Так уж выходит, что главным инициатором вопросов обеспечения безопасности при эксплуатации медицинских информационных систем (МИС) в России выступает государство. Тема становится актуальной только тогда, когда появляется или анонсируется нормативный акт, способный существенно осложнить жизнь медицинским учреждениям. Между тем и без законодательных новаций проблема безопасности заслуживает самого пристального внимания со стороны руководителей и ИТ-менеджеров ЛПУ.
Компании — разработчику МИС приходится довольно часто сталкиваться с недостаточно внимательным отношением к вопросам безопасности со стороны заказчиков. Отсюда нередки случаи аварий, простоев и потери данных, которых можно было бы легко избежать, отказавшись от затратных и сложных решений, — достаточно соблюдать простые правила "ИТ-гигиены”.
Обозначим, что конкретно мы понимаем под безопасной работой МИС. Во-первых, это безаварийная работа или предотвращение аварий. В самом деле, и врачи это хорошо знают, профилактика — лучшая замена дорогостоящему лечению. Во-вторых, если уж авария случилась, то организация должна быть к ней готова. Поэтому второй показатель высокого уровня безопасности — это быстрая ликвидация аварий.
В-третьих, физическая сохранность данных. То есть использование такого режима хранения электронных записей, который обеспечивает защиту от механических повреждений, пожара, затопления и т. д. и т. п. И наконец, в-четвертых, безопасная работа МИС связана с обеспечением конфиденциальности персональных и коммерческих данных.
Отдельного внимания заслуживает то, откуда исходят риски для МИС. К сожалению, фокус внимания при обсуждении рисков сильно смещен в сторону технических решений. Оно и понятно — поставщики ИТ-решений могут много и увлеченно рассказывать о своих продуктах. При этом теряются другие важные составляющие риска — организационный и человеческий факторы. Любому руководителю-практику хорошо известно, что даже самая продвинутая система безопасности в значительной степени зависит от людей.
Если расположить источники риска по мере его возрастания (рис. 1), то наименьшая опасность будет исходить от аппаратных решений. Компьютеры и компоненты сетей — это продукты с высоким уровнем стандартизации. Количество покупателей и пользователей таких продуктов исчисляется миллионами. По сравнению с другими видами неисправностей аппаратные ошибки случаются сравнительно редко.
На следующей ступеньке по уровню риска находится программное обеспечение. Даже если программным продуктом — комплексной медицинской системой — пользуются сотни организаций, уровень стандартизации всё равно будет ниже, чем у аппаратных компонентов решения. Несмотря на наличие типовых конфигураций ПО каждый раз настраивается под конкретную организацию, что существенно увеличивает число вариантов реализации системы и повышает риск возникновения нештатных ситуаций.
Наконец, первое место по уровню риска занимают организационные и человеческие факторы. Каждая организация имеет свои особенности, учтенные, а часто и не учтенные при внедрении информационной системы. Существование отраслевых и международных медицинских стандартов, к сожалению, само по себе не служит гарантией их успешной реализации в архитектуре и функциях ИС. Гораздо более важным для снижения организационных и человеческих рисков оказывается наличие внутренних регламентирующих документов ЛПУ, хорошо продуманных и обязательных к исполнению.
Для тех ЛПУ, которые эксплуатируют современную ИС не первый год, создание и обновление таких регламентирующих документов не представляет больших сложностей. Но практика показывает, что даже в таких передовых клиниках в соответствующих регламентах и положениях отражены далеко не все вопросы первостепенной важности. Например, может быть не регламентирован порядок взаимодействия с поставщиком ИС, не предусмотрена профилактика аварийных ситуаций в таких формах, как тренинги или учебная тревога.
