Обзор "ИТ в национальных проектах" подготовлен

Защита информации в медицинских системах с точки зрения ILM

С технической точки зрения защита данных должна учитывать каждый из этапов обращения  информации в медицинских системах: с момента поступления данных в систему при первом обращении до уничтожения по истечении срока давности хранения — или в контексте управления жизненным циклом информации (Information Lifecycle Management, ILM).

Жизненный цикл личных данных

Упрощенно жизненный цикл личных данных в медицинских системах может быть представлен следующим образом. Информация поступает в систему при первом обращении пациента в медицинское учреждение, на данном этапе происходит сбор и обработка данных о пациенте, включая личную информацию, данные первичной диагностики, сделанные назначения лекарственных средств и процедур. Второй этап представляет собой обработка информации, перевод данных в стандартный электронный формат и занесение в базу данных. Следующим этапом является хранение информации в базе данных, при этом, медицинская система может периодически обращаться к хранимой информации, например, с целью сбора статистических данных или медицинских прецедентов. При создании масштабных медицинских систем, к информации, хранимой в базе данных, могут обращаться и другие медицинские учреждения.

При повторном обращении пациента  в данное медучреждение информация в базе «дозаписывается» и корректируется, собираются данные для медицинской статистики. После истечения установленного срока хранения информация в системе утилизируется, либо перекладывается в дальние архивы — консолидируется.

Рассматривая защиту личных данных под углом ILM, можно выделить основные процессы в медицинских системах, ход которых представляет наибольший риск с точки зрения информационной безопасности. Одним из ключевых процессов взаимодействия с информацией в медицинских системах является ее хранение, что требует разработки подходов к защите данных в архивах и системах хранения.  За редким исключением, обычный человек обращается в медицинское учреждение не слишком часто — порядка 5-6 раз в год. Именно в это время происходит большая часть процессов информационного обмена, — не только в рамках отдельно взятого медучреждения, но и с фондами ОМС, частными страховыми компаниями, передается информация по каналам ДЛО. Оставшуюся часть времени информация хранится в архиве, что требует адекватных мер по обеспечению безопасности хранения архивных данных.

Вторая категория процессов в рамках ILM представляет собой обработку информации  в системе, необходимость в которой возникает как при первичном, так и при каждом повторном обращении пациента в медицинское учреждение. Обращение к информации, хранящейся в архиве, дозапись, коррекция данных, связаны с передачей данных от архива к автоматизированной рабочей станции врача — персональному компьютеру, что требует разработку комплекса защитных мер как на уровне АРС, так и на уровне локальных сетей.   

Третья категория процессов представляет собой риск из-за использования  различных каналов для передачи информации как внутри медицинских систем, так и в сети Интернет — транспортных протоколов, специализированных каналов передачи данных.

Четвертая категория процессов носит прикладной характер и связана, прежде всего, с использованием различных носителей информации — CD и DVD-дисков. Сюда же следует отнести и обеспечение безопасности информации в мобильных устройствах (КПК, ноутбуках, смартфонах) и мобильных устройствах  хранения (USB-флэш, iPod, Ziv)

Технологии защиты данных в медицинских системах

Защита медицинских данных отвечает базовым принципам защиты данных в информационных системах и должна учитывать наличие возможных уязвимостей в разных категориях процессов.

Защита данных в системах хранения¹

Источники угроз для систем хранения данных могут быть как внешними, так и внутренними, само их возникновение является следствием наличия уязвимостей в узлах систем хранения.  Возможные уязвимости определяют составляющие элементы и свойства архитектурных решений сетей хранения, а именно:

• элементы архитектуры;
• протоколы обмена;
• интерфейсы;
• аппаратные платформы;
• системное программное обеспечение;
• условия эксплуатации;
• территориальное размещение узлов сети хранения.

Концепция защиты данных в системе строится с учетом всех возможных вариантов уязвимости в системах хранения, которые условно можно разделить на 4 уровня: уровень устройств; уровень данных; уровень сетевого взаимодействия; уровень управления и контроля.

На уровне устройств наиболее пристальное внимание следует обратить на создание парольной защиты и продуманной схемы авторизации пользователей в системе. В качестве основных мер защиты необходимо использование защищенных протоколов доступа, а также контроль минимального количества символов в паролях. Для авторизации пользователей следует задействовать схему авторизации с применением списков контроля доступа (Access Control List, ACL). В ряде случаев необходимо ограничить доступ к устройству посредством многофакторной идентификации. Одной из мер защиты является постоянный учет пользователей, наделенных правами доступа, ранжирование данных по значимости и создание групп пользователей, имеющих доступ к определенным категориям данных.  В качестве дополнительного средства укрепления защиты можно рекомендовать технологию маскирования LUN с разнесением данных по разделам устройств хранения.

В качестве необходимых мер защиты от внешних атак целесообразно ввести контроль за серверами, коммутаторами и рабочими станциями на предмет необычно высокой активности, в полной мере использовать антивирусную защиту на серверах и рабочих станциях, следить за всеми обновлениями для имеющихся операционных систем, встроенного и прикладного программного обеспечения в окружении SAN.

