Пентест / Тестирование на проникновение
Имитация хакерских атак для выявления уязвимостей в ИТ-инфраструктуре
Напишите нам

Защита ваших медицинских данных

В конце 2019 года произошла крупная утечка более чем 30% пользовательских сведений государственного портала «Госуслуги», в связи с такими пугающими происшествиями возникает большое количество вопросов, в том числе – если сведения крадут у государственных проектов, на разработки которых уходят миллиарды рублей, что будет с менее крупными частными компаниями, которые также хранят наши конфиденциальные сведения?

Это, правда, пугает, ведь злоумышленники могут использовать все наши данные практически в любых целях, например, могут взять кредиты, выставить наши налоговые сведения для проведения различных махинаций, а потом придется вам защищаться в суде, что вовсе не вы создавали ООО, которые продавало бабушкам БАДы...

Но как все же защитить информацию о себе?

Проблема кроется в том, что организации, обеспечивающие медицинские услуги о сохранности конфиденциальных материалов думают в последнюю очередь и несмотря на распоряжение о том, что чуть ли не у каждой поликлиники должен быть свой специалист по информационной безопасности, большая часть врачебных учреждений полностью игнорируют существующую рекомендацию.

К огромному сожалению, в нашем государстве, где регулирует сохранность лишь один 152-ФЗ – зачастую вся кибербезопасность оказывается лишь на документах, где подтверждается, что все исполняется.
Да и сам закон тоже достаточно формален и не имеет четких критериев, которые же должны соблюдаться в полной мере. Проще всего – написать все на бумажках, ознакомить с нею персонал, да и, собственно, все. А в случае какого-либо инцидента это даже не дойдет до регионального уровня, а так и останется на устах сотрудников. Ведь мед организации в России вовсе не обязаны раскрывать факты хищения или утери.

Опыт других стран.

Например, на западе ситуация уже достаточно давно изменилась, утечки личных информ материалов в США или Европейских странах караются очень высокими штрафами или даже возбуждением уголовных дел!
Учреждения обязаны выполнять защиту информации по закону HIPPA, причем действует такой закон информационной безопасности еще с 1996 года!
Проверка сайта на уязвимость, безопасность, имитация хакерской атаки – стандартные инструменты, которыми пользуются медицинские учреждения для предотвращения непредвиденных ситуаций. Как видится, такое решение гораздо более выгодным оказывается, нежели платить штрафы.

Компания Aetna заплатит государству штраф в размере 17 миллионов долларов США просто за то, что имена, фамилии клиентов с ВИЧ инфекцией утекли в сеть. EmblemHealth заплатит 575 тысяч долларов, за то, что они не анализируют риски. Неплохо, не так ли? Достаточно даже комично получается, если переводить эту ситуацию на страны СНГ. Но и спрос на получение данных в США гораздо выше, если судить по статистике за 2016 год, то на каждое медучреждение в среднем приходилось по 1 атаке в день.
Кроме внешних утечек очень опасными являются и внутренние, среди персонала. Это и специальные кражи с помощью различных накопительных устройств, для получения прибыли в дальнейшем от другой компании, например, так же бывают и случайные утечки, когда, сотрудник по ошибке отправил электронное письмо с файлом таблиц, где были указаны контакты пациентов 3-ему лицу.

Решение проблем.

Для решения проблем такого типа, учреждением надо заказать пентест, заказать аудит безопасности сайта т.е. имитировать хакерскую атаку.
При устранение подобных проблем зачастую приходится использовать автоматизированные системы, которые помогают следить за всеми пользователями в сети одновременно. Например, очень много в нынешнее время российских разработок, которые позволяют выполнять контроль и выводить отчетность специалисту, начиная с каждой запущенной программой, заканчивая показателями информации об устройствах, которые подсоединялись к компьютеру, а также информацию, которая была перенесена на флеш-накопитель.

Для того, чтобы избавиться от случайных внутренних утечек следует прописать всю ответственность за нарушение правил информационной безопасности, указать, как правильно работать с файлами, чтобы не было проблем в дальнейшем.
Очень важно показывать, как правильно работать с компьютерами, во избежание заражений из вне. Работа с персоналом – самое важное, что должен совершать специалист. Зачастую, в учреждениях медицинских работают уже пожилые люди, которым достаточно тяжело что-либо объяснить. Так что каждый специалист должен быть немного и психологом.
К самым лучшим решениям можем отнести российское DLP-решение, имеется полный контроль всех каналов передачи информации, как на ввод, так и на вывод. Выполняется это исключительно на компьютерах и не зависит от подключения к сети.

Тестирование на проникновение. Полный комплекс

Полноценное ручное тестирование безопасности сайта, а так же с помощью автоматических инструментов. Результат работы - подробный отчет с найденными уязвимостями и замечаниями по безопасности, написанный на понятном человеческом языке.
5000 руб
(Стоимость временно снижена)
Напишите нам

Тестирование на проникновение. Экспресс аудит.

Протестируем ваш сайт используя несколько популярных и эффективных сканеров. Результат работы - подробный отчет с найденными уязвимостями и замечаниями по безопасности, написанный на понятном человеческом языке.
1500 руб
(Стоимость временно снижена)
Напишите нам

Тестирование на проникновение. Индивидуальный план действий.

Совместно в заказчиком устанавливаем цели пентеста, способы его проведения, специфические особенности зависящие от тестируемого объекта. Результат работы - подробный отчет с найденными уязвимостями.
Цена зависит от объекта
Напишите нам
временно низкие цены!