по прочтениям

Infowatch: медицина в мире под колпаком злоумышленников

Медицинские организации остаются привлекательной целью для охотников за информацией. Информация из медицинских карт является ликвидной на черном рынке, так как довольно легко может конвертироваться в денежные средства. Помимо имен, фамилий и адресов пациентов, учреждения здравоохранения аккумулируют номера социального страхования, идентификационную информацию, сведения о платежных инструментах, данные удостоверений личности и результаты различных диагностических исследований.

Хакеры продолжают охотиться за персональной информацией пациентов по всему миру. Летом 2017 года зафиксированы несколько массовых инцидентов. Последний громкий случай произошел в Великобритании, где киберпреступники похитили 1,2 млн записей базы данных Национальной службы здравоохранения (NHS). В середине июля хакерам удалось украсть данные более 500 тыс. пациентов из Бельгии. В середине августа стало известно об атаке на сеть американских организаций, занимающихся охраной женского здоровья. В результате скомпрометированы данные порядка 300 тыс. пациентов.

Помимо активности хакерских группировок, большой проблемой для медицины по всему миру остаются действия внутренних нарушителей, бывших сотрудников, а также различных подрядчиков. Так, сотрудник страховой компании Bupa в июне получил для перепродажи до 1 млн медицинских записей.

Случаев компрометации данных через бумажные носители с каждым годом объективно становится меньше. Однако совсем списывать их со счетов рано. По-прежнему утечки часто случаются из-за невнимательности и халатности сотрудников медицинских учреждений. Например, недавно в Канаде произошло удивительное по халатности нарушение конфиденциальной информации: персональные данные 60 человек содержались на обратной стороне рецепта, распечатанного для одного из пациентов.

Можно выделить два основных фактора регулярных утечек информации из медицинских учреждений. Во-первых, по сравнению со сферой финансов и госсектором, у них недостаточно хорошо развита инфраструктура информационной безопасности. Во многих странах уровень средств защиты медицинской информации пока не поспевает за развитием ИТ в поликлиниках и госпиталях. Во-вторых, ИБ по-прежнему не является приоритетным направлением для многих учреждений здравоохранения и зачастую финансируется по остаточному принципу.

Ряд массовых утечек информации, случившихся в 2015-2016 годах, заставил многие медицинские компании и их партнеров усилить направление ИБ. Однако не все компании могут оперативно закрыть бреши в системе безопасности, о чем свидетельствует печальный опыт компании Anthem. В 2015 году она допустила утечку более 78 млн записей, а в 2017 году испытала новую компрометацию данных своих клиентов.

14.11.2017

Теги: Аналитика, Информационная безопасность

Лаборатории «Инвитро» ликвидируют последствия вирусной атаки

В сети «Инвитро» завершают восстановление лабораторной информационной системы после удара киберпреступников. Как сообщил основатель «Инвитро» Александр Островский на своей странице в Facebook, в компании близки к завершению восстановительных работ. «Надо признать, удар был сильным, но мы с этим справились», -- написал Островский.

В понедельник работа сети остановлена для проведения настройки, наладки оборудования и информационной системы. По словам Островского, это ненадолго.

 

читать дальше > 03.07.2017

Теги: Антивирусы, Информационная безопасность, Лабораторная диагностика

«Доктор Веб» продолжит работу на «скорой помощи» Москвы

Компания «Доктор Веб» сообщила о продлении использования продуктов Dr.Web в компьютерной сети Станции скорой и неотложной медицинской помощи им. А.С. Пучкова. Сублицензии на ПО медучреждению выдала компания «Эльбрус-2000», а компьютерную сеть станции обслуживает компания «Мактор». Одной из важных причин использования Dr.Web является наличие сертификатов ФСТЭК и возможности применения продукта на таких операционных системах как Solaris и FreeBSD. Также оказалась весьма востребованной защита сетевого и почтового трафика. Защитой Dr.Web обеспечены не только ПК и серверы Станции, но мобильные устройства сотрудников, работающие под управлением Android, — Dr.Web Enterprise Security Suite обеспечивает и такую возможность.

