Данные, в том числе клиентские, требуют весьма серьезных мер защиты. А если они относятся к такой чувствительной сфере, как состояние здоровья, то требования к соответствующим системам повышаются, причем многократно. Всё это и стало предметом нашей беседы с директором Департамента информационных технологий сети медицинских лабораторий ИНВИТРО Павлом Литвиновым.
Intelligent Enterprise: Какую долю в общем объеме занимают клиентские данные? Как вы их собираете, обрабатываете, анализируете?
Павел Литвинов: Наша сеть объединяет лаборатории, расположенные во многих регионах России, а также в Белоруссии, Казахстане и на Украине. В основном мы работаем с физическими лицами, на которых приходится 90% общего объема заказов. В настоящий момент наши базы содержат данные о десяти миллионах пациентов, и это число регулярно растет.
Естественно, данные о клиентах формируют обширный массив и используются как для целей бизнеса, так и для научных исследований. Для этого у нас есть специально выделенные сотрудники. Они занимаются исключительно научной работой, и некоторые из них принесли небезынтересные результаты. На основе этих материалов было подготовлено несколько публикаций в профессиональных изданиях, а кроме того, наша исследовательская деятельность находит отражение в докладах на научных конференциях и симпозиумах.
И данных действительно огромное количество. Мне кажется, в России найдется не слишком много компаний, которые обладают ими в объемах, сопоставимых с нашим. Хотя все эти данные являются структурируемыми, и плотность их не очень высока. И, как правило, речь идет об информации медицинского плана.
Они распределены по нескольким системам. Всего у нас в компании эксплуатируется более пятидесяти информационных систем, однако клиентские данные обрабатываются не во всех. С этой категорией информации оперируют лабораторная, медицинская информационная система, CRM. А недавно мы запустили систему PACS, в которой хранятся данные радиологических исследований. Все эти системы связаны между собой с помощью интеграционной шины, которая помогает нам перемещать данные между ними. Но в целом применение такого подхода для России не слишком типично, и мне известно лишь несколько компаний, где пошли на внедрение аналогичного решения.
Обработка собранных данных для нужд бизнеса производится в различных аналитических системах. А вот для научных исследований пока не придумали ничего лучшего, чем мощный табличный процессор, например Microsoft Excel.
Насколько ценным активом являются клиентские данные для ИНВИТРО? Для кого они могут представлять потенциальный интерес?
Да, наши данные имеют большую потенциальную ценность. Как я уже говорил, они дают материал для научных исследований. А клиентские данные, накопленные в однопрофильных с нами учреждениях, представляют интерес для многих смежных с нами бизнесов. Например, для фармацевтического, причем интерес этот традиционный.
Надо сказать, что интерес к ним проявляют не обязательно добросовестные фармацевты. Было несколько случаев, когда данные о больных попадали к распространителям пищевых добавок, которые, в свою очередь, продавали их по завышенным ценам. Причем стоимость этих БАДов у аферистов росла по мере тяжести диагноза. И, по крайней мере теоретически, существует вероятность того, что такого рода бизнес будет стремиться каким-то образом получить сведения непосредственно из медицинских учреждений, в том числе и аналогичных нашей сети. Они могут делать это как своими силами, так и приобретать их на черном рынке.
Кроме того, мы предоставляем целый ряд дополнительных услуг и сервисов. Информация о них является нашим конкурентным преимуществом перед другими компаниями схожего профиля. И сведения о таких дополнительных сервисах тоже представляют определенную ценность.
Данные, которыми оперирует ваша компания, подпадают под требования законодательства по защите персональных данных. Как организована эта защита?
Действительно, данные медицинских исследований содержат весьма чувствительную информацию, поэтому их необходимо защищать. Иначе, как я уже говорил, ими могут воспользоваться разного рода мошенники. Причем необходимые здесь меры сопоставимы с теми, что требуются в банковском сегменте. Ведь в нашей сфере, как и в банке, помимо требований законодательства есть и другие важные факторы, прежде всего связанные с доверием клиентов.
И мы начали принимать меры по защите данных наших пациентов еще до того, как закон 152-ФЗ вступил в силу. Так что сразу можно сказать, что наша система защиты данных изначально не являлась «бумажным» проектом, цель которого — добиться формального соответствия требованиям законодательства и нормативных актов регуляторов. Мы провели огромный объем работ организационно-технического характера, чтобы создать реально работающую систему защиты. В результате когда законодательство по защите персональных данных вступило в силу, нам не сложно было добиться соответствия его требованиям, тогда как многим другим потребовалось создавать систему защиты с нуля, да еще и в авральном режиме.
Мы уделяем большое внимание вопросам защиты данных по всей цепочке их получения, передачи, хранения и обработки. При этом у нас сложилось не совсем простое положение. Как я уже говорил, мы используем интеграционную шину, в результате чего целый ряд «маленьких хитростей», которые применяются для понижения категории информации, содержащей персональные данные, не работают. Например, обезличивание данных позволяет понизить уровень защиты для большей части элементов системы, где данные обрабатываются и хранятся. У нас же в каждой системе хранится свой набор данных, так что их приходится защищать в полном объеме.
Наши юридические лица регулярно проходят проверки. Мы попадали в их график и в прошлом, и в текущем году, есть наши подразделения и в плане на будущий год. И в целом результат нас устраивает. Наш головной офис, например, прошел все проверки без замечаний. А если и выявляются какие-то недостатки, то они, как правило, носят некритичный характер и оперативно устраняются.
Как менялась подсистема защиты?
Компания постоянно развивается, и новые системы также внедряются постоянно. Например, в нынешнем году мы внедрили PACS, где хранятся данные радиологических исследований. И конечно же все новые системы приходится включать в контур безопасности. Проводится работа по классификации систем и в соответствии с разработанными раннее документами определяется перечень средств защиты.
Бывает и так, что некоторые модули системы защиты приходится менять вследствие того, что вендор отказался от их поддержки и развития. И им, естественно, приходится искать замену.
Именно так произошло в прошлом году с одним из решений по обеспечению безопасности, которым мы пользовались. В качестве наиболее адекватной замены мы из целого ряда систем выбрали продукт компании Check Point. Она наилучшим образом обеспечивала полный спектр стоявших перед нами задач.
Надо сказать, что в момент начала работ по этому проекту мы не думали о политических рисках в виде экономических санкций и их последствий. И тут происхождение компании Check Point — а это израильская структура, и Израиль не присоединился к американским и европейским санкциям — также оказалось важным преимуществом. А что будет с поставками оборудования, например, от Cisco, которое у нас тоже используется, мы не знаем. Полноценной альтернативы здесь мы не видим, но вероятности ограничений на поставки исключать нельзя. И это может стать серьезной проблемой.
Современные программно аппаратные комплексы защиты сетевого периметра, как правило, многофункциональны. Вы изначально планировали задействовать несколько функций?
Да, мы сразу стремились к тому, чтобы задействовать несколько функций и тем самым обеспечить комплексную защиту сетевого периметра. Это и межсетевое экранирование, и детектирование и предотвращение атак, и очистка сетевого трафика от вредоносного кода, и целый ряд задач по защите рабочих станций, и борьба с утечками данных (DLP). Из всех предусмотренных функций мы пока не реализовали только подсистему мониторинга и корреляции событий. Но уже в ближайшей перспективе планируем запустить ее.
Мы сознательно выбрали DLP-модуль от зарубежных поставщиков, хотя с недавнего времени компания Check Point комплектует свои решения и российскими продуктами. ИНВИТРО является международной компанией, и адаптация отечественного решения под требования зарубежных рынков может оказаться более сложной и дорогой, чем настройка зарубежного решения под нашу специфику. Это связано и с особенностями национального законодательства целого ряда стран.
С какими угрозами вам приходилось сталкиваться?
Попытки использовать против нас атаки класса DDoS случаются с регулярностью, достойной, как говорится, лучшего применения. Было и несколько попыток взлома нашей корпоративной сети, которые, однако, не были успешны. Тут помогли и системы защиты, и то, что мы стараемся не затягивать меры по закрытию уязвимостей, которыми могут воспользоваться злоумышленники. Регулярно следим мы и за ситуацией «на той стороне», принимая соответствующие меры против наиболее «популярных» сценариев атак.
Причем профессионализм нападавших рос вместе с нашей компанией. Если на ранних стадиях к нам пытались проникнуть студенты с помощью разного рода бесплатных инструментов, то сейчас мы подвергаемся атакам со стороны профессионалов. Скорее всего речь идет о тех, кто пытается выкрасть данные для дальнейшей продажи или с целью шантажа нас же самим фактом взлома.
Но я говорю о деятельности исключительно внешних злоумышленников. А вот попыток украсть данные изнутри компании на моей памяти не было. Во многом это опять же результат внедрения технических средств защиты. Помимо системы класса DLP, «прослушивающей» все каналы взаимодействия с внешним миром, через которые может утекать информация, мы активно применяем средства разграничения прав доступа к различным данным и системам. В результате сотрудники могут оперировать только теми данными, которые необходимы для выполнения их служебных обязанностей, и не более того. И одно без другого не работает. Ведь даже если мы будем отслеживать всё, что только можно, никто не гарантирует защиту от того, что нелояльный сотрудник запишет критически важные данные на бумагу или не сфотографирует их. А от такого рода средств не спасет ни одна DLP-система на свете.
Останавливаться на достигнутом мы не будем. Мы приступаем к реализации новых проектов. Так, уже в самом ближайшем будущем у нас начнутся работы по внедрению системы защиты от таргетированных атак. Эта тема сейчас крайне актуальна. В настоящий момент этот проект находится на стадии выработки технического задания.
С Павлом Литвиновым беседовал обозреватель Intelligent Enterprise Яков Шпунт