кандидат технических наук;
candidate of technical sciences;
Рассмотрены особенности существующих направлений и методов оценки эффективности мер защиты информации в медицинских учреждениях. Проведен комплексный анализ объектов и выявления угроз безопасности персональных данных. Установлены ключевые этапы исследования объектов, состоящие в определении стоимости информационных ресурсов, определении наиболее актуальных угроз и расчета ущерба от их применения. Выполнены анализ возможности реализации и устранения угроз, построена классификация наиболее критичных групп угроз. Основной научный результат выполненного исследования состоит в том, что применение данного алгоритма возможно, как в научных целях, так и для формирования эффективных систем защищенности персональных данных в различных организациях. Исходя из этого, данное исследование приведет к повышению уровня оценки эффективности мер защиты конфиденциальной информации в медицинских организациях.
The features of existing directions and methods for assessing the effectiveness of information protection measures in medical institutions are considered. A comprehensive analysis of objects and identifying threats to the security of personal data is carried out. The authors identify key stages of the object research, consisting of determining the cost of information resources, identifying the most relevant threats, and calculating the damage from their application. The analysis of the possibility of implementing and eliminating threats is performed; a classification of the most critical threat groups is built. The main scientific result of the performed research states that this algorithm application is possible both for scientific purposes and for forming effective personal data protection systems in various organizations. Based on this, this study will lead to increasing the level of the effectiveness assessment for the protection measures of confidential information in medical organizations.
Введение На данный момент в информационном обществе важно обеспечить защиту информации от различных угроз и рисков. Каждый день мы сталкиваемся с новыми угрозами, связанными с хакерскими атаками, вирусами, кражей данных и другими событиями, которые могут нанести серьезный ущерб деловой репутации и потерю конфиденциальной информации. Поэтому актуальность разработки и применения эффективных методов оценки информационной безопасности никогда не была такой высокой. Материалы исследования В современном обществе угрозам информационной безопасности подвержен не только каждый человек, но и каждая организация, медицинские организации в том числе [1, 7, 12]. Оценка уровня реализуемости угроз безопасности информации не является исключением и для организаций медицинского назначения, так как в данных учреждения обрабатывается информация конфиденциального характера. В последнее время на медицинскую инфраструктуру увеличивается количество хакерских атак. Интерес к медицинским учреждениям для нарушителей объясняется тем, что в информационных системах обрабатывается большое количество информации конфиденциального характера, включая различные медицинские сведения, личные данные пациентов, номера банковских карт. Обработка персональных медицинских данных является важным аспектом в сфере здравоохранения. Защита конфиденциальности этих данных является не только юридическим требованием, но и этической обязанностью организаций, работающих с медицинской информацией. Для обеспечения достаточной безопасности персональных медицинских данных необходимо осуществлять организационные и технические мероприятия. В данной статье будет рассмотрен анализ существующих организационных и технических мероприятий, а также предложения по их усовершенствованию [4, 11].В 2022 году здравоохранение стало самой атакуемой сферой, доля медицинских учреждений в статистике жертв преступников постоянно увеличивалась: с 8 % в 1 квартале до 12 % в конце года. По данным исследования PositiveTechnologies, преступники чаще всего похищали персональные данные клиентов и сотрудников, а именно 39 % от общей доли похищенных данных. Помимо персональных данных, также хищению подвергалась и медицинская информация, общая доля похищенной информации которой составляла 36 % [2, 6].В медицинских организациях похищенную информацию могут использовать для различных целей:1. Финансовые. Использование данной информации в фальсификационных банковских действиях.2. Идентификационные. Использование украденной информации для получения поддельных удостоверениях личности. Помимо этого, использовать данную информацию для взлома учетных записей пациентов на различных онлайн платформах.3. Медицинские. Использование медицинской информации для получения медицинских услуг или препаратов на имя другого человека, оставляя счета и ответственность за оплату на пострадавшего.4. Вымогательские. Шантаж медицинской организации или пациента для получения выкупа.5. Социальный инжиниринг. Использование данных для получения дополнительных данных и доступа к системе у пациента.6. Сбор персональных данных. Сбор информации для спама и мошеннических сообщений [8, 9].Кроме нормативно-правовых актов (НПА) регулятора Министерство здравоохранения выпустило внутренние НПА, в которых содержатся требования к государственным информационным системам в сфере здравоохранения (все информационные системы персональных данных (ИСПДн) медицинского назначения являются таковыми) и методические рекомендации по защите медицинских информационных систем (МИС).