За допомогою проєкту USAID розроблено рекомендації щодо кіберзахисту.
Для збереження конфіденційності персональної медичної інформації та персональних даних пацієнтів Міністерством охорони здоров’я України (МОЗ) із залученням проєкту Агентства США з міжнародного розвитку (USAID) «Підтримка реформи охорони здоров’я» розроблено настанови з кіберзахисту закладів охорони здоров’я. Скорочені рекомендації з них МОЗ опублікувало на своєму сайті.
Зокрема, йдеться про наступні технічні та організаційні заходи, які застосовують для забезпечення належного рівня інформаційної безпеки:
- регулярні навчання всього персоналу, щонайменше раз на рік;
- шифрування даних з обмеженим доступом, при цьому алгоритми та засоби, які використовуються для шифрування, мають відповідати вимогам, що встановлені Державною службою спеціального зв’язку та захисту інформації України;
- ідентифікація користувачів інформаційних систем (за допомогою унікального облікового запису, логіну та паролю для входу в систему);
- контроль доступу до інформації, що включає як внутрішні (паролі, шифрування даних, таблиці контролю доступу, налаштування інтерфейсів користувача тощо), так і зовнішні засоби захисту (пристрої захисту портів, брандмауери, автентифікацію на основі хоста тощо);
- цілісність даних пацієнтів (попередження несанкціонованої зміни чи знищення, автоматична перевірка щодо помилок під час обробки даних пацієнтів, створення резервних копій та їх регулярна перевірка);
- доступність медичної інформації (процедури екстреного доступу, які використовуються у випадку надзвичайної ситуації, доступ до таємних даних аутентифікації, такі як логін та пароль, для використання надзвичайних облікових записів).
Додатково закладам охорони здоров’я необхідно подбати про:
- антивірусний захист;
- використання на внутрішніх комп’ютерах і мережах закладу лише дозволеного програмного забезпечення.
Крім того, варто також дотримуватися таких рекомендацій щодо фізичної безпеки закладу:
- вхід до будівлі в неробочий час повинен бути зачинений та контролюватися охоронною сигналізацією;
- потрібно періодично змінювати код безпеки, який надавати тільки конкретним працівникам;
- всі особи, які заходять/виходять до/з будівлі, мають фіксуватися 24 год на добу 365 днів на рік;
- вхідні двері в зону прийому пацієнтів та відвідувачів мають завжди замикатися у неробочий час і відмикатися у робочі години закладу;
- будь-яка невизначена особа, яка перебуває в службових приміщеннях закладу, повинна негайно виводитися із службової зони персоналом, що її побачив, та супроводжуватися до зони рецепції;
- серверне та комунікаційне обладнання має бути розташовано в приміщеннях з обмеженим доступом, куди не мають доступ відвідувачі;
- обладнання має встановлюватися в спеціалізованих шафах, які зачиняються під час роботи;
- робочі станції, ноутбуки та інше цифрове обладнання, яке знаходиться в зоні, дозволеній для перебування відвідувачів, повинні бути облаштовані спеціальними комп’ютерними замками для фіксації до встановленого місця розташування, що унеможливлюватиме їх винесення або переміщення від встановленого місця розташування;
- серверне та мережеве обладнання повинно бути забезпечене основним та резервним безперебійним живленням;
- усі зовнішні вікна будівлі повинні мати датчики розбиття скла, що гарантуватиме негайне повідомлення до охоронної служби;
- протипожежний захист будівлі повинен бути встановлений відповідно до вимог Державної служби України з надзвичайних ситуацій;
- заклад потрібно обладнати системою безперебійного живлення та дизель-генератором.
Дотримання цих вимог дозволить убезпечити працівників медичного закладу і його пацієнтів, наголошує МОЗ.
У свою чергу, Національний координаційний центр кібербезпеки України у випуску «CyberDigest» за грудень 2022 р. повідомив про хвилю кібератак проти французьких лікарень, під час яких злочинці блокували критично важливі ІТ-мережі та дані закладу, а потім вимагали викуп за їх звільнення. У відповідь на небезпеку міністри внутрішніх справ, охорони здоров’я та цифрових послуг Франції 21 грудня оголосили про запуск навчальної програми для французьких лікарень. «Мета полягає в тому, щоб 100% найважливіших закладів охорони здоров’я пройшли ці навчання до травня 2023 р.», — зазначено у спільній заяві.
