Технологии интернета вещей начинают проникать во все отрасли нашей жизни, и здравоохранение не является исключением. Феномен «умных больниц» перестаёт быть чем-то удивительным и становится реальностью почти для каждого. Однако создание умной больницы является крайне непростой задачей, так как при этом необходимо обеспечить слаженность работы всех устройств, безопасность, защищённость системы и данных, конфиденциальность каждого пациента. В обзоре описаны возможные виды уязвимостей, угрозы и сценарии атак, рассмотрены активы умных больниц и предложены рекомендации для руководства и отрасли.
- Введение
- Описание умной больницы
- Обзор активов умной больницы
- Критичность умных активов больницы
- Угрозы
- Возможные сценарии атак
- Хорошие практики обеспечения безопасности
- Выводы
Введение
В последнее время всё быстрее развиваются всеобъемлющие, разветвлённые системы здравоохранения. Они позволяют объединить существующие больничные активы («традиционную больницу»), безопасность и защищённость конфиденциальной информации, а также удобство работы для конечных пользователей.
Устройства, системные компоненты и сети становятся автономными, вездесущими и взаимосвязанными. Это явление получило название интернета вещей (англ. IoT). Понятие Smart Hospitals, или же «умные больницы», относится к технологии, охватывающей те компоненты интернета вещей (IoT), которые обеспечивают функциональную деятельность лечебных учреждений. Многочисленные взаимосвязи, особенности внутреннего устройства, высокие требования к гибкости, динамичность и сложная структура — по этим причинам разветвлённые системы здравоохранения нуждаются в высокой степени организации и невероятной степени защищённости. Иначе под угрозой могут оказаться жизнь пациента, конфиденциальная личная информация и финансовые ресурсы.
Когда технологический прогресс приходит в отрасль здравоохранения, которая является одной из наиболее важных для человечества, результаты оказываются весьма значительными. Взаимосвязанные медицинские устройства меняют принципы работы отрасли здравоохранения — как внутри больниц, так и при взаимодействии между различными учреждениями. Только представьте: «умным» становится электронное устройство, собирающее информацию о жизненно важных показателях пациентов, или механизм, который отслеживает машины жизнеобеспечения, чтобы иметь возможность реагировать на любое изменение состояния пациента. Взаимосвязанные медицинские устройства могут повысить безопасность пациента, особенно если они подключены к клиническим информационным системам. Если подобным образом объединить всю экосистему медицинского учреждения, оно становится умной больницей.
Тем не менее возросший поток информации внутри больниц и между ними создаёт риски, которые необходимо учитывать ответственным специалистам (руководителю IT-отдела, офицеру безопасности и прочим). Риски включают в себя возможные угрозы безопасности пациента или потерю конфиденциальной информации и могут быть вызваны не только злонамеренными действиями, но также человеческими ошибками, сбоями системы или даже природными явлениями. Поскольку масштаб возможной атаки увеличивается с внедрением взаимосвязанных устройств, её потенциал растёт в геометрической прогрессии.
Борьба с угрозами и рисками может быть организационной или технической. В том, что касается организационных мер, особое значение имеют соблюдение стандартов, обучение персонала и повышение его осведомлённости об угрозах, а также использование передовых практик обеспечения безопасности. Технические же меры включают сегментацию сети, управление активами и конфигурацией, а также мониторинг сети и обнаружение вторжений. Однако производители информационных систем и устройств, используемых в системах умных больниц, также должны участвовать в обеспечении безопасности и изначально внедрять в устройства средства защиты — такие, например, как шифрование.
На основе анализа документов и эмпирических данных, а также детального изучения сценариев атак, которые были признаны особенно опасными для умных больниц, в обзоре изложены ключевые рекомендации по обеспечению их безопасности. Также в нём даются советы представителям отрасли с целью повысить уровень информационной безопасности в умных больницах.
Описание умной больницы
Определение термина «умная больница» может быть следующим: «лечебное учреждение, деятельность которого опирается на оптимизированные и автоматизированные процессы, построенные в среде информационно-коммуникационных технологий (ИКТ) и, в частности, на основе интернета вещей (IoT), в целях совершенствования медицинской помощи, диагностики пациентов и создания новых возможностей». В свою очередь, для обозначения тех организаций здравоохранения, которые не подпадают под это определение, используется термин «традиционная больница».
Степень внедрения умных технологий в больничные процессы связана с их сложностью и важностью.