Учитывая эти пробелы в подготовке ЛПУ, мы полагаем, что на сегодняшний день инициатива создания регламентов безопасности может и должна принадлежать поставщику информационного решения. В тех случаях, когда поставщик решения является ещё и его разработчиком, достаточно полное представление об условиях эксплуатации системы, при которых будет обеспечена безаварийная работа, сохранность и конфиденциальность данных, есть только у него. Безопасность и надёжность — область совпадения интересов поставщика и клиента. Поставщики МИС должны оказывать всемерную поддержку своим клиентам не только в части технического обеспечения безопасности, но и в вопросах её организационного проектирования. В общем виде процесс подготовки соответствующих документов приведён на рис. 2.
Речь идёт не об одном документе “на все случаи жизни”, а о системе документов, которые должны быть связаны между собой, а также с другими нормативно-распорядительными актами организации, вплоть до конкретных должностных инструкций. В порядке рекомендации мы предлагаем следующий возможный перечень регламентирующих документов:
- положение о службе технического обеспечения и сервисной поддержки ИТ-инфраструктуры в ЛПУ;
- регламент эксплуатации ИС в ЛПУ;
- нормативы, используемые в работе служб сопровождения;
- регламент хранения данных и резервного копирования;
- регламент действий в случаях аварийных ситуаций.
Касаясь технических аспектов обеспечения безопасности, необходимо прежде всего обратить внимание на то обстоятельство, что и в программной, и в аппаратной частях современной МИС может быть довольно много различных узлов. При этом практически все они связаны между собой, иногда довольно замысловатым образом. Так что любой фактор, влияющий на один узел, косвенно влияет и на другие, которые тоже, в свою очередь, оказывают влияние на следующие узлы.
В качестве иллюстрации замысловатого сочетания внутрисистемных связей с человеческим фактором можно привести пример из практики одного довольно крупного ЛПУ. В результате монтажных работ в серверной в отсутствие представителей ИТ-отдела рабочими-монтажниками был случайно отключен силовой кабель устройства бесперебойного питания. Прибор был достаточно современный и позволял делать оповещения о такого рода событиях. Но опять же по случайному стечению обстоятельств эта функция не была настроена. Отработав свой потенциал, ИБП отключился, обесточив оборудование. В результате незапланированного отключения оборудование было повреждено. Как следствие, с него нельзя было прочитать данные.
В нормальном случае проблема восстановления данных была бы решена с помощью резервных копий — бэкапов. Но — ещё одна случайность — на отключившемся устройстве хранились не только данные, но и резервные копии (!). К счастью, история эта имела счастливый конец. Систему хранения данных отремонтировали, и базу данных удалось восстановить. Но если бы ремонт не помог, то клиника могла потерять весь объём данных за всё время работы системы.
Теперь имеет смысл описать некоторые мероприятия по обеспечению безопасности, которыми часто манкируют пользователи МИС. Хотелось бы выделить несколько ключевых моментов. Это бэкапы, средства антивирусной защиты, повышение квалификации ИТ-персонала и системы мониторинга. Коснемся каждого момента более подробно.
Первое — это резервные копии данных, которые надо не только регулярно делать, но и проверять их состояния путём восстановления на тестовых стендах. Мало того, необходимо обратить пристальное внимание на место и режим хранения бэкапов. Существует довольно простое правило: резервные копии никогда не следует хранить вместе с оригинальными данными на одно компьютере или, что ещё хуже, на одном носителе. Хорошей практикой является хранение бэкапов за пределами здания клиники. Это послужит страховкой в случае пожаров и других чрезвычайных происшествий, способных угрожать физической сохранности данных.
Для обеспечения технологичности резервного копирования существует множество вариантов выполнения бэкапов. Один из самых распространенных — это копирование средствами СУБД. Но системным администраторам ЛПУ стоит присмотреться также к специальным системам резервного копирования, которые позволяют не только создавать копию, но и проверять её, при необходимости шифровать, выполнять задания по расписанию, записывать копии на различные носители, использовать стримеры и роботизированные библиотеки.
Второй момент, очень часто встречающийся в нашей практике, это полное либо частичное пренебрежение антивирусной защитой. Как правило, проникновение вирусов приводит к замедлению работы или полной остановке системы. Вирусы влияют на производительность узлов системы, таких как компоненты сетей, рабочие станции, серверы. Например, вирус conficker, он же kido, при заражении сети может выводить из строя сетевые интерфейсы доменных контроллеров, что фактически приводит к остановке работы сети и, как следствие, всей системы.
