Доклад для конференции Секреты Медицинского Бизнеса от 8 июня 2018. www.facebook.com/events/412110122582321/?active_tab=discussion Анонс: www.youtube.com/watch?v=f8BG1G6DJeQ 3 мин: Раньше не было симбиоза Человека и Машины. И с этим есть проблема. Значительная часть людей отказывается доверять свое сокровенное Машинам, даже ценой своего здоровья. Почему так происходит? Сможем ли мы доверить Машинам самое сокровенное? Ведь без этого они не будут работать правильно! И что значит доверять Машине? Почему сейчас доверие к Машинам не может быть высоким? И чем мы тут можем помочь? 😉 -- Takeaways -- 1. Качественный сервис - обязательно *безопасный* сервис. 2. Безопасность - ключевой дифференциатор будущего. 3. Отставание ИТ, ИИ, IoT, Big Data, etc от Медицины в выстраивании Доверия Ключевые рекомендации по обеспечению безопасности для руководителей высшего звена умной клиники «smart hospital» будущего. Что дает «умность»? Какие несет с собой риски и угрозы? Сценарии атак, имеющих особое значение. Как обеспечить безопасность и выживаемость такой организации? UPD: Video 30 мин https://www.youtube.com/watch?v=hG-k3gA5Ldo

1. Валерий
Андреевич
Боронин
Умные
Клиники и
Безопасность

2. 1. Открыл и развил в Новосибирске R&D
центры исследований и разработки для
компаний Лаборатория Касперского (2009)
и Positive Technologies (2015)
2. Работал CTO небольшой компании (50+
чел), Директором по исследованиям
большой (2500+) и пр.
3. ESMT Европейская школа менеджмента и
технологий Менеджмент технологий и
инноваций
4. 3 патента в США/ЕС, 15+ публикаций в СМИ
5. Преподаю в Высшей школе Бизнеса НГУЭУ
Валерий Боронин, linkedin.com/in/boronin
Разработка ПО и Безопасность 20 лет
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 2

3. • В медицине – чтобы она
работала, пациент обязан
довериться своему доктору
• Но пока мы не почувствуем
себя в безопасности – это
невозможно
• Без доверия не получим
помощи
📝Клятве Гиппократа 2000+ лет
Качественный сервис – обязательно безопасный!

4. Раньше Сейчас
Умная клиника – как мы ее себе представляем
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 4

5. ENISA
• www.enisa.europa.eu
европейское агентство по
сетевой и информационной
безопасности
• 2017: Евросоюз превратит ENISA
в общеевропейский центр по
защите киберпространства
Европы
• Cyber security and resilience for
Smart Hospitals — ENISA
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 5

6. «Умная клиника опирается на
• оптимизированные и
автоматизированные
процессы,
• построенные в среде
ИКТ-взаимосвязанных
активов, в частности
• на основе IoT,
• для улучшения
безопасности пациента,
• а также внедрения новых возможностей»
Доступность и использование осмысленно,
целенаправленно взаимосвязанных систем и устройств,
делают Клинику умнее (с) ENISA
ENISA – Умная больничная среда и умная клиника

7. • Взаимосвязанные клинические
информационные системы
• Сетевые медицинские
устройства
• Сетевое оборудование
• Системы дистанционного
обслуживания
• Данные
• Мобильные клиентские
устройства
• Системы идентификации
• Здания и сооружения
ENISA Активы, по критичности
📝в идеальном варианте управление осуществляют
как люди, так и роботы

8. IoT и Робот размером в целый мир
📝Становится тем мощнее и умнее, чем больше соединяем.
И становится опаснее.

9. Как мои ворота подписались на платные сервисы МТС 
50 миллиардов IoT устройств в Сети вокруг

10. Почему робот столь небезопасен?
https://www.slideshare.net/ValeryBoronin/2018-94094311

11. 1. Производство ПО – очень
молодая индустрия.
2. Большинство ПО плохо
написано и небезопасно.
3. Этому не учат, качественный
код не поощряется, в отличие
от дешевого и быстрого.
4. Потребители не требуют
безопасного кода.
5. Уязвимости и проблемы с
безопасностью в т.ч. в железе.
Качество – не то,
что можно
поправить в конце
Безопасность –
это как качество,
ключевая его
характеристика
ПО дыряво и ненадежно

12. Медицина? Высокие технологии?
Грязные секреты индустрии 
📝У Медицины есть принципиальные различия с тем как развиваются
Интернет вещей (IoT), Искусственный Интеллект (ИИ) и Большие Данные.