Согласно этим рекомендациям, оценочные мероприятия при определении актуальных угроз безопасности предлагается производить экспертным методом, что не всегда возможно и приемлемо для ИСПДн медицинского назначения. Сотрудники, привлекаемые в качестве экспертов, могут не обладать необходимой квалификацией при оценке угроз, также оценка может иметь субъективный характер. Согласно статистическим данным в сфере здравоохранения только в 29 % случаев ИС их защитой занимаются профильные специалисты, а выделенные отделы информационной безопасности существуют только в 10 % медицинских организаций. Особенно эти проблемы актуальны при создании ИСПДн медицинского назначения для отдельных медицинских учреждений [3, 5].Обработка персональных медицинских данных является важным аспектом в сфере здравоохранения. Защита конфиденциальности этих данных является не только юридическим требованием, но и этической обязанностью организаций, работающих с медицинской информацией. Для обеспечения достаточной защищенности персональных медицинских данных необходимо осуществлять организационные и технические мероприятия, но для этого необходимо оценивать эффективность защиты персональных данных в различных организациях, с помощью которого можно рассчитать показатель эффективности наборов контрмер для снижения риска утечки персональных данных [6, 10]. Алгоритм оценки эффективности мер и средств защиты персональных данных Разработанный алгоритм оценки эффективности мер и средств защиты персональных данных в медицинских организациях предложен на рис. 1. Рис. 1. Алгоритм оценки эффективности мер защиты персональных данныхFig. 1. Algorithm for evaluating the effectiveness of personal data protection measures Главным преимуществом предложенного алгоритма является возможность оценки уровня остаточного риска от практической реализации разработанного набора контрмер и расчета степени влияния конкретных средств и методов защиты на общую защищенность организации сферы здравоохранения. Для определения оценки риска синтезирован алгоритм оценки ущерба от нарушения свойств защищенности, который базируется на экспертно-статистической оценке, особенностью которого является использование метода прогнозного графа. Алгоритм позволяет определять качественную и количественную оценку возможного ущерба персональным данным.1. Определение и оценка персональных данных. На начальном этапе оценки эффективности средств защиты персональных данных в рамках определенной организации сферы здравоохранения, необходимо выполнить анализ максимального финансового ущерба от реализации угроз целостности, доступности и конфиденциальности (размер штрафов, вызванных нарушением требований, действующих нормативно-правовых актов, а также стоимость восстановления информации при появлении деструктивных последствий. В результате выполнения данного этапа должны быть сформированы расчетные показатели, стоимости утечки персональных данных не только клиентов (пациентов), но и сотрудников данного учреждения. Данные показатели должны обрабатываться на объекте с учетом суммы наносимого ущерба, стоимости их восстановления и ряда других показателей.2. Анализ и формирование групп угроз безопасности информации. На втором этапе нужно определить актуальные угрозы и выявить вероятность реализации угрозы. Помимо этого, в рамках работы на данном этапе должны быть сформированы группы угроз, чтобы определить степень вариативности реализации угроз.При анализе угроз из состава банка данных угроз (БДУ) ФСТЭК необходимо производить систематизацию перечисленных угроз. Подробная систематизация выполнена в работе [4]. Анализ результатов работы и ряда других источников позволил ранжировать данные о частоте возникновения различных угроз безопасности информации (УБИ) для медицинских учреждений (табл. 1). Таблица 1Наиболее частые УБИ в медицинских учрежденияхTable 1Most common UBIs in health care settingsНаименование УБИЧастота угрозы в %Частота угрозы средняя в %УБИ.006Угроза внедрения кода или данных52…9272УБИ.030Угроза использования информации идентификации/аутентификации, заданной по умолчанию50…8769УБИ.050Угроза неверного определения формата входных данных, поступающих в хранилище больших данных48…6959УБИ.052Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения48…5952УБИ.057Угроза неконтролируемого копирования данных внутри хранилища больших данных46…8767УБИ.063Угроза некорректного использования функционала программного и аппаратного обеспечения50…8970УБИ.067Угроза неправомерного ознакомления с информацией62…10081УБИ.088Угрозы несанкционированного копирования данных46…9269УБИ.135Угроза потери и утечки данных, обрабатываемых в облаке48…6959УБИ.138Угроза потери управления собственной инфраструктурой при переносе её в облако48…5952УБИ.140Угроза приведения системы в состояние «отказ в обслуживании» (DOS)46…8767УБИ.156Угроза утраты носителей информации62…10081УБИ.164Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре67…8375УБИ.167Угроза заражения компьютера при посещении неблагонадежных сайтов50…8769УБИ.168Угроза «кражи» учетной записи доступа к сетевым сервисам48…6959УБИ.170Угроза неправомерного шифрования информации38…6947УБИ.172Угроза распространения «почтовых червей»46…8767УБИ.175Угроза «фишинга»62…10081УБИ.179Угроза несанкционированной модификации защищаемой информации67…8375УБИ.197Угроза хищения аутентификационной информации из временных файлов cookie67…10083 3. Определение параметров риска для каждой группы угроз. Осуществление