Система глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) поддерживает разбор и анализ сетевого протокола DICOM, который используется в современном медицинском оборудовании, включая томографы, рентгеновские аппараты, ультразвуковые сканеры для УЗИ. Теперь PT ISIM выявляет ошибки конфигурации оборудования и следы присутствия злоумышленников в сетях передачи данных медицинских учреждений, сообщила компания.
Digital Imaging and Communication in Medicine (DICOM) — медицинский отраслевой стандарт создания, обработки, хранения, передачи и визуализации цифровых медицинских изображений и документов обследований пациентов. Его поддерживают крупнейшие мировые производители медицинского оборудования и техники, в том числе Acuson, General Electric, Philips, Siemens и Toshiba. Сетевой протокол DICOM используется в коммуникационных сетях и помогает различным устройствам (включая терминалы и хранилища) взаимодействовать друг с другом. Помимо графических данных, DICOM-файлы содержат специальные атрибуты, позволяющие сопоставить данные конкретного пациента с изображением. Протокол, в свою очередь, облегчает поиск данных о пациентах в сети медучреждения или на конкретном диагностическом оборудовании.
По данным Positive Technologies, медицина уже более четырех лет входит в тройку приоритетных целей для злоумышленников. Например, в I квартале 2022 года медучреждения заняли второе место в мире по количеству атак (11%), уступив лишь госорганам (16%). Главные киберугрозы для организаций из этой отрасли — кража конфиденциальной информации и шифрование файлов с последующей остановкой работы медицинских систем и оборудования. За первые три месяца этого года медицинские данные составили 15% от всей похищенной киберпреступниками информации.
«Отсутствие технических средств контроля и мониторинга сетевого обмена — основная причина успешности кибератак на медучреждения. В таких условиях злоумышленники могут свободно развивать атаку и оставаться незамеченными в инфраструктуре, — комментирует Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies. — На данный момент PT ISIM — единственное в России специализированное NTA-решение, учитывающее специфику медицинских информационных систем. Система глубокого анализа трафика Positive Technologies обнаруживает передачу подозрительных и вредоносных файлов, выявляет инциденты в сетях медучреждений, а также позволяет проводить ретроспективный анализ сетевых событий. Совместное использование PT ISIM с системами класса EDR (endpoint detection and response), SIEM (security information and event management) и Vulnerability Management позволит качественно повысить степень защищенности медицинских учреждений и сделать неприемлемые для них события невозможными».
Необходимость в продукте с техническими возможностями, позволяющими детектировать протокол DICOM, посредством которого передаются критически важные файлы пациентов и медицинские данные, подчеркивают в Национальном медицинском исследовательском центре сердечно-сосудистой хирургии имени А.Н. Бакулева – передовом учреждении России, которое одним из первых внедряет цифровые технологии для лечения пациентов.
«Быстро принимать решения и назначать необходимое лечение очень важно. Результаты диагностических исследований пациентов сейчас почти мгновенно доступны специалистам в любом медицинском учреждении страны, — говорит Дмитрий Юшков, начальник службы обеспечения информационной безопасности автоматизированных систем и контроля технологических процессов ФГБУ «НМИЦ ССХ им. А.Н. Бакулева» Минздрава России. — Равно как и доступность медицинских данных, крайне важно обеспечивать надежную работу медицинского оборудования. Сети медучреждений постоянно усложняются, политики и конфигурационные настройки оборудования динамически меняются. Обеспечить необходимый уровень защищенности клиник без специализированных инструментов мониторинга безопасности сложно, а местами уже невозможно».