аномальних подій, моніторинг безпеки та покращення процесу виявлення.
Реагування. Це заходи, які вживаються при виявленні інциденту чи кібератаці. Цей процес розподіляється на п’ять підпроцесів, які слід враховувати при реагуванні на інцидент кібербезпеки: планування реагування, комунікації при реагуванні, аналіз інциденту, пом‘якшення наслідків і покращення процесу реагування.
Відновлення. Стосується роботи організації над тим, щоб зберігати стійкість під час атаки, а також відновити послуги, які зазнали впливу від події інформаційної безпеки. Відповідні заходи і план відновлення важливих бізнес-процесів мають бути підготовлені завчасно та повинні включати: планування відновлення, комунікації й процедури покращення.
Для того, щоб ці процеси запровадити, розподілити обов’язки і відповідальність між учасниками і користувачами інформаційних систем ЗОЗ, ВІБ розробляє та затверджує у керівника ЗОЗ Політику інформаційної безпеки.
Головний процес забезпечення інформаційної безпеки організації складається із організації трьох рівнів захисту: фізичного, адміністративного та технологічного.
Фізичний рівень передбачає різні фізичні елементи, які запобігають вторгненню, — це охоронці, камери відеоспостереження, замкнені двері, системи біометричної перевірки тощо.
Адміністративний рівень включає всі політики, процедури, аудити, стандарти та протоколи, які зменшують ризики інформаційної безпеки. Політика паролів організації, багатофакторна автентифікація, дії працівників і регулярне навчання – усі ці заходи відносяться до забезпечення адміністративного рівня.
Нижче розглянуто технологічний рівень кіберзахисту і саме технології, які забезпечують цей рівень.
6.1.4.3 Технології
Технологічна складова кіберзахисту включає всі комп‘ютерні і програмні ресурси, які використовуються для забезпечення спостережності інформаційних систем та зменшення ризиків інформаційної безпеки.
Технічними компонентами технологічної складової є: антивірусне програмне забезпечення; системи управління доступом; засоби шифрування; сканери вразливостей; інструменти моніторингу і журнали подій; сегментація та зонування мережі; системи виявлення вторгнень; пісочниці; інструменти аудиту; брандмауери; інструменти глибокої перевірки пакетів; системи запобігання витоку інформації; засоби захисту від зловмисних програм; інструменти перевірки цілісності даних; інструменти аналізу поведінки; інструменти керування виправленнями та змінами.
Серед вищезазначених технічних компонентів деякі займають особливо важливі позиції у забезпеченні кіберзахисту ЗОЗ, тому потребують окремої уваги.
Антивірусний захист здійснюється за допомогою відповідного антивірусного програмного забезпечення (Антивірусне ПЗ), яке встановлюється на всьому робочому обладнанні і серверах ЗОЗ та періодично оновлюється. Антивірусне ПЗ повинно мати підтримку з боку розробника, можливості щодо передачі підозрілих файлів на аналіз відповідним фахівцям та можливості евристичного аналізу.
Контроль доступу до інформації та даних ЗОЗ здійснюється за допомогою відповідної системи. Система контролю доступу повинна визначати кожного користувача відповідно до його ідентифікатора і запобігати доступу та використанню інформаційних ресурсів ЗОЗ неавторизованими користувачами. Система контролю доступу включає як внутрішні засоби захисту (паролі, шифрування даних, таблиці контролю доступу, налаштування інтерфейсів користувача тощо), так і зовнішні (пристрої захисту портів, брандмауери, автентифікацію на кінцевому пристрої тощо).
Система резервного копіювання та відновлення або бекап система (англ. backup) – призначена для відновлення даних та програмного забезпечення у разі пошкодження або видалення. Створення резервної копії даних надає можливість виконати відновлення інформації/даних при втраті оригіналу, з якого було створено резервну копію, який ще називається об’єктом копіювання. Під втратою треба розуміти настання події, що призвела не тільки до знищення даних, а також неавторизованої зміни, після чого дані втратили цінність або цілісність.
Системи резервного копіювання поділяються на системи повного резервування (Full Backup - L0), які роблять повну копію об’єкту копіювання, та диференційного резервного копіювання (Differential Backup або L1), які здійснюють копіювання змін, що були зроблені після створення останньої повної резервної копії. Також можуть використовуватися додаткові резервні системи копіювання (Incremental Backup або L2) для копіювання змін, що відбулися з часу повного чи диференційного копіювання, якщо такі зміни важливі для забезпечення сталого функціонування системи.
Програмне забезпечення є одночасно і об’єктом захисту, й інструментом, який застосовується для забезпечення інформаційної безпеки. Спеціалізоване програмне забезпечення використовується для моніторингу стану інформаційних систем, виявлення інцидентів, протидії вторгненню та витоку даних, а також для аналізу поведінки користувачів.
Існують певні загальні правила кібербезпеки щодо встановлення та використання програмного забезпечення. На внутрішніх комп'ютерах і мережах ЗОЗ має використовуватися лише дозволене до використання програмне забезпечення. Встановлення програмного забезпечення має відбуватись лише уповноваженою особою (адміністратором). Усе програмне забезпечення перед встановленням має пройти перевірку та отримати дозвіл від керівника ЗОЗ або ВІБ. Усі файли і програми, які були передані в електронному вигляді на комп'ютери або мережу ЗОЗ з іншого місця, повинні бути перевірені на віруси відразу після отримання. Програмне забезпечення, яке є критичним для підтримання безперервності бізнес-процесів підлягає резервному копіюванню.
Ключові слова / теги
Захист інформації, кіберзахист, кібербезпека, конфіденційність інформації, цілісність інформації, доступність інформації, спостережність інформації, відповідальний за кібербезпеку, політика кібербезпеки, рамкова модель кібербезпеки NIST
Наступна сторінка: Принципи запровадження кіберкультури