“Старые подходы к безопасности в медицине работали по принципу «дверь на замке» — пока пациент ждал врача у двери. Zero Trust, это не дверь, это персональный проводник, который ведёт каждого своим маршрутом и мгновенно реагирует, если кто-то сходит с пути.”
Пять лет назад: безопасность, которая мешала лечить
До 2020 года врач, пытавшийся быстро посмотреть результаты анализов пациента из дома или со своего планшета, наталкивался на систему, которая работала против него. VPN, сложные и часто меняющиеся пароли, блокировка внешних устройств — всё это не злой умысел, а попытка защитить данные. Но в экстренных ситуациях эти барьеры приводили к тому, что врачи искали обходные пути: пересылали выписки в мессенджерах, копировали данные на флешки, пользовались личной почтой.
IT-отдел превратился в отдел разрешений. Треть его рабочего времени уходила на сброс паролей, выдачу временных доступов и разблокировку учётных записей. Безопасность была формальной: как только устройство оказывалось «внутри» больничной сети, считалось, что угроза миновала. Внутренний IP-адрес автоматически давал доверие. Последствия такой логики стали очевидны в 2019 году, когда в результате локальной вспышки вирусного ПО в терапевтическом отделении оказались недоступны лабораторные данные на сутки. Вредоносная программа распространилась по внутренней сети именно потому, что системы внутри «безопасного периметра» доверяли друг другу по умолчанию.
Система работала по принципу «крепость с одними воротами». Пока ворота были закрыты, считалось, что всё внутри в безопасности. Проблема в том, что угроза давно уже была внутри — в виде устаревшего ПО на терминалах, открытых портов между системами и уязвимостей, о которых никто не знал, потому что их не искали. Когда медсестра потеряла в метро незашифрованную флешку с данными пациентов, расследование показало: доступ к копированию был разрешён только потому, что запрос шёл с рабочего компьютера в отделении. Система не проверяла, кто именно и зачем копирует сотни файлов — она видела лишь «своё» устройство.
Это была кульминация парадокса: чем строже были формальные правила, тем больше люди их нарушали из-за их неудобства. Безопасность становилась врагом эффективности.
Принцип Zero Trust: не «нет», а «да, если…»
Современный подход к информационной безопасности в медицине начинается с отказа от самой идеи «доверенной внутренней сети». Zero Trust предполагает, что доверия нет по умолчанию ни к кому и ничему — ни к внутреннему серверу, ни к врачу с корпоративного ноутбука. Каждое действие, каждое подключение, каждый запрос к данным должны быть проверены и авторизованы. Но ключевое отличие — проверка происходит не ради блокировки, а ради предоставления доступа.
Логика сменилась с запретительной на разрешительную, но с условиями. Вместо «вход с личного устройства запрещён» теперь «вход с личного устройства разрешён, если оно зарегистрировано, зашифровано и соответствует политике безопасности». Вместо «внешний доступ к ПИИС запрещён» — «внешний доступ разрешён для авторизованных сотрудников через защищённый шлюз с обязательной многофакторной аутентификацией».
Доверие перестало быть привязано к месту в сети. Теперь оно привязано к контексту:
- Кто пытается получить доступ (идентичность).
- С какого устройства (состояние и доверенность устройства).
- Откуда (геолокация, сеть).
- К чему (какой ресурс или данные).
- Когда (время суток, соответствие рабочему графику).
- Как (соответствие типовым поведенческим паттернам).
Кардиолог из Москвы, который в течение часа пытается войти в систему сначала с рабочего планшета, а затем с IP-адреса в другом регионе, не получит доступ — система распознает это как аномалию. Попытка хирурга в три часа ночи массово экспортировать истории болезней пациентов не из его отделения вызовет запрос дополнительного подтверждения. Доступ не блокируется наглухо, но система требует верификации, если контекст выходит за рамки обычной деятельности.
Политики безопасности становятся динамическими и контекстно-зависимыми. Они не статичный набор правил «разрешено/запрещено», а живой механизм, оценивающий каждый запрос в реальном времени.
На практике: рабочий день врача без барьеров
Рассмотрим стандартный сценарий. Врач-терапевт начинает обход. Он берёт планшет, разблокирует его отпечатком пальца. Через несколько секунд на экране открывается список пациентов, их истории болезней, последние результаты анализов и назначения. Для этого не нужно подключаться к VPN, вводить пароли или ждать синхронизации. Как это работает?
- Устройство проверяется. Планшет заранее зарегистрирован в системе управления мобильными устройствами (MDM). Система знает, что на нём включено шифрование данных, установлены все критичные обновления безопасности, нет признаков вредоносного ПО.
- Идентификация пользователя. Вход выполняется через единую систему входа (Single Sign-On, SSO), связанную с системой управления идентификацией и доступом (IAM). Аутентификация — многофакторная: отпечаток пальца (биометрия) + подтверждение в мобильном приложении (push-уведомление).
- Проверка контекста. Система видит: запрос поступает от доктора Иванова, с его доверенного планшета, из здания больницы, в рабочее время. Он пытается получить доступ к данным пациентов своего терапевтического отделения — к чему у него есть права.
- Предоставление доступа. Все условия соблюдены — доступ предоставлен мгновенно. Врач получает ровно те данные и функциональность, которые нужны для его работы (принцип наименьших привилегий). Попытка открыть, например, базу данных психиатрического отделения будет автоматически отклонена. Если тот же врач вечером из дома захочет проверить состояние тяжёлого пациента, процесс будет аналогичен. Единственное отличие — система может запросить дополнительный фактор аутентификации (например, одноразовый код), так как контекст (домашняя сеть) отличается от обычного рабочего. Доступ будет предоставлен, потому что политика разрешает удалённую работу авторизованным сотрудникам.
Врач перестаёт быть оператором систем безопасности. Он просто делает свою работу. Безопасность становится невидимым, но непрерывно работающим механизмом, который обеспечивает доступ, а не мешает ему.
Техническая основа: как это устроено изнутри
Переход от модели «замкнутой крепости» к Zero Trust требует определённого технологического стека. Это не всегда означает полную замену инфраструктуры, чаще — добавление контролирующих слоёв поверх существующих систем.
| Компонент | Назначение | Реализация в медицинском учреждении |
|---|---|---|
| IAM (Identity and Access Management) | Централизованное управление учётными записями, ролями и правами доступа. Является «мозгом» системы, решающим, кому и к чему можно обращаться. | Интеграция с Active Directory/LDAP больницы, создание ролей (врач-терапевт, медсестра, администратор), управление жизненным циклом учётных записей (приём/увольнение/перевод). |
| MFA (Multi-Factor Authentication) | Многофакторная аутентификация. Требует подтверждения личности через два или более фактора (знание, владение, свойство). | Внедрение TOTP (Time-based One-Time Password) через приложения типа Google Authenticator, push-уведомления в корпоративное приложение или использование аппаратных токенов для доступа к критичным системам (например, архивам DICOM). |
| MDM/EMM (Mobile Device Management) | Управление мобильными и endpoint-устройствами. Обеспечивает контроль над корпоративными и личными устройствами, получающими доступ к данным. | Регистрация устройств сотрудников, принудительное включение шифрования, удалённая блокировка/очистка при утере, контроль за установленным ПО и обновлениями. |
| Microsegmentation | Микросегментация сети. Разделение внутренней сети на мелкие изолированные сегменты для ограничения lateral movement (перемещения злоумышленника внутри сети). | Изоляция сетей отделений (реанимация, лаборатория, регистратура), серверов и медицинского оборудования (томографы, аппараты ИВЛ) друг от друга. Даже при компрометации одной системы злоумышленник не сможет свободно перемещаться по сети. |
| Context-Aware Access Proxy | Контекстно-зависимый шлюз доступа. Прокси-сервер, который анализирует каждый запрос к приложениям и принимает решение о доступе на основе политик. | Развёртывание шлюза (например, на основе решений вроде Zscaler Private Access или аналогичных) перед внутренними приложениями (ПИИС, ЛИС). Шлюз проверяