Способы предотвращения утечек информации

Компания «Медлайнсофт» разрабатывает программное обеспечение для государственных и частных учреждений здравоохранения. В том числе цифровые и телемедицинские сервисы для врачей и пациентов. Проблема обеспечения информационной безопасности стоит перед участниками рынка очень остро. Еще Уинстон Черчиль говорил, что за безопасность надо платить, а за её отсутствие расплачиваться.


В настоящее время существует как минимум полторы сотни программных и программно-аппаратных решений по защите информации, среди которых:

  • по защите периметра сети и баз данных;

  • различные антивирусы и файрволы;

  • сканеры сети;

  • системы предотвращения утечек конфиденциальной информации;

  • действий привилегированных пользователей;

  • доверенной загрузки;

  • песочницы (NGFW + sandbox) и прочие.

Очень важно еще на этапе проектирования и разработки информационной системы предусмотреть средства обеспечения безопасности, такие как:

  • ролевая модель и разграничение прав доступа;

  • логирование;

  • шифрование данных;

  • обезличивание персональной информации;

  • двухфакторная идентификация.


Данные решения строятся в глубоко эшелонированную защиту, которая разделяет инфраструктуру на сегменты и обеспечивает должный уровень защиты информации. Так, например:

- антивирусы и песочницы не пустят в периметр файлы, способные заразить инфраструктуру изнутри;

- файрволы приложений и системы защиты баз данных исключат вредоносные, паразитарные запросы информации и несанкционированную их выгрузку;

- системы контроля за действиями пользователей и разграничения прав доступа не позволят ввести некорректные команды или подключиться к сегментам, которые не нужны для работы данного сотрудника;

- сканеры сети покажут некорректность настроек, отсутствие установленных обновлений операционных систем или укажут на старые уязвимые версии программных продуктов.

Примеры можно продолжать, но все в итоге сводится к тому, что многочисленные системы безопасности позволяют защитить программный продукт и инфраструктуру и избежать глобальных «сливов» информации.

И в рамках данного многообразия решений для защиты самым слабым звеном являются пользователи.

Работники компании ежедневно осуществляют взаимодействие с клиентами, пациентами, под видом которых встречаются и злоумышленники, и поэтому очень важно вовлекать сотрудников в процесс обеспечения защиты данных и повышать их информированность.

У каждого бизнеса своя особенность и в данном случае проще всего Банкам, потому что работа с клиентами максимально шаблонна и регламентирована и доступ к деньгам должен быть ограничен. А вот у медицинских компаний все не так прозрачно и просто, хотя регуляторы достаточно четко описывают все требования к защите данных (ведь даже факт обращения человека за медицинской помощью уже является тайной в соответствии с законом 323-ФЗ, и разглашение данной информации запрещено).

На практике же зачастую случается, что доступ к медицинской тайне пытаются получить и «сестры», и «братья», и «жены», и «злоумышленники», которые всячески пытаются выпросить или выторговать необходимую им информацию.


Существует большое количество техник социальной инженерии. Имеющиеся в большинстве своём сценарии работы достаточно ограничены и не могут помочь сотруднику в нестандартной ситуации. И здесь недостаток знаний и особенностей медицинской специфики приводит к утечкам информации.

Доступ сотрудника к данным осуществляется на базе легитимных ролей и прав, которые они получили в соответствии со всеми установленными регламентами и правилами и в данном случае мы не можем говорить ни о какой деперсонификации данных, т.к. в этом случае сотрудник не сможет выполнять свои прямые обязанности.

Есть масса способов по нивелированию данных пробелов в работе.

Основными направлениями работы с сотрудниками компаний являются:

  • Повышение уровня знаний специфических отраслевых норм законодательства и регуляторов;

  • Вовлечение и погруженность персона в работу информационной безопасности медицинского учреждения

  • Информирование об основных техниках социальной инженерии.

И, безусловно, сохранение врачебной тайны и персональных данных возможно только при симбиозе выполнения требований федерального законодательства и регуляторов, должного уровня внедрения средств информационной безопасности, а также обязательного вовлечения персонала медицинских учреждений в деятельность информационной безопасности, постоянное обучение и повышение квалификации сотрудников и при ответственном поведении самих пациентов.

Пациенты для сохранения своих персональных данных должны выполнять ряд мер:


1. Тщательно изучить согласие на обработку персданных:

  • просмотреть перечень предлагаемой к обработке информации с обязательным исключением той информации, которая явно избыточна для достижения имеющихся целей;

  • внимательно ознакомится с перечнем тех юридических лиц, кому планируется передача информации.

2. Ни в коем случае не передавать свои данные для обработки и использования сомнительным учреждениям или лицам, не подписывать непонятные документы.


3. Не пользоваться услугами неизвестных компаний или сайтов и не вводить там свои данные.


4. Не отвечать на письма, которые пришли от неизвестных источников и требуют ввода какой-либо персональной информации о себе или паролей от личных кабинетов банков/госуслуг/медицинских компаний и тому подобное.

Ели вдруг что-то непонятно – лучше всегда обратиться за помощью или разъяснениями к специалистам и клиникам, к которым есть большой уровень доверия.

Техники социальной инженерии:

1. Претекстинг – набор действий по заранее заготовленному сценарию с использованием голосовых средств, используется с целью заполучить пароли и доступ

2. Фишинг – вид интернет-мошенничества с целью получить доступ к конфиденциальной информации, логинам и паролям с помощью почтового сервиса

3. Мошенничество с использованием брендов известных корпораций и подложные лотереи – приходит информация о победе в какой-либо лотерее или конкурсе компании и тому подобное и срочно требуются учетные данные пользователя

4. Кви про кво (услуга за услугу) - звонок злоумышленника в компанию по корпоративному телефону. В большинстве случаев злоумышленник представляется сотрудником технической поддержки, опрашивающим, есть ли какие-нибудь технические проблемы. В процессе "решения" технических проблем, мошенник "заставляет" цель вводить команды, которые позволяют хакеру запустить или установить вредоносное программное обеспечение на машину пользователя.

5. Троянский конь - это вредоносная программа, используемая злоумышленником для сбора, разрушения или модификации информации, нарушения работоспособности компьютера или использования ресурсов пользователя в своих целях

6. Сбор информации из открытых источников и прочие/

Diasoft Framework Community

Резидент инновационного центра «Сколково»

  • Facebook Medlinesoft