13. Высокие технологии! Медицина
Грязные секреты индустрии 
📝Разработка ПО, ИИ, IoT в 2018 = Медицина ~200 (!) лет назад

14. • Право адвоката не
разглашать информацию
от клиента
• Тайна нотариальных
действий, завещания,
страхования, банковская…
• Этический кодекс врача,
врачебная и медицинская
тайны
📝тысячи лет строят доверие
Профессии, не работающие без доверия

15. США:
• 880 000 HR брокеров и маркетинговых компаний
• 55 000 аптек
• 33 штата продают отдают данные
Интернет-гиганты выросли на торговле данными
Где оседают медицинские данные?

16. • Люди не доверяют
свои самые сокровенные
данные Машине
• 1 из 8 американцев утаивает
критически важную
информацию и не лечится
due privacy concerns
• Избегают визитов к врачу,
тесты, просят докторов
изменить диагнозы
• Машинам нужны все данные
• 📝Контроля медицинских
данных больше нет ни у
людей, ни у врачей
Проблема

17. Преувеличиваем
Редкие, эффектные
авиакатастрофы
Незнакомые
Похищение детей
Олицетворенные
Бен-Ладен
Неподконтрольные
Терроризм
Недооцениваем
Частые, повседневные
ДТП
Знакомые
Родственники / знакомые
Обезличенные
...
Подконтрольные
…
Выгоды от Машин. Люди и Риски.
📝ИИ видит аномалии раньше, самообучается вместе с
процессом, что позволяет не тратить время и $ консультантам

18. • Доступность всей необходимой информации
по мере необходимости
• Доступ к внутренней и
внешней экспертизе
• Эффективные хирургические
и диагностические процессы
• С низкой частотой ошибок и экономичными затратами
ENISA – Умная клиника – Цели
📝Всеобъемлющая цель - обеспечить
оптимальный уход за пациентами, используя
самые передовые ИКТ

19. • Физическая безопасность практически отсутствует
• Мед оборудование создавалось без безопасности
• Долгий жизненный цикл для специализированного медоборудования
• Сбои на стыке legacy и IoT
• Встроенные ОС и приложения без антималварной защиты, не готовы к
работе во враждебной среде, т.е. не защищенные
• Зависимости от IoT устройств черных ящиков, усложняет своевременную
реакцию на инциденты и увеличивает время восстановления
• Неясно как сказать пользователю, что возникла проблема безопасности
• Часто бОльший вред, риск жизни и здоровью в случае “Fail Closed” vs “Fail
Opened”
• BYOD, персональные устройства, о которых ИТ не в курсе и не тестирует на
соответствие
• Слишком много и быстро приносят люди устройств, ИТ и ИБ не успевают
ENISA – откуда уязвимости – изучай offline
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 19

20. 1. Человеческие
ошибки
2. Вредоносные
действия
3. Системные сбои
4. Сбой цепочки
поставок
5. Природные явления
ENISA – Угрозы, по вероятности
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 20

21. 1. Инсайдерские
угрозы
злонамеренные
2. Пациенты и гости
злонамеренные
3. Удаленные
нападающие aka
хакеры + IoT
4. Другие причины, в
т.ч. автономные
устройства
ENISA – модель угроз, по вероятности

22. 1. Социальная инженерия
2. Программы-Вымогатели
3. Вмешательство в
устройства (tampering)
4. Кража оборудования
5. Распределенные атаки на
отказ в обслуживании
(DDoS)
ENISA – Атаки – Top-5

23. Через человека – взаимодействия между людьми
• взлом через человеческие характеристики,
такие как доверие, страх, готовность помочь
• Пример: поплакаться на плече или подслушать
Компьютерная – с помощью тех средств
• Фишинговые сайты, рассылки для целевых
атак
• подделка адреса отправителей,
регистрируют домены, похожие на
доверенные
• взламывают контрагентов, чтобы отправлять
письма от их имен в обход спам-фильтров
Каждая вторая успешная атака на организацию,
• была проведена через скомпрометированный
«ранее надежный» источник (с) PT
Социальная инженерия - взлом людей
📝 Однозначно ‒ лидирует по действенности

24. • Тренд 2018:
программы-вымогатели
на подъеме, особенно
в медицине
• #NotPetya, #WannaCry
• C вирусами-
шифровальщиками
столкнулась
каждая десятая
организация © PT
RansomWare