13.12.2016

Теги: Информационная безопасность

С защищенностью кардиостимуляторов St. Jude Medical разберутся в суде

Результаты опубликованного две недели назад исследования  MedSec выявили, по мнению авторов, незащищенность кардиостимуляторов и дефибрилляторов производства St. Jude Medical и опасность атак на них через систему дистанционного мониторинга. Теперь компания St. Jude Medical, выпускающая кардиостимуляторы и другие медицинские устройства, обвиняет MedSec в распространении ложных утверждений о ее продукции и сговоре с целью манипуляции курсом ее акций.

 

читать дальше > 09.09.2016

Теги: Интернет вещей, Информационная безопасность, Носимая электроника

Медицинские данные стали похищать чаще

Фото: idgns.com

Согласно результатам исследования, проведенного Ponemon Institute, доля утечек медицинской информации, вызванных активностью злоумышленников, за период с 2010-го по 2016 год возросла с 20 до 50%, при этом в учреждениях отрасли здравоохранения с защитой своих информационных систем не справляются.

В среднем доля медицинских организаций, пострадавших от утечек, остается неизменной — на уровне 85-95%, сообщил Ларри Понемон, председатель совета директоров Ponemon Institute, однако количество утечек, вызванных случайной утратой устройств, снизилось.

В последнее время серьезное беспокойство стали вызывать программы-вымогатели и DoS-атаки — из-за них работа медицинского учреждения может остановиться, под угрозой оказываются жизни людей. Программы-вымогатели шифруют все данные, лишая медиков доступа к историям болезни пациентов, а DoS-атаки приводят к отключению систем, позволяющих обращаться к медицинским картам.

 

читать дальше > 16.05.2016

Теги: Аналитика, Информационная безопасность

Дорогие бреши

хирург
Фото: Thinkstock

Бреши в данных медицинских систем могут не только обойтись очень дорого, но и нести в себе угрозу жизни. При этом традиционные средства, применяемые в кредитном мониторинге, не обеспечивают достаточной защиты.

«Использование метода кредитного мониторинга в поисках брешей в идентификационных данных (неважно, медицинских или нет) напоминает попытки укрыться зонтиком от урагана, – отметил директор компании ThreatMetrix по продуктам Алисдейр Фолкнер. – Если бы я был преступником, я мог бы попытаться получить кредитную карту с лимитом в несколько тысяч долларов или использовать ваш идентификатор при выставлении счетов, превышающих несколько сотен или тысяч долларов. Сколько можно мириться с банкротствами из-за медицинских процедур, которыми люди не пользовались, и с неправомерными вызовами скорой помощи врачами из-за ошибок в истории болезни?»

 

читать дальше > 29.03.2015

Теги: Аналитика, Информатизация здравоохранения, Информационная безопасность

Нет предела защищенности

Григорий Ройтберг президент ОАО Медицина
Григорий Ройтберг: «Информационная безопасность будет одним из основных направлений развития ИТ в медицине»

Информационная безопасность будет одним из основных направлений развития ИТ в медицине. Такую точку зрения высказал Григорий Ройтберг, президент клиники «Медицина», выступая на конференции «Информационная безопасность медицинских и страховых компаний – новые угрозы и технологии защиты». По его словам, недостаточная защищенность информации пациента может не только нарушить деонтологические принципы, но и нанести клинике экономический ущерб.

Участники конференции, организованной компанией «ДиалогНаука» и клиникой «Медицина», обсудили актуальные тенденции в сфере информационной безопасности, проблемы, с которыми сталкиваются сегодня страховые и медицинские организации, а также опыт их решения.

Обязанность соблюдать постоянно меняющиеся требования законодательства по защите информации и перспектива проверок со стороны регуляторов вызывает серьезное напряжение в медучреждениях, так как действующие нормативные документы трактуются весьма неоднозначно, а ответственность за нарушения ужесточается. В то же время ИТ-инфраструктура медицинских организаций усложняется: вводятся в действие новые прикладные системы и открываются новые филиалы, появляются удаленные пользователи и сотрудники, работающие со своими мобильными устройствами. С ростом числа задач по защите информации и количества поддерживаемых средств инфозащиты увеличивается нагрузка на персонал подразделениий, ответственных за обеспечение информационной безопасности, отметил Виктор Сердюк, генеральный директор компании «ДиалогНаука». Немногочисленным штатным специалистам по информационной безопасности необходимо оперативно реагировать на множество угроз, среди которых на первый план в последнее время выходят действия инсайдеров, целенаправленные атаки и угрозы, связанные с Интернетом. Созданная в «Медицине» с помощью специалистов компании «ДиалогНаука» система менеджмента информационной безопасности покрывает все ключевые бизнес-процессы клиники, включая основной – оказание медицинских услуг.