Уже на этапе проработки архитектурного решения следует ввести жесткую классификацию хранимых данных по степени их важности и конфиденциальности, причем не стоит забывать о других эффективных средствах безопасности, в частности об организации выделенных узлов криптозащиты.
С точки зрения безопасности на уровне сетевого взаимодействия следует отметить наличие угрозы несанкционированного подключения к каналам с подменой адресов, что в равной степени относится к оборудованию и каналам как в самих центрах обработки данных, так и в филиалах. В силу открытости архитектуры и взаимной удаленности коммутирующего и конвертирующего оборудования устройства могут стать объектами атаки с последующей утерей контроля над каналами и получением злоумышленником неавторизованного доступа к передаваемым данным. Неверно сконфигурированные конечные устройства сети хранения также становятся привлекательной мишенью для сетевой атаки.

В этой связи особо следует остановиться па способах защиты. В тех случаях, когда архитектурой сети предусматривается удаленный доступ к данным, должны задействоваться межсетевые экраны и системы IDS для организации фильтрации трафика как за пределами, так и внутри сети хранения. В качестве дополнительной меры защиты необходимо предусмотреть устройства для контроля трафика в сетевом сегменте в целях выявления атак DoS.

На этапе проработки архитектуры SAN важно максимально использовать разнесение устройств между изолированными участками с помощью аппаратного зонирования (Hard Zoning), при этом программное зонирование (Soft Zoning) или маскирование LUN оказывается полезно как средство дополнительной защиты. Обычно производители коммутационного оборудования предусматривают собственные встроенные средства и протоколы передачи данных, например Cisco Fibre Channel Security Protocol (FC-SP) или Brocade Secure Fabric OS, использование которых позволяет повысить степень защищенности. Обязательным правилом должна стать организация выделенного сетевого сегмента для контроля и управления устройствами в сети SAN.

Уровень управления доступом  — наиболее вероятная мишень для различных атак с целью получения административного доступа к устройствам NAS. Одна из наиболее частых атак на серверы NAS — несанкционированный доступ с использованием слабой защиты при передаче паролей по сети с помощью протоколов Telnet и HTTP. Поддержку указанных протоколов следует запретить еще на этапе ввода в эксплуатацию устройств NAS. Их применение допускается лишь там, где это не приводит к нарушениям требований безопасности либо имеются дополнительные средства защиты паролей от "прослушивания". В остальных случаях вместо них рекомендуются защищенные протоколы доступа, в частности SSH или HTTPS.

Защита данных при обращении к информации  в медицинских системах

К данной категории процессов относят как сбор данных первичного приема и диагностики, так и работу с данными при повторных обращениях. Сюда же следует отнести и сбор данных для медицинской статистики, а также утилизацию информации по истечении сроков хранения. Основная трудность состоит в необходимости обеспечения защиты данных как на уровне рабочих мест медицинских специалистов, так и на уровне передачи данных в локальной сети.     

Защита информации на уровне автоматизированных рабочих станций (АРС) обеспечивается созданием выделенного доступа, для этого используется многоуровневая аутентификация пользователей, которая предполагает одновременное или отдельное использование USB-ключей или смарт-карт, паролей, файловых ключей. Для отдельных категорий данных, дисков и дисковых фрагментов может предусматриваться усиленная криптографическая защита с использованием электронных ключей.

Важным моментом обеспечения защиты является и удаление данных с АРС после завершения работы.  Как известно,  при обычном удалении файлов средствами Windows, содержимое файла остается на диске. Файл только помечается, как удаленный, именно поэтому данные после удаления можно восстанавливать. Чтобы этого не происходило, необходимо использовать продукты, предназначенный для уничтожения файлов с полным уничтожением (затиранием) содержащихся в них данных. Принцип работы таких систем прост — поверх удаленного файла записывается случайно сгенерированная последовательность, которая делает восстановление файла невозможным. Комплексное обеспечение данных на АРС предусматривает и защиту временных файлов во время работы с конфиденциальной информации, особенно во время проведения удаленных телеконсультаций, пересылки информации по электронной почте и т.д.  К таким мерам защиты может относиться: блокирование каталогов ТЕМР, файлов подкачки программных приложений, удаление временных файлов Интернет. 

Защита данных на уровне локальной сети представлена двумя направлениями:

• защита ресурсов локальной сети объекта от несанкционированного доступа изнутри
• защита внутренней сети объекта от несанкционированного доступа из глобальной сети Internet.

Для предотвращения попыток проникновения в локальную сеть объекта из внутренней используется методика авторизации доступа средствами, встроенными в современные сетевые операционные системы. Для защиты данных в локальной сети применяются различные алгоритмы шифрования, защита локальной сети от внешнего доступа из Интернет обеспечивается за счет политики санкционированных соединений, например, посредством брандмауэров (FireWall). Брандмауэр устанавливается между локальной сетью и глобальной, действуя в качестве контрольно — пропускного пункта.

Юлия Граванова / CNews

¹ Вячеслав Ковалев, «Безопасность в системах хранения данных»,  журнал «Открытые Технологии», 2005