- Улучшенные возможности диагностики/хирургии: ИКТ позволяют не только использовать новые методы лечения (например, выполнять микрохирургические операции с помощью роботов), но также и улучшать существующие. Появляется больше возможностей для сбора данных о пациентах, что помогает ставить диагнозы или выбирать наилучший курс лечения, а сложные программные решения позволяют точно настраивать административные процессы.
- Бесперебойный поток пациентов: эффективное медицинское обслуживание может сократить время ожидания и продолжительность пребывания в больнице, уменьшить количество ошибок, увеличить доходы и повысить степень удовлетворённости пациентов (и сотрудников). ИКТ могут быть использованы для выявления и устранения «узких мест», оптимизации потока пациентов и т.п., тем самым способствуя повышению эффективности здравоохранения.
- Дистанционное медицинское обслуживание: одной из ключевых целей внедрения устройств IoT в область здравоохранения является возможность расширить границы больницы и обеспечить дистанционное медицинское обслуживание. Различные медицинские устройства предоставляют возможность осуществлять мониторинг в режиме реального времени посредством измерения ключевых показателей и делают эти измерения легко доступными для персонала больницы, а также позволяют воздействовать на пациента (например, вводить дозу лекарства) в зависимости от его состояния, в том числе с помощью дистанционного управления. Следовательно, приём пациентов в больницы может быть ограничен неотложными случаями, что приводит к снижению затрат и повышению качества обслуживания.
- Повышенная безопасность пациентов: взаимосвязанные устройства, наблюдающие за системами жизнеобеспечения или собирающие данные о показателях жизнедеятельности пациента и о процессе приёма им лекарств, вовремя предупредят в случае угрозы здоровью.
- Киберустойчивость: более высокий уровень внедрения технологий IoT неизбежно приводит к большей зависимости от среды ИКТ, что, в свою очередь, повышает актуальность информационной безопасности для умных больниц. В некоторых европейских странах сектор здравоохранения считается критически важной инфраструктурой. Субъекты здравоохранения, включая больницы, должны быть готовы не только к постепенным изменениям, но и к внезапным сбоям. В умных больницах этого добиться сложнее, чем в традиционных, потому что число компонентов, которые могут привести к недоступности услуг или пострадать от неё, здесь намного выше.
- Надёжность: передовой опыт использования ИКТ позволяет организациям здравоохранения хорошо зарекомендовать себя и иметь положительную репутацию. Безусловно, для её поддержания требуются надёжная система защиты данных и обеспечение бесперебойности работы, чтобы безопасность и неприкосновенность частной жизни пациента не подвергались риску.
Информационные активы умной больницы
Больницы имеют широкий спектр активов, которые необходимы для их работы и поэтому должны быть защищены. Существуют активы, характерные для всех видов лечебных учреждений, однако стоит выделить те, которые интеллектуально связаны с другими компонентами, способны принимать решения самостоятельно и поэтому присущи именно умным больницам. Среди этих активов, например, — мобильные клиентские устройства, системы идентификации и взаимосвязанные клинические информационные системы. Рассмотрим их ниже.
- Системы дистанционного ухода за пациентами: экосистема ИКТ, которая позволяет умной больнице расширять свои границы и предоставлять медицинские услуги пациентам в удалённых местах — например, дома. В эту группу может входить медицинское оборудование для телемониторинга и теледиагностики (скажем, устройства измерения артериального давления или уровня глюкозы, генераторы сигналов тревоги с пороговым значением и прочие), для распределения лекарств или проведения лечения, а также для телездравоохранения (камеры, датчики, телефонные / интернет-соединения и т.п.).
- Сетевые медицинские устройства, которые широко используются в умных больницах, а также позволяют осуществлять дистанционный мониторинг пациентов, что является ключевым преимуществом умных больниц перед традиционными. Конечно, стационарные и мобильные устройства активно применяются и в традиционных учреждениях, однако в контексте умной больницы они интеллектуально связаны с идентификационными компонентами и клиническими информационными системами, что повышает их уровень автоматизации и улучшает способность принимать решения. Их спектр довольно широк: от стационарных устройств (компьютерные томографы, аппараты жизнеобеспечения, станции химиотерапии) до имплантируемых (кардиостимуляторы).
- Системы идентификации используются для отслеживания и аутентификации пациентов, персонала или больничного оборудования. В умных больницах биометрические сканеры интеллектуально объединены в сеть с устройствами и информационными системами. Кроме того, системы безопасности с замкнутым контуром играют ключевую роль в отношении аутентификации и последующей авторизации (например, предоставления доступа к определённым областям). Примеры таких систем: биометрические сканеры, RFID-системы со службами определения местоположения, видеонаблюдение с возможностями распознавания / аутентификации.
- Сетевое оборудование образует информационную инфраструктуру умных больниц. Требуемое оборудование не отличается от стандартного, используемого в «традиционной больнице», но оно характеризуется расширенными функциями (например, протоколы маршрутизации или пропускная способность). Сюда можно отнести сетевые карты, концентраторы, коммутаторы, маршрутизаторы, а также шлюзы IoT, которые дополнительно анализируют сведения, собранные устройствами, и отправляют их в центр обработки данных или в облако.
- Мобильные клиентские устройства интеллектуально интегрируются в общую систему для обеспечения доступа к информации в нужном месте в нужное время, а также для повышения мобильности персонала и пациентов. Среди них: мобильные клиенты (например, ноутбуки, планшеты, смартфоны, пейджеры), мобильные приложения для смартфонов и планшетов, приложения сигнализации и экстренной связи для мобильных устройств.
- Взаимосвязанные клинические информационные системы развёртываются в умных больницах совместно с медицинскими приборами и компонентами идентификации для того, чтобы обеспечить интеллектуальные сквозные процессы ухода за пациентами. Клинические сетевые информационные системы в умных больницах всё чаще могут принимать решения самостоятельно. Возможны многообразные их разновидности: лабораторные информационные системы, радиологические, аптечные, патологические, исследовательские, система банка крови, архивации и передачи изображений и т.д.
- Данные считаются важными активами с точки зрения информационной безопасности. В основном решения, принимаемые интеллектуальным устройством, основаны на анализе собранных сведений. Примеры включают клинические и административные данные пациента (например, медицинские записи или результаты анализов), финансовую, организационную и другую информацию больницы, данные исследований (скажем, отчёты о клинических испытаниях), данные персонала, журналирование, сведения о поставщиках (контактные данные, используемые продукты и пр.).
- Здания и сооружения, объединённые сквозными интеллектуальными процессами, имеют решающее значение для работы умных больниц. Ряд важных функций, связанных с безопасностью пациентов, зависит от возможностей интеллектуальных систем управления оборудованием. Среди них — системы регулирования электропитания и климата, включая средства вентиляции, датчики температуры, медицинское газоснабжение, интеллектуальные системы управления и обслуживания в палате (в т.ч. умные доски, экраны для пациентов, экраны для медицинского персонала и прочее), а также автоматическая система дверных замков и приложения / токены для управления замками (например, разблокировка с помощью мобильного устройства).
Ранжирование активов умной больницы
В жизненном цикле большой экосистемы, называемой умной больницей, не все активы имеют одинаковую значимость. Актив определяется как критически важный, когда любое прерывание или сбой в нём может оказать большое влияние на работу всей системы, а также и на пациентов. Ниже представлен список активов в порядке убывания их значимости (по результатам опроса респондентов из медицинской отрасли).
Рисунок 1. Степень важности информационных активов умной больницы
Наиболее важные интеллектуальные активы в контексте умной больницы — это взаимосвязанные клинические информационные системы и сетевые медицинские устройства (67%). Наличие интеллектуально связанных клинических информационных систем и медицинских устройств, приобретающих со временем всё большую автономность, является одним из самых очевидных изменений во время преобразования «традиционной» больницы в «умную».
Сетевое оборудование (43%) считается критически важным, поскольку без надёжной сетевой архитектуры и совместимых решений компоненты IoT не будут работать должным образом. Информацию, собранную медицинскими устройствами или конечными компонентами, необходимо проанализировать и объединить с другой медицинской информацией. Этим обычно занимаются взаимосвязанные клинические информационные системы больницы, а также персонал (при возможности). Однако большинство анализов проводится не медицинскими приборами и не клиническими информационными системами, а центральной системой, которая оснащена технологией эффективного сбора и анализа данных из различных внутренних и внешних источников. Сетевое взаимодействие необходимо для того, чтобы данные из информационных комплексов и медицинских устройств передавались в эту систему без искажений и способствовали принятию правильного решения.
Одной из основных целей умной больницы является предоставление услуг удалённого ухода за пациентами (40%). Для достижения этой цели больничные системы должны подключаться к системам удалённой помощи на стороне пациентов. Сложность здесь заключается в том, что в случае неисправности или сбоя устройство либо система будут восстанавливаться поставщиком, так как эта задача не входит в сферу ответственности больницы.
