Наприкінці минулого року провели першу зустріч Офісу координації розвитку електронної охорони здоров’я. Офіс як дорадчий орган профільного міністерства надаватиме рекомендації профільному міністерству щодо розвитку електронних проєктів у медичній галузі.
Під час зустрічі говорили про кібербезпеку медичних закладів. Ще до початку широкомасштабного вторгнення ворог почав вдаватися до масових кібератак на об’єкти медичної системи, а під час війни атаки стали регулярними. В таких умовах важливо забезпечити кіберзахист медичного захисту та персональної інформації про пацієнтів. МОЗ та USAID розробили настанови з кіберзахисту закладів охорони здоров’я.
Конфіденційність
Весь персонал повинен знати про чутливий характер медичних та персональних даних, утримуватись від їх розголошення. Для цього необхідно регулярно проводити навчання всього персоналу, щонайменше раз на рік.
Шифрування даних з обмеженим доступом
Зберігання та передача персональної інформації має бути в зашифрованому вигляді.
До персональної відноситься будь-яка інформація, яка може бути використана для ідентифікації особи, та медичні дані пацієнта.
Алгоритми та засоби, які використовуються для шифрування, мають відповідати вимогам Держслужби спеціального зв’язку та захисту інформації України.
Ідентифікація користувачів інформаційних систем
Кожен користувач медичних інформаційних систем повинен мати унікальний ідентифікатор (обліковий запис, логін) та пароль для входу до системи.
Контроль доступу до інформації
Інформаційні ресурси закладу захищаються шляхом використання системи контролю доступу. Система контролю доступу повинна ідентифікувати кожного користувача відповідно до його ідентифікатора і запобігати доступу та використанню інформаційних ресурсів закладу неавторизованими користувачами. Система контролю доступу включає як внутрішні засоби захисту (паролі, шифрування даних, таблиці контролю доступу, налаштування інтерфейсів користувача тощо), так і зовнішні (пристрої захисту портів, брандмауери, автентифікацію на основі хоста тощо).
Цілісність даних пацієнтів
Заклад повинен підтримувати впровадження автоматизованих систем та програмного забезпечення, для автоматичної перевірки наявності людських помилок під час обробки даних пацієнтів. Дані пацієнтів, що зберігаються у медичному закладі, повинні мати резервну копію. У разі створення резервних копій та їх зберіганні слід обов’язково проводити їхню регулярну перевірку.
Доступність медичної інформації
Медпрацівник може отримати доступ до електронної захищеної медичної інформації у разі екстреної необхідності. Рішення екстреного доступу використовується лише тоді, коли звичайні процеси виявляються недостатніми для своєчасного надання медичної допомоги.
Антивірусний захист
Антивірусне програмне забезпечення встановлюється на всьому робочому обладнанні і серверах закладу та періодично оновлюється.
Програмне забезпечення
На внутрішніх комп’ютерах і мережах закладу має використовуватися лише дозволене до використання програмне забезпечення. Встановлення програмного забезпечення має відбуватись лише уповноваженою особою (адміністратором). Усі файли і програми, які були передані в електронному вигляді на комп’ютери або мережу закладу з іншого місця, повинні бути перевірені на віруси одразу після отримання.
Також варто дотримуватись таких рекомендацій щодо фізичної безпеки закладу:
- вхід до будівлі в неробочий час повинен бути зачинений та контролюватися охоронною сигналізацією;
- потрібно періодично змінювати код безпеки, який надавати тільки конкретним працівникам;
- всі особи, які заходять/виходять до/з будівлі, мають фіксуватися 24 години на добу 365 днів на рік;
- вхідні двері до зони прийому пацієнтів та відвідувачів мають завжди замикатися у неробочий час і вимикатися у робочі години закладу;
- будь-яка невизнана особа, яка перебуває у службових приміщеннях закладу, повинна негайно виводитись зі службової зони персоналом, що її побачив, та супроводжуватись до зони рецепції;
- серверне та комунікаційне обладнання має бути розташоване у приміщеннях з обмеженим доступом, куди не мають доступу відвідувачі. Обладнання має встановлюватися у спеціалізованих шафах, які зачиняються під час роботи;
- робочі станції, ноутбуки та інше цифрове обладнання, яке знаходиться в зоні, дозволеній для перебування відвідувачів, повинні бути облаштовані спеціальними комп’ютерними замками для фіксації до встановленого місця розташування, що унеможливлюватиме їхній винос або переміщення від встановленого місця розташування;
- серверне та мережеве обладнання повинно бути забезпечене основним та резервним безперебійним живленням;
- усі зовнішні вікна будівлі повинні мати датчики розбиття скла, що гарантуватиме негайне повідомлення до охоронної служби;
- протипожежний захист будівлі повинен бути встановлений відповідно до вимог ДСНС України;
- заклад потрібно обладнати системою безперебійного живлення та дизель-генератором.
Discussion about this post