Разработчик инструментов для поведенческого анализа ИТ-пользователей компания Varonis опубликовала результаты исследоваения 3 млрд файлов 58 различных медицинских организаций: больниц, фармацевтических и биотехнологических компаний. Исследователи Varonis анализировали доступность документов для внутренних и внешних пользователей каждой организации, чтобы определить возможность утечки конфиденциальных и персональных данных. Одной из проблем оказались так называемые «призраки» — бессрочные учетные записи, которые уже не использовались по назначению, но по-прежнему были активны. Обнаружилось, что 77% обследованных организаций имеют более 500 учетных записей с бессрочными паролями, а в 79% компаний насчитывается свыше 1000 подобных «призраков».
Доступность медицинской информации
Анализируя права доступа на документы исследователи обнаружили, что очень многие из них доступны практически всем сотрудникам организации. Причем, если для крупных компаний подобная доля составляет 16%, то для средних и мелких — она поднимается до 23% и 25% соответственно. По конфиденциальным документам ситуация несколько лучше, но не на много: в крупных компаниях общедоступны 11% конфиденциальных документов, в средних — 14%, а в мелких — 22%. Таким образом, хакер, который получил доступ по «призрачным» учетным записям, может получить доступ к достаточно большому объему в том числе и конфиденциальной информации.
Причем, массовый открытый доступ к конфиденциальной информации популярен в медицинских организациях — только 45% из них имеют менее 1000 документов в открытом доступе. Еще 22% открыли доступ для всех своих сотрудников к 1 — 10 тыс. конфиденциальных документов. А треть обследованных компаний давала доступ к более чем 10 тыс. конфиденциальным документам для всех своих сотрудников. Понятно, что сохранение секретов в таких условиях оказывается достаточно проблематичной задачей.
«В 2021 году одной из самых востребованных киберпреступниками отраслей стало здравоохранение, — пояснил глава Varonis в России Даниэль Гутман. — Учитывая, что поставлено на карту, мы хотели понять, насколько надежно организации данной отрасли защищают свою информацию. Результаты исследования неутешительны: конфиденциальные медицинские и научные данные оказались весьма уязвимы как для внешней атаки, так и для инсайдерской утечки. Подобная ситуация требует пристального внимания и применения ряда защитных мер. Среди них внедрение процедур реагирования на инциденты и смягчения их последствий, а также соблюдение принципа наименьших привилегий»
ИБ в медицине
Всего в соответствии с отчетом 23% организаций здравоохранения внедрили полноценные системы защиты и автоматизации. Это приводит к тому, что в отрасли довольно высокий срок обнаружения и устранения утечек данных — 329 дней. При этом в среднем в 2020 году каждая утечка данных обходилась компаниям в 7,13 миллиона долларов, это на 10,5% больше, чем 2019 году. Конечно, есть вероятность, что доступ к конфиденциальным данным, таким как результаты исследований, необходим для ускорения решения проблем с коронавирусом — важнее обеспечить лечение людей, чем конфиденциальность данных. Поэтому результаты 2020 года могут оказаться не показательными.
Правда не совсем понятно исследовали ли российскую отрасль здравоохранения. Дело в том, что в России есть так называемый закон №187-ФЗ «О безопасности КИИ РФ», который относит медицину к одной из критических отраслей. До 2020 года медицинские учреждения не торопились выполнять требования данного закона, однако со сменой кабинета министров в начале 2020 года ситуация поменялась. Минздрав начал готовить отраслевые документы для исполнения закона №187-ФЗ. Речь идет в первую очередь о методичке по проведению процедуры категорирования. Теоретически лекарством от «призраков» в медицинских ИТ может стать внедрение системы управления правами доступа IDM, использование которых рекомендуется в том числе и законодательными требованиями.
