Комментарии 4
Нет никакой безопасности в медицине. В банках при утечках и взломах данных возникают прямые финансовые потери.
А что происходит в больницах, не сделают укол сегодня, так сделают завтра. Если ситуация критическая, условно, пациенту что-нибудь отрежут, в лучшем случае что-нибудь ненужное, а в худшем… ну и ладно, как в поговорке про Максима.
Следующий пункт, большинство компьютеров-жертв wannacray находилось в так называемых защищённых контурах, где системы обновлялись согласно регламентам всяких ИБ, через сколько-то там недель тестирования, если вообще обновлялись после проведения сертификации и аттестации. В тех лавочках где windows обновлялся сам по себе, особых проблем и не было.
Еще момент от которого хочется плакать, денег на ит нет, но вы там держитесь. Нету в медицине квалифицированных IT-специалистов, все кто поумней уже ушли, остаётся только круговорот студентов и стартаперов с очередными супер-МИС на очередном веб-фреймворке.
В итоге кое-как настроенные бэкапы очередным эникейщиком организации самой главной БД кладутся обычно куда — на расшаренную папочку файлового сервера. А права у папочки как всегда — все для всех. А папочка подключена всем пользователем как диск — удобно же. В день Х бухгалтеру приходит очередное письмо с «актом сверки за май.doc.exe» и в организации не остаётся ничего. Возможно найдётся полугодовой бэкап, лежащий на каком-нибудь диске, который должны были отдать очередному интегратору ужей с ежами, или расписания с новым сайтом или с 1С.
OpenEHR, HL7, и прочие баззворды, а на деле нет ничего кроме очередного XML over SOAP over http вперемешку с sql-портянками. Более-менее только DICOM работает.
Ну и тд, можно долго писать, но это уже получится очередное **аное-ит.ру
А что происходит в больницах, не сделают укол сегодня, так сделают завтра. Если ситуация критическая, условно, пациенту что-нибудь отрежут, в лучшем случае что-нибудь ненужное, а в худшем… ну и ладно, как в поговорке про Максима.
Следующий пункт, большинство компьютеров-жертв wannacray находилось в так называемых защищённых контурах, где системы обновлялись согласно регламентам всяких ИБ, через сколько-то там недель тестирования, если вообще обновлялись после проведения сертификации и аттестации. В тех лавочках где windows обновлялся сам по себе, особых проблем и не было.
Еще момент от которого хочется плакать, денег на ит нет, но вы там держитесь. Нету в медицине квалифицированных IT-специалистов, все кто поумней уже ушли, остаётся только круговорот студентов и стартаперов с очередными супер-МИС на очередном веб-фреймворке.
В итоге кое-как настроенные бэкапы очередным эникейщиком организации самой главной БД кладутся обычно куда — на расшаренную папочку файлового сервера. А права у папочки как всегда — все для всех. А папочка подключена всем пользователем как диск — удобно же. В день Х бухгалтеру приходит очередное письмо с «актом сверки за май.doc.exe» и в организации не остаётся ничего. Возможно найдётся полугодовой бэкап, лежащий на каком-нибудь диске, который должны были отдать очередному интегратору ужей с ежами, или расписания с новым сайтом или с 1С.
OpenEHR, HL7, и прочие баззворды, а на деле нет ничего кроме очередного XML over SOAP over http вперемешку с sql-портянками. Более-менее только DICOM работает.
Ну и тд, можно долго писать, но это уже получится очередное **аное-ит.ру
Как медицинским центрам обеспечить кибербезопасность?
В последнее время находил довольно серьезные уязвимости в нескольких системах частных медицинских организаций (телемедицина, как же она прекрасна). Иногда возникало ощущение, что их пишут либо абсолютные пофигисты, либо крайне тупые разработчики.
— Защита от подбора четырехзначного кода при сбросе пароля?
— Да зачем она нужна.
— Думать, зачем вообще разрабатывается какой-то модуль (авторизация, сброс пароля, получение данных), на что нужно обратить внимание?
— Отстань, я программист, мне нужно сходить на полдник, а потом доделать проект, чтобы уйти пораньше. Еще на безопасность лохов время тратить.
При этом одна организация, которая заявляет, что она «Первая и самая крупная в России система мгновенной / круглосуточной / дистанционной медицинской поддержки.» вообще решила не отвечать на письма, зачем это вообще нужно.
ИМХО, пока нет явной кары разработчиков систем за тупость и пофигизм, не может быть речи о том, чтобы сделать какие-то системы безопасными.
Неплохой FAQ. Можно добавить раздел compliance. Вот в него первый документ:
Приказ Минздрава России от 24.12.2018 N 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций» (Зарегистрировано в Минюсте России 19.06.2019 N 54963)
Приказ Минздрава России от 24.12.2018 N 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций» (Зарегистрировано в Минюсте России 19.06.2019 N 54963)
Статья отличная, но в продолжении вместо угроз хотелось бы наоборот увидеть меры по обеспечению Безопасности МИС!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Большой FAQ по кибербезопасности медицинских информационных систем