За допомогою проєкту USAID розроблено рекомендації щодо кіберзахисту

3 січня 2023
756
Резюме

МОЗ із залученням проєкту USAID «Підтримка реформи охорони здоров’я» розроблено настанови з кіберзахисту закладів охорони здоров’я.

Для збереження конфіденційності персональної медичної інформації та персональних даних пацієнтів Міністерством охорони здоров’я України (МОЗ) із залученням проєкту Агентства США з міжнародного розвитку (USAID) «Підтримка реформи охорони здоров’я» розроблено настанови з кіберзахисту закладів охорони здоров’я. Скорочені рекомендації з них МОЗ опублікувало на своєму сайті.

Зокрема, йдеться про наступні технічні та організаційні заходи, які застосовують для забезпечення належного рівня інформаційної безпеки:

  • регулярні навчання всього персоналу, щонайменше раз на рік;
  • шифрування даних з обмеженим доступом, при цьому алгоритми та засоби, які використовуються для шифрування, мають відповідати вимогам, що встановлені Державною службою спеціального зв’язку та захисту інформації України;
  • ідентифікація користувачів інформаційних систем (за допомогою унікального облікового запису, логіну та паролю для входу в систему);
  • контроль доступу до інформації, що включає як внутрішні (паролі, шифрування даних, таблиці контролю доступу, налаштування інтерфейсів користувача тощо), так і зовнішні засоби захисту (пристрої захисту портів, брандмауери, автентифікацію на основі хоста тощо);
  • цілісність даних пацієнтів (попередження несанкціонованої зміни чи знищення, автоматична перевірка щодо помилок під час обробки даних пацієнтів, створення резервних копій та їх регулярна перевірка);
  • доступність медичної інформації (процедури екстреного доступу, які використовуються у випадку надзвичайної ситуації, доступ до таємних даних аутентифікації, такі як логін та пароль, для використання надзвичайних облікових записів).

Додатково закладам охорони здоров’я необхідно подбати про:

  • антивірусний захист;
  • використання на внутрішніх комп’ютерах і мережах закладу лише дозволеного програмного забезпечення.

Крім того, варто також дотримуватися таких рекомендацій щодо фізичної безпеки закладу:

  • вхід до будівлі в неробочий час повинен бути зачинений та контролюватися охоронною сигналізацією;
  • потрібно періодично змінювати код безпеки, який надавати тільки конкретним працівникам;
  • всі особи, які заходять/виходять до/з будівлі, мають фіксуватися 24 год на добу 365 днів на рік;
  • вхідні двері в зону прийому пацієнтів та відвідувачів мають завжди замикатися у неробочий час і відмикатися у робочі години закладу;
  • будь-яка невизначена особа, яка перебуває в службових приміщеннях закладу, повинна негайно виводитися із службової зони персоналом, що її побачив, та супроводжуватися до зони рецепції;
  • серверне та комунікаційне обладнання має бути розташовано в приміщеннях з обмеженим доступом, куди не мають доступ відвідувачі;
  • обладнання має встановлюватися в спеціалізованих шафах, які зачиняються під час роботи;
  • робочі станції, ноутбуки та інше цифрове обладнання, яке знаходиться в зоні, дозволеній для перебування відвідувачів, повинні бути облаштовані спеціальними комп’ютерними замками для фіксації до встановленого місця розташування, що унеможливлюватиме їх винесення або переміщення від встановленого місця розташування;
  • серверне та мережеве обладнання повинно бути забезпечене основним та резервним безперебійним живленням;
  • усі зовнішні вікна будівлі повинні мати датчики розбиття скла, що гарантуватиме негайне повідомлення до охоронної служби;
  • протипожежний захист будівлі повинен бути встановлений відповідно до вимог Державної служби України з надзвичайних ситуацій;
  • заклад потрібно обладнати системою безперебійного живлення та дизель-генератором.

Дотримання цих вимог дозволить убезпечити працівників медичного закладу і його пацієнтів, наголошує МОЗ.

У свою чергу, Національний координаційний центр кібербезпеки України у випуску «CyberDigest» за грудень 2022 р. повідомив про хвилю кібератак проти французьких лікарень, під час яких злочинці блокували критично важливі ІТ-мережі та дані закладу, а потім вимагали викуп за їх звільнення. У відповідь на небезпеку міністри внутрішніх справ, охорони здоров’я та цифрових послуг Франції 21 грудня оголосили про запуск навчальної програми для французьких лікарень. «Мета полягає в тому, щоб 100% найважливіших закладів охорони здоров’я пройшли ці навчання до травня 2023 р.», — зазначено у спільній заяві.

Долучайтеся до нас у Viber-спільноті, Telegram-каналі, Instagram, на сторінці Facebook, а також Twitter, щоб першими отримувати найсвіжіші та найактуальніші новини зі світу медицини.

Редакція журналу «Український медичний часопис» за матеріалами moz.gov.ua; www.rnbo.gov.ua