 

читать дальше > 28.03.2014

Теги: Информационная безопасность, Медицинская информационная система, Опыт

Беспроводные технологии делают медицинские приборы уязвимыми

имплантируемый дефибрилляторНаличие технологий радиосвязи в новых медицинских приборах, используемых в больницах, клиниках и врачебных кабинетах, вызывает серьезную озабоченность у министерства национальной безопасности США.

В опубликованном в мае бюллетене специалисты министерства признают, что новые технологии помогают повышать результативность работы, сокращать расходы и улучшать качество обслуживания пациентов, но при этом создают риски с точки зрения безопасности, к которым отрасль здравоохранения, возможно, не подготовлена.

«Серьезную озабоченность вызывает коммуникационная безопасность медицинских приборов, поэтому нужны дополнительные меры по защите от проникновений злоумышленников и краж медицинских данных», — говорится в докладе ведомства.

Врачи, медсестры и фельдшеры скорой помощи пользуются беспроводными медицинскими приборами для диагностики, лечения и мониторинга состояния пациентов. Эти приборы могут быть карманными, передвижными или имплантированными (например, кардиомониторы и дефибрилляторы).

Регулированием медицинских приборов, от проектирования до производства и продаж, занимается Управление по контролю над пищевыми продуктами и медикаментами, но у этого ведомства нет документов, регламентирующих правила соединения таких устройств с коммуникационными сетями. Поэтому сотрудникам медицинских учреждений приходится самим заботиться о том, чтобы приборы, имеющие доступ к сведениях о пациентах, были защищены от хакеров.

 

читать дальше > 09.06.2012

Теги: Информационная безопасность

У американского здравоохранения появился свой центр предотвращения киберугроз

Созданная около пяти лет тому назад отраслевая организация Health Information Trust Alliance (HITRUST) объявила об учреждении Координационного центра реагирования на инциденты кибербезопасности, куда за помощью смогут обращаться медицинские организации.

В состав руководства HITRUST входят гиганты отрасли здравоохранения и индустрии ИТ, например WellPoint, Kaiser Permanente и Cisco. Как заявляют в HITRUST, центр создан, чтобы помочь американскому здравоохранению бороться с кибератаками посредством своевременного предупреждения об угрозах кибербезопасности и публикации соответствующей информации.

«Группа будет бороться с угрозами кибербезопасности, направленными против применяемых в организациях здравоохранения сетей, мобильных устройств, рабочих станций, серверов, медицинских приборов, — говорится в заявлении. — Обмен информацией о киберугрозах жизненно важен, он предоставит медицинским учреждениям необходимые им средства защиты и кризисного управления. Первоначально центр будет сотрудничать и делиться информацией об инцидентах безопасности с 14 ведущими отраслевыми организациями, включая страховые компании и системы здравоохранения, а также с Министерством здравоохранения и социального обеспечения США. Центр будет взаимодействовать с HITRUST и другими организациями для выявления инцидентов и устранения их последствий, а также принимать и анализировать сведения о киберугрозах из многочисленных источников, а затем предоставлять эту информацию участникам. HITRUST будет помогать им в выборе инструментов и механизмов безопасности, необходимых для поддержки инициатив центра».

 

читать дальше > 04.05.2012

Теги: Информационная безопасность

Пациентами интересуются

Организации здравоохранения отмечают рост утечек информации о пациентах. Исследование, проведенное Kroll Advisory, показало, что 27% из них за последний год сталкивались по меньшей мере с одним подобным инцидентом. Для сравнения, два года назад доля пострадавших компаний составляла 19%. Что вполне естественно, с ростом важности информационных систем, сменился профиль типичных инцидентов. Теперь они все реже связаны с похищением бумажных документов и все чаще – с ноутбуками и прочими мобильными устройствами.

79% утечек стали следствием ошибочных действий сотрудников. В 40% инцидентов речь идет о ненадлежащем обращении с бумажными документами, а остальные имеют ИТ-составляющую. Стоит отметить, что целенаправленная атака извне стала причиной лишь 3% утечек.

23.04.2012

Теги: Автоматизация предприятий, Информационная безопасность