CASB для рішень в медицині
Загальні відомості та проблеми, пов’язані з хмарною безпекою у медицині
Охорона здоров’я — це досить делікатна область зі своїми нюансами та особливостями. І хоча постачальники хмарних послуг постійно підвищують безпеку своїх систем, медичні організації повинні вживати власних заходів щодо забезпечення безпеки даних та дотримання нормативних вимог.
Можна виділити кілька ключових проблем, пов’язаних із хмарною безпекою в медицині:
- Складні хмарні середовища. Існують різні хмарні середовища зі своїми особливостями, і кожне може призвести до різних проблем, пов’язаних із кібербезпекою.
- Застаріла інфраструктура. Поєднання застарілої інфраструктури з сучасними хмарними рішеннями може призводити до проблем із сумісністю та, відповідно, проблем у безпеці.
- Дотримання нормативних вимог. Медицина — галузь, що строго регулюється, проте навіть дотримання правил не гарантує забезпечення безпеки даних. Тому організаціям слід також стежити за розвитком ІТ-технологій.
- Проблеми, пов’язані із третіми сторонами. Використання великої кількості пристроїв, програмного забезпечення та послуг сторонніх постачальників також створює певні проблеми.
Також слід зазначити, що існують різні моделі хмарних послуг, які пропонуються для медичних організацій:
- Програмне забезпечення як послуга (SaaS) — це програмні продукти, які користувачі можуть використовувати через інтернет без встановлення на свої комп’ютери та інші пристрої. Це дуже спрощує роботу співробітників, оскільки програмне забезпечення вже налаштоване і готове до роботи в системах організації.
- Інфраструктура як послуга (IaaS) — провайдер надає клієнту обчислювальні ресурси, які необхідні організації: мережі, сховища, сервери тощо, у вигляді цифрової пропозиції.
- Платформа як послуга (PaaS) — це все те саме, що й IaaS, але також із виділеним робочим хмарним середовищем, яке призначене для розгортання додатків. Це рішення дозволяє заощаджувати ресурси, якщо всі технічні моменти треба було б реалізовувати всередині організації.
Варто зазначити, що кожен тип хмарного сервісу вимагає унікального рішення щодо забезпечення хмарної безпеки у медичних організаціях. Однак, оскільки 2 і 3 моделі відносяться, в більшій мірі, до цілих медичних центрів, і кожен з цих випадків повинен розглядатися індивідуально і більш комплексно, далі ми розглянемо 1-у модель як найбільш загальну.
Переваги впровадження CASB для медичних організацій, які використовують SaaS
Cloud Access Security Broker (CASB) — це локальне або хмарне програмне забезпечення або пристрій, який відстежує взаємодію між користувачами мережі та постачальником хмарних послуг (CSP). Переваги впровадження CASB для медичних організацій:
Краща видимість
Більшість CSP надають мало можливостей для аудиту трафіку та даних, що переміщуються між організацією та хмарою. CASB дозволяє побачити, які хмарні сервіси використовуються користувачами, у тому числі інформацію про самих користувачів, їх місцезнаходження та інформацію про пристрій.
Виявлення загроз
Медичні організації повинні регулювати доступ до важливих даних з хмарних служб і виявляти витік даних або користувачів, які намагаються отримати доступ до конфіденційної інформації. CASB може враховувати моделі поведінки користувачів, і будь-яке відхилення від норми буде позначене як аномалія.
Усунення шкідливого ПЗ
Одна із стандартних можливостей — виявлення та усунення шкідливих програм, програм-вимагачів та інших загроз. В критичній ситуації CASB зупиняє перебіг даних між користувачем та хмарою, тим самим блокуючи дії зловмисників.
Безпека даних
CASB може перевіряти конфіденційну інформацію, яка переміщується з хмари та до неї, а також між хмарними службами та всередині хмари. Таким чином CASB у медичній організації може перешкодити витоку інформації
Контроль доступу
Сучасні CASB мають вбудовані функції контролю доступу користувачів і можуть регулювати доступ до додатків на основі таких факторів як роль, пристрій, географія, час входу і т. п.
Відповідність нормативним вимогам
Відповідність нормативним вимогам в кібербезпеці — один із найважливіших аспектів, який слід враховувати медичним організаціям під час використання хмарних сервісів. CASB дозволяє правильно організувати хмарну безпеку, і надає певні можливості для управління потоком інформації, моніторингу дій та захисту даних для забезпечення дотримання правил конфіденційності та комплаєнсу.
Відповідність GDPR, NIS та іншим європейським нормам
На шляху до Євросоюзу, Україна має імплементувати багато європейських норм, у тому числі й ті, що стосуються охорони здоров’я та захисту персональних даних. У 2021 році Європейське агентство з мережевої та інформаційної безпеки (ENISA) випустило звіт «Хмарна безпека в медицині» (Cloud Security for Healthcare Services). Загалом у звіті запропоновано 17 заходів безпеки, у тому числі:
- визначення правових вимог у галузі кібербезпеки та захисту даних;
- проведення оцінки ризиків та оцінки впливу на захист даних;
- встановлення процесів управління інцидентами безпеки та захисту даних та реагування на них;
- забезпечення безперервності бізнесу та аварійних ситуацій;
- створення планів забезпечення безперервності бізнесу та аварійного відновлення, а також
- забезпечення шифрування даних у стані спокою та в дорозі.
Таким чином, цей документ можна використовувати як рекомендаційний лист з контрольним списком перед придбанням послуг хмарних сервісів у галузі охорони здоров’я.
Що таке GDPR та як дотримуватися вимог Регламенту читайте в нашій окремій статті.
Хмарна безпека медичних організацій від Forcepoint
CASB від Forcepoint надає широкий спектр можливостей для ідентифікації та управління потоком даних, моніторингу високоризикових дій, а також виявлення тіньових додатків для забезпечення більшої безпеки IT-системи медичного закладу, а також відповідності вимогам конфіденційності та комплаєнсу.
Якщо ви маєте питання, пов’язані з впровадженням CASB в інфраструктуру вашої медичної організації, зв’яжіться з експертом ESKA. Ми працюємо з перевіреними вендорами в галузі кібербезпеки, і готові забезпечити вам найкращі умови на ринку розгортання систем хмарної безпеки. Звертайтесь до нас вже сьогодні, або залиште свої контактні дані у спеціальній формі, і ми вам передзвонимо.