Отсутствие подключения к Интернету не может служить основанием для пренебрежения антивирусной защитой. Заблуждаются те руководители, которые считают изоляцию своей системы от глобальной сети надежным способом борьбы с вирусами. Напротив, это скорее отягчающий фактор, так как он затрудняет борьбу с вирусами. Вирусы имеют много путей распространения, и отсутствие Интернета для них не преграда.
Дополнительный способ борьбы с вирусами — это документированная и утвержденная политика доступа к съёмным носителям. В последнее время именно съёмные носители и флэш-карты являются наиболее распространенным источником заражения. Мы наблюдали случаи, когда администратор клиники хронически не мог избавиться от вирусов из-за отсутствия Интернета и невозможности своевременно обновлять антивирусные базы.
Для систем с количеством узлов больше десяти мы рекомендуем использовать антивирус с центром управления, что позволит централизовано управлять клиентами, отслеживать события, получать отчёты и уведомления.
Третий ключевой аспект информационной безопасности, который очень часто является причиной первых двух, — это низкий уровень подготовки ИТ-персонала. Решение данной проблемы довольно тривиальное: обучение и тренинги, а также документирование системы. Только хорошо подготовленный персонал может заранее спрогнозировать различные аварийные ситуации, подготовить решение и обкатать ситуации на тестовых стендах, чтобы при возникновении таких случаев свести простои системы к минимуму.
На практике имел место следующий пример. Коллектив одной из клиник прекрасно справился с задачей быстрого восстановления данных при сбое. Но поскольку процедура не была обкатана на тестовом стенде, то одна малозаметная деталь в работе системы, неизвестная системным администраторам, привела к простою длительностью в полтора часа. Если бы задача была отработана не только на уровне документов, но и на практических занятиях, то простоя бы не было вообще. Ведь такую ситуацию, как сбой носителей данных, прогнозировать довольно просто. Наблюдения показывают очень чёткую обратную зависимость: чем выше уровень подготовки персонала, тем меньше время простоя системы.
Четвёртый аспект касается главным образом предотвращения проблем в системе с помощью различных систем мониторинга. К сожалению, очень редко приходится встречаться с использованием таких средств администраторами клиник. А между тем подобные системы сегодня вполне доступны. Уже на этапе установки и настройки они позволяют глубже понять узкие места и подготовиться к возможным инцидентам. Правильная настройка систем мониторинга и понимание принципов работы системы позволят предотвращать многие нежелательные события — такие, например, как переполнение диска и вызванные этим остановки базы данных.
Что касается других случаев, то средства мониторинга если и не смогут их предотвратить, но будут оперативно информировать о событии, направляя SMS-сообщения или электронные письма администратору. Например, при внеплановой перегрузке сервера или срабатывании контрольного датчика. Системы мониторинга подобного типа могут отслеживать очень много событий, главное — предусмотреть их заранее.
Резюме
Понятие безопасной работы МИС должно охватывать в первую очередь такие моменты, как быстрая ликвидация аварий и их предотвращение, физическая сохранность и конфиденциальность данных. Основные риски для устойчивой и безопасной работы медицинских информационных систем обусловлены, на наш взгляд, организационным и человеческим факторами. В меньшей мере — свойствами программных продуктов, в еще меньшей степени — аппаратными средствами.
Минимизация рисков, связанных с организационными и человеческим факторами, достигается путём создания системы регламентирующих документов, которые должны носить общеобязательный характер для персона ЛПУ и должны быть не только доведены до сведения сотрудников, но и отработаны в режиме учебных тренингов.
Технические мероприятия по обеспечению безопасности включают в себя четыре ключевых направления: резервное копирование данных, антивирусную защиту, систематическое повышение квалификации ИТ-персонала ЛПУ и, желательно, использование доступных систем мониторинга.