Далее в рейтинге следуют наборы данных (данные исследований, журналы и прочее), услуги мобильных клиентов и системы идентификации (30%). Несмотря на то, что они, безусловно, важны для функционирования умной больницы, нарушения в этих областях не вызовут серьёзного сбоя в предоставлении услуг.
Последними расположены здания и сооружения (10%). В случае атаки против них последствия могут быть наиболее серьёзными, однако вероятность такой угрозы крайне мала. Любые кибератаки на системы, отвечающие за функционирование объекта (например, системы регулирования климата, энергоснабжение и прочие) не столь распространены, поскольку они требуют высокой квалификации и изощрённости, и к тому же результат не даст злоумышленнику финансовой выгоды.
Угрозы
В целом умным больницам свойственны следующие уязвимости:
- Связь между умными устройствами и устаревшими системами, создающая «пробелы», которыми могут воспользоваться злоумышленники.
- Невозможность обеспечить физическую безопасность всех компонентов, которые разбросаны по всему учреждению.
- Отсутствие моделирования угроз при разработке медицинских устройств: они рассчитаны только на использование по назначению.
- Массовое внедрение однотипных IoT- устройств, оправдывающее трудозатраты на поиск путей их взлома.
- Срок службы медицинских приборов: больница не будет менять томограф каждые три года, чтобы защититься от информационных угроз.
- Слабые возможности обнаружения вредоносных программ или защиты от них из-за особенностей встроенных операционных систем медицинских устройств или ограниченных вычислительных мощностей.
- Отсутствие чёткого способа предупреждения пользователя о проблемах безопасности, из-за чего скомпрометированное медицинское оборудование может подолгу распространять вредоносные программы.
Кроме того, для них актуальны и обычные проблемы, характерные для любой организации:
- Вероятность получения несанкционированного доступа к сети через одно из IoT-устройств по причине отсутствия политики авторизации пользователей.
- Обход установленных политик безопасности, вызванный тем, что они создают пользователям неудобства.
- Использование личных устройств, не соответствующих политикам безопасности организации.
- Несоблюдение организационных или отраслевых стандартов безопасности.
- Неграмотное поведение пользователей.
- Отсутствие надлежащего процесса управления конфигурацией.
Основными причинами угроз, с которыми сталкиваются умные больницы, являются злоумышленные действия, человеческие ошибки, системные и сторонние сбои, а также природные явления. На рисунке ниже представлена таксономия угроз кибербезопасности умных больниц, которая была разработана на основе результатов интервью и проведённых исследований.
Рисунок 2. Система специфических и неспецифических угроз безопасности умных больниц
Перечисленные угрозы условно можно поделить на 5 основных групп.
Преднамеренное вредоносное воздействие (лица или организации). Важно отличать злонамеренные действия от прочей активности, когда пользователи обходят политики и процедурыбез злого умысла.
Ошибки, обусловленные человеческим фактором, возникают при конфигурировании, работе с устройством или информационной системой, при выполнении рабочих процессов. Они часто связаны с неадекватными действиями и/или недостаточной подготовкой.
Системные сбои вызваны изъянами в аппаратном или программном обеспечении; они очень существенны в контексте здравоохранения, особенно из-за возрастающей сложности и динамики медицинских информационных систем.
Отказ цепочки поставок находится вне прямого контроля со стороны руководства больницы, так как он обычно подпадает под ответственность третьей стороны. Поскольку умные больницы всё больше зависят от сторонних поставщиков, последствия от неудач и сбоев такого рода неблагоприятно сказываются на их деятельности.
Природные явления также могут стать причиной инцидентов, в частности из-за их разрушительного воздействия. Более того, природные катаклизмы могут влиять на предоставление услуг по дистанционному уходу за пациентами (например, если инфраструктура сетевого уровня была нарушена из-за землетрясения).
Возможные сценарии атак
Согласно опросу респондентов, существуют пять основных сценариев атак, которые особенно актуальны для умных больниц. Результаты опроса изображены на рисунке 3. В принципе, данные сценарии также релевантны и для традиционных лечебных учреждений, однако стоит отметить, что ущерб, нанесённый при одном и том же сценарии, для умной больницы может оказаться гораздо более значительным.
Рисунок 3. Рейтинг сценариев атак
Рассмотрим в качестве примера сценарий, характерный именно для умной больницы: вмешательство в работу медицинского оборудования.
Рисунок 4. Схема атаки посредством вмешательства в работу медицинского оборудования
Хорошие практики обеспечения безопасности
Как умные больницы, так и их поставщики должны внедрять передовые практики по обеспечению безопасности. Меры защиты и инструменты контроля являются средством управления рисками и могут быть классифицированы в зависимости от их характера.
Организационные меры включают в себя политики, процедуры, административные инструменты, а также меры по созданию и поддержанию осведомлённости персонала об угрозах и борьбе с ними. Политики и процедуры описывают приемлемое и неприемлемое поведение сотрудников на рабочем месте и выступают в качестве внутренних нормативных документов. Проактивные и ретроактивные средства, такие как классификация активов, анализ рисков и аудит, являются примерами административных методов. Организационные меры не обязательно зависят от ИКТ, но могут использовать информацию, полученную с помощью программного обеспечения.
Технические меры, напротив, опираются на ИКТ и привлекают программное обеспечение в целях автоматизации. К ним можно отнести применение таких продуктов и технологий, как брандмауэры, виртуальные частные сети, системы обнаружения и предотвращения вторжений и сканеры уязвимостей, а также использование криптографии.
На графике ниже представлены технические и организационные меры, расположенные по степени эффективности. Как можно заметить, в списке преобладают технические меры, а организационные занимают лишь около трети перечисленных.
Рисунок 5. Рейтинг эффективности организационных и технических мер защиты информации в умной больнице
Выводы
Подводя итоги, можно предложить следующие рекомендации для создания эффективной и безопасной системы умной больницы.
Рекомендации для руководства
- Установить эффективное управление предприятием для обеспечения киберзащиты. С этой целью необходимо провести анализ затрат и уровня критичности наиболее важных компонентов IoT, разработать стратегию информационной безопасности для интеллектуальных активов.
- Определить и зафиксировать чёткие роли и обязанности, а также проводить регулярное обучение и повышение квалификации персонала. Также нужно разработать политики для концепции BYOD (Bring Your Own Device) и мобильных устройств пользователей, поскольку они являются компонентом интеллектуальной больничной экосистемы.
- Идентифицировать активы и их взаимосвязь (или подключение к сети «Интернет»). Для некоторых компонентов умных систем правильным решением может быть отказ от встроенных сетевых возможностей устройства. Более того, следует определить и внедрить базовые показатели безопасности во всех основных операционных системах.
- Внедрить передовые технологии безопасности. К передовым технологиям можно отнести сегментацию сети (NGFW), средства мониторинга сети и обнаружения вторжений, надёжного шифрования и контроля доступа, а также устройства аутентификации и авторизации.
- Обеспечить особые требования к ИТ-безопасности для компонентов IoT.
- Инвестировать в продукты сетевой и информационной безопасности (англ. network and information security, NIS) — например, инструменты автоматического мониторинга активов, средства управления мобильными устройствами, SIEM-системы.
- Создать механизм обмена опытом в области информационной безопасности между разными лечебными учреждениями.
- Проводить оценку рисков и поиск уязвимостей.
- Проводить тестирование на проникновение и другие разновидности аудита.
- Обеспечить поддержку многосторонних коммуникационных платформ (англ. Information Sharing and Analysis Center, ISAC).
Рекомендации для отрасли
Для налаживания взаимодействия между производителями компонентов интеллектуальных систем и пользователями были сформулированы следующие рекомендации, касающиеся разработки устройств, которые встраиваются в системы умных больниц и других технологий IoT:
- Интегрировать компоненты ИБ в существующие системы обеспечения качества. Это подразумевает, в частности, следование трём парадигмам: «безопасность на уровне проектирования» (продукт должен быть спроектирован так, чтобы быть безопасным с момента создания), «безопасная разработка» (соблюдение всех требований безопасности в процессе конструирования) и «конфиденциальность по умолчанию» (концепция, требующая, чтобы настройки продукта по умолчанию соответствовали требованию к конфиденциальности носимой информации). Кроме того, для обеспечения безопасности необходимы обучение персонала и разработка конкретных руководящих принципов, а также внедрение в устройства методов безопасного шифрования. Одним из наиболее эффективных методов для устранения уязвимостей (и рисков для кибербезопасности) является разработка резервных (страховочных) устройств, обеспечивающих функционирование системы в непредвиденных ситуациях.
- Обеспечить вовлечение третьих лиц (организаций здравоохранения) в тестирование разрабатываемых продуктов и решений.
- Рассмотреть вопрос о применении регламентов медицинского оборудования ко критическим компонентам инфраструктуры.
- Обеспечить поддержку адаптации стандартов информационной безопасности к отрасли здравоохранения.