Рубрикатор |
Статьи | ИКС № 06-07 2014 |
16 июня 2014 |
«Лучше пять раз объяснить, чем один раз чинить»
Постоянная работа с персоналом по такому принципу позволяет свести к минимуму число неумышленных инцидентов инфобезопасности, уверен Сергей СМОЛИН, руководитель службы ИБ ОАО «Медицина».
– ОАО «Медицина» – первое и пока единственное в России медучреждение, сертифицированное по международному стандарту информационной безопасности ISO/IEC 27001:2005. Чем вызвана необходимость сертификации и что в результате получили врачи и пациенты?
– У нас безбумажная клиника: с 2002 г. истории болезни пациентов ведутся в электронном виде, с 2010 г. обеспечена интернет-доступность электронных историй болезни для экспертов и пациентов, с 2013 г. «Медицина» стала именоваться смарт-клиникой – со смарт-палатами, смарт-операционными. Масштабное использование ИТ в медицинском учреждении требует обеспечения соответствующего уровня информационной безопасности – защиты собственно информационной системы организации от киберугроз и, разумеется, персональных данных пациентов, сотрудников и всей генерируемой в клинике информации – от утечек. Об объемах этой информации можно судить хотя бы по тому факту, что у клиники более 60 тыс. пациентов и только в 2013 г. здесь было оказано 2 млн 300 тыс. услуг (и сделано как минимум столько же записей, хранящихся многие годы).
Поэтому сертификация на соответствие ISO/IEC 27001:2005 была закономерна. В стандарте четко прописаны вопросы работы с персоналом – инструктаж, обучение, проверки. Что мне особенно нравится, стандарт подчеркивает ведущую роль топ-менеджмента. Нам повезло, что президент клиники понимает необходимость обеспечения информационной безопасности, уделяет ей большое внимание. Если мы обнаружили уязвимость – докладываем об этом начальству, и нас не станут упрекать («куда вы раньше смотрели»), а скажут: «Молодцы, что обнаружили. Давайте думать, как это устранить». Со своей стороны, мы приучаем сотрудников не стесняться задавать вопросы. Принцип такой: лучше пять раз объяснить, чем один раз чинить.
– Что представляют собой инструкции и программа обучения персонала?
– Готовясь к сертификации, мы разработали программу обучения с учетом специфики медицинского учреждения. Мы работаем с особой категорией персональных данных – врачебной тайной. В то же время сотрудники – люди, далекие от ИТ. Потребовалось найти золотую середину, чтобы обеспечить и защиту информации, и удобство работы врачам. При приеме на работу человек в течение нескольких дней прослушивает курс лекций, проходит определенную подготовку. Вводная лекция дает всем сотрудникам минимальный набор сведений (это не трогать, это не включать, это выключать, какие кнопки в какой последовательности нажимать).
Программа обучения имеет градации по категориям пользователей. Если сотрудники работают со съемными носителями информации или с ноутбуками, для них отдельный курс обучения, как и для тех, кто работает с электронной подписью. Ежегодно абсолютно все сотрудники, от академиков до уборщиц, проходят инструктаж по информационной безопасности. Причем мы стараемся объяснять, для чего в инструкцию вписан тот или иной пункт. Скажем, в обеденный перерыв доктор решил скачать игру. Объясняем, что у вируса нет обеда, он работает постоянно и именно в играх могут быть вирусы. Простые запреты не работают. А когда наглядно показываем, откуда в компьютере появился вирус, на устранение которого потребовалось два часа, и в это время у доктора не было приема, – всем становится ясно, что инструкцию лучше не нарушать.
Поскольку уровень конфиденциальности у нас высокий, мы придерживаемся принципа минимизации привилегий. Например, личные мобильные устройства использовать для работы у нас запрещено. Есть 28 ноутбуков для бригад скорой помощи и руководства, вход в систему осуществляется только с использованием VPN-клиента. Внешние устройства (те же флешки) запрещены всем, кроме отдельных сотрудников. Антивирусом Касперского мы просто заблокировали USB-порты на компьютерах. Но если сотруднику необходимо воспользоваться съемным носителем – он обращается в ИТ-службу и под нашим контролем может сделать все, что ему требуется, не нарушая инструкцию.
Любой документ в области инфобезопасности у нас действует в течение года. По прошествии этого срока он обновляется, согласовывается со всеми руководителями подразделений и утверждается президентом. И в течение следующего года мы постоянно контролируем выполнение инструкции.
– Каким образом контролируете?
– Более 90% инцидентов безопасности происходят по вине людей, причем не потому что люди плохи. Никто, приходя в компанию, не собирается шпионить и вредить, все хотят работать и зарабатывать, двигаться по служебной лестнице. Но могут не дочитать инструкцию, что-то забыть сделать и т.д. Приходится работать «цербером». В клинике существует график плановых проверок, утвержденный президентом. Каждое отделение заранее знает, когда его будут проверять, и наводит порядок на рабочих местах. Львиная доля проверок проводится дистанционно, но к каждому рабочему месту я обязательно подхожу хотя бы на две минуты. Во-первых, чтобы люди видели, что «цербер-безопасник» не дремлет. Во-вторых, есть вещи, которые дистанционно не проверишь. Например, любили доктора наклеивать «горчичники» с паролями на обратную сторону клавиатуры или монитора. Когда поняли, что я каждый раз их нахожу, перестали. Если забывают пароль – звонят мне.
Проверки полезны, но их недостаточно. Поэтому мы ежедневно проводим выборочный контроль 20–30 компьютеров из 650 имеющихся в клинике, причем сотрудники знают, что их могут проконтролировать в любой момент. Если обнаруживается инцидент – анализируем ситуацию, устраняем нарушение, виновник несет наказание, и вся история становится достоянием гласности. Президент издает приказ, в котором сообщает: такого-то числа при проведении проверки обнаружилось, что такой-то сотрудник нарушил такой-то пункт инструкции и это привело к такому-то результату. Приказ доводится до всего личного состава клиники. Такой подход дает неплохие результаты. Если в 2012 г. у нас было 12 инцидентов инфобезопасности, связанных с нарушением инструкции, то в 2013 г. – семь. В течение года нам удалось победить неинсталлированные игры, месяцев восемь мы их уже не ловим. Ну а если нарушения инструкции не было, но инцидент произошел – анализируем ситуацию. Смотрим, нужно ли доработать инструкцию или необходимо принимать другие меры.
– Сертификация по стандарту ISO/IEC 27001:2005 позволяет сделать «человеческий фактор» сильным звеном информационной безопасности?
– Скорее, сводит его риски к минимуму. Руководство и персонал понимают, что соблюдение прописанных в стандарте правил поведения приносит реальную пользу. Как минимум помогает избежать расходов. Утечка информации о пациентах нанесла бы клинике огромный репутационный ущерб. Утечка ноу-хау наших врачей, а у нас работают несколько академиков РАМН, разработавших оригинальные методики лечения разных заболеваний, причинила бы ощутимый моральный и материальный урон. Стандарт как раз нацелен на снижение такого рода рисков. На наш взгляд, все стандарты серии 2700 полезны для безопасников, но не все могут позволить себе затраты на сертификацию, начиная с оплаты услуг консалтинговой компании, которая помогает в подготовке к этому процессу. Разумеется, глупо защищаться за миллион, если ущерб не превысит пяти тысяч, но мы посчитали, что затраченные на сертификацию средства – это копейки по сравнению с тем, что мы можем потерять. Конечно, это дорого, но мы спокойны. И наши пациенты спокойны, видя, что клиника работает по европейским стандартам.
– Кстати, пациенты могут записываться на прием к врачу и просматривать свои истории болезни на сайте. Нет опасности утечки их персональных данных?
– Сейчас мы заключили договор с крупной аудиторской компанией, которая должна проверить сайт клиники на предмет защищенности, попытаться его взломать, выдать рекомендации и впоследствии осуществлять постоянный мониторинг. А защита персональных данных пациентов и в онлайне, и офлайне – наша прямая задача. Здесь действуют классические методы: кодовое слово, пин-код, обезличенная информация. Мы защищаем даже информацию на установленных в коридорах клиники камерах. Но если пациент передал кодовое слово третьему лицу, кто-то прослушал его телефонный разговор с доктором или вскрыл конверт с отправленной по почте информацией – ответственность за это клиника уже не несет. Мы отвечаем за свой периметр, и здесь у нас все хорошо.
– По данным различных исследований, во всем мире именно медучреждения наравне с госсектором оказываются лидерами по утечкам информации. Неужели вашу клинику эта проблема не затронула?
– В целом у нас все инциденты инфобезопасности носят внутренний характер, утечек не было. Мы этим гордимся. Думаю, это объясняется общим уровнем корпоративной культуры в клинике. Здесь внимательно относятся к подбору сотрудников, созданы хорошие условия работы, зарплаты выше, чем в среднем по Москве. Люди держатся за свое рабочее место. Лично меня, когда я пришел сюда 10 лет назад после службы в ФАПСИ и ФСО, удивил высокий уровень дисциплины. Но и контроль жесткий. В то же время мы понимаем, что если в клинике появится злоумышленник, который захочет украсть конфиденциальную информацию, он может, скажем, сфотографировать на телефон экран компьютера. От таких защититься сложно. Не ставить же видеокамеры в кабинетах, где пациенты раздеваются. В «административный восторг» мы не впадаем. Реально опасаемся в основном вирусных заражений, которые приводят к простою ПК – рабочего инструмента доктора. Поэтому интернет разрешен только для использования в бизнес-целях. Доктор должен иметь возможность узнать, какие есть лекарства, просматривать медицинские форумы и проч. На медицинских сайтах вирусов мало, а в интернет-магазинах полно. Когда антивирусная система сообщает, что на таком-то ПК обнаружен вирус, мы тщательно расследуем, на каком ресурсе он был подхвачен. Возможно, это перестраховка, но результаты дает неплохие.