25. Вмешательство в медицинские устройства
• оставили без пароля вход на основной сервер
• утекли данные >6 миллионов пользователей
• и данные профиля, в т.ч. данные о здоровье,
включая употребление алкоголя, частоту
курения, принятие лекарств, наличие травм
• в ряде случаев еще и полные данные кредитных
карт, включая код CVC
• Кто входил через Facebook, отдал доступ
• Позволяли наблюдать в реальном времени
• На сообщение об уязвимости не откликнулись
ни разработчики, ни их инвесторы
• В течение недели вход на сервер запаролили
• 25 мая 2018 включился GDPR
История PumpUp

26. Рекомендации ENISA – изучай offline
https://www.enisa.europa.eu/publications/cyber-security-
and-resilience-for-smart-hospitals

27. 1. Укажите роли, уточните их права и обязанности
2. Создайте политики безопасности и процедуры
3. Программы обучения и повышения осведомленности
4. Определите риски, активы и угрозы
5. Разработайте план действий в чрезвычайных
ситуациях
6. Перенимайте и переходите на стандарты
7. Выполняйте аудит безопасности почаще
8. Проводите оценку (assessment) безопасности
9. Согласуйте договорные положения с производителями
ENISA – хорошие организационные практики
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 27

28. • Внедрите механизмы обнаружения и предотвращения
вторжений
• Обеспечьте динамическую сегментацию сети и
использование брандмауэров
• Запускайте ПО для защиты от вредоносных программ
• Регулярно выполняйте резервное копирование
• Конфигурация и управление активами
• Применяйте процедуры обновления и исправления
• Обеспечьте контроль доступа
• Обеспечьте применение шифрования данных
• Классифицируйте данные, где, что в хоз-ве самое ценное?
• Защита удаленных и мобильных систем
ENISA – хорошие практики – технические меры
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 28

29. 1. Обучение персонала
основам ИБ и повышение
осведомленности по
вопросам ИБ
2. Своевременная установка
обновлений безопасности, в
т.ч. на прикладное ПО
3. Использование
современных средств
защиты
4. Полноценное
расследование уже
произошедших инцидентов
Повышаем защищенность IT-инфраструктуры

30. 1. Отсутствие контроля за персональными устройствами BYOD
2. Необходимо ПО для автоматической инвентаризации активов
3. Отсутствие списка авторизованного ПО, с версиями. И его контроля
4. Необходимо обеспечить безопасные конфигурации и
5. Клиентские сертификаты для проверки и аутентификации систем
6. Нет учебных и информационно-просветительских программ
7. Удаленное администрирование по защищенным каналам
8. Не успеваем за ИТ стандартизовать подключать устройства и ПО
9. Критическая разница в затратах – дороже защищать, чем выхлоп
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 30
ENISA – проверить по списку в offline

31. 1. Внедрение безопасности в
существующие системы
обеспечения качества у
производителей
2. Привлекайте к тестированию
третьих лиц, как можно
раньше
3. Подумайте о применении
регулирования медицинских
устройств еще и к важнейшим
компонентам инфраструктуры
4. Поддержите адаптацию стандартов ИБ к
здравоохранению
Рекомендации ENISA для представителей отрасли
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 31

32. 1. Правительство должно обязать Компании
следовать практикам безопасной разработки.
– Тестирование, патчинг
– безопасные настройки по умолчанию
– Начать с тех, кто поставляет государству
2. Ответственность, если не смогли обеспечить
даже такой минимум.
3. Повышение качества управления R&D +
карьерный лифт. Обучение, повышение
осведомленности в ИБ.
Чем может помочь государство / регулятор?
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 32

33. 1. Создайте эффективное
управление ИБ
2. Внедряйте современные
меры безопасности
3. Предоставьте конкретные
требования к безопасности
для компонентов IoT
4. Создайте механизм обмена
ИБ-информацией
5. Делайте оценки риска
6. Делайте пентесты и
независимый аудит
Рекомендации ENISA - для первых лиц
8 июня 2018, Новосибирск Валерий Боронин – Секреты Мед Бизнеса 33

34. 1. Безопасность – дело
каждого!
2. Безопасность – часть
целого!
3. Встраивать ее в культуру
и привычки
4. Упрощать безопасность
5. Планировать изначально
6. Человек – слабое звено!
Рекомендации В. А. Боронина

35. Валерий
Андреевич
Боронин
Спасибо!
Вопросы?

36. https://www.slideshare.net/ValeryBoronin/2018-94094311
Больше по теме