дифференциации групп угроз и выделение критичной группы угроз на основании параметров: ki – ответ на i вопрос опросника, ai – коэффициент важности, определяющийся экспертным методом и удовлетворяющий условию (1).i=1nai=1 . (1)4. Оценка вероятности реализации выявленных угроз. Оценка вероятности реализации выявленных угроз проводится экспертным методом (2).Vry = i=1nki·ai . (2)Определение вероятности реализации определенной угрозы рассмотрим на примере угрозы УБИ.067«Угроза неправомерного ознакомления с информацией» (табл. 2). Таблица 2Пример определения возможности реализации УБИ. 067Table 2An example of determining the possibility of implementing UBI. 067№ угрозыНазвание угрозы безопасности информацииУязвимостиkiКоэффициент важности aiВозможность реализации угрозы VrУБИ.067Угроза неправомерного ознакомления с информациейНе назначен администратор ИБ / управление ИБ для регулярной проверки логов (системных событий)00,40,4Установлена многофакторная аутентификации для DNS-сервера10,4Переговорные не проходили аттестацию (проходили более 5 лет назад)00,2 Vr на пример УБИ.067 вычисляется следующим образом:Vr = (0·0,4) + (1·0,4) + (0·0,2) = 0,4.5. Определение средней вероятности реализации угроз. Следующим этапом является определение среднего значения возможности реализации угроз:Vry = Vr1+Vr2+…+VrnNy·100 (3)где Vry – среднее значение возможности реализации угроз; Ny – общее количество угроз, выявленных для данной организации.В заключении данного этапа необходимо перевести количественный средний показатель возможности реализации угрозы (Vry) в качественный показатель возможности возникновения угрозы (ПВВУ): 0…40 (Vry) – показатель «низкий» (ПВВУ); 41…70 (Vry) – показатель «средний» (ПВВУ); 71…100(Vry) – показатель «высокий» (ПВВУ).Приведенное преобразование от количественного показателя к качественному продиктовано необходимостью расчета риска в соответствии с матрицей, представленной в табл. 3. В матрице все значения для определения уровня эффективности мер защиты информации определены по качественным показателям. В рамках данного этапа должна сформироваться группа угроз и показатель вероятности реализации угроз безопасности персональных данных. Таким образом, это позволяет определить необходимые контрмеры, для минимизации этого риска.6. Определение коэффициента риска информационной безопасности. На шестом этапе проводится оценка степени критичности групп угроз. Этот показатель можно рассчитать с помощью значения коэффициента риска (4). Kd = VryNy , (4)где Kd – коэффициент риска; b – последствия от реализации угрозы (ценность актива); Ny – количество определенных угроз.7. Оценка уровня риска информационной безопасности. В рамках данного этапа должен быть определен показатель уровня риска ИБ. Показатель уровня риска информационной безопасности «Yr» – определяет будет ли реализована угроза в данном медицинском учреждении с учетом вероятности реализации угрозы и уровня коэффициента риска информационной безопасности. Данное значение рассчитывается по формуле (5).Yr = Vry+Kd2 (5)где Yr – уровень риска информационной безопасности, 0 ≤ Yr ≤ 50; Vry – возможность реализации угрозы, 0 ≤ Vry ≤ 100; Kd – коэффициент риска, 0 ≤ Kd ≤ 10.После расчета Yr будут получены количественные оценки. Чтобы понять их значение, переведем данный результат в качественные с помощью шкалы оценок. Данная шкала оценивания выглядит следующим образом: Если 0 ≤ Yr ≤ 20, то уровень риска является низким;Если 20 < Yr ≤ 30, то уровень риска является средним;Если 30 < Yr ≤ 40, то уровень риска является высоким;Если 40 < Yr ≤ 50, то уровень риска является очень высоким.8. Подведение итоговой оценки эффективности защиты персональных данных. На восьмом этапе определяется итоговая оценка эффективности защиты персональных данных. Оценка эффективности формируется благодаря сравнительному анализу, который был получен в результате просчета модели показателя уровня риска и рассчитанной вероятности реализации угроз. Уровень эффективности мер защиты информации производится согласно табл. 3.Таблица 3Уровень эффективности мер защиты информацииTable 3Level of effectiveness of information security measuresУровень риска ИБ (Yr)Возможность реализации угроз(Vry)НизкийСреднийВысокийНизкий012Средний123Высокий234Очень высокий345 Данная шкала оценивания выглядит следующим образом: Если 0…1, то уровень эффективности мер защиты конфиденциальной информации является достаточно высокой;Если 2…3, то уровень эффективности мер защиты конфиденциальной информации является средней;Если 4…5, то уровень эффективности мер защиты конфиденциальной информации является очень низкой. Результаты Особенностью разработанного алгоритма является возможность оценки уровня эффективности мер защиты конфиденциальной информации не только в медицинских, но и в других организациях. Для расчета оценки эффективности мер защиты разработан алгоритм оценки показателя вероятности реализации угроз, базирующийся на экспертно-статистической оценке. Данная математическая модель позволит рассчитать оптимальный показатель уровня эффективности мер защиты конфиденциальной информации. Заключение Разработанный алгоритм можно использовать для оценки эффективности защиты персональных данных в различных организациях. Исходя из этого, данное исследование приведет к повышению уровня оценки эффективности мер защиты конфиденциальной информации в медицинских организациях, что, в свою очередь, приведет к повышению эффективности работы сферы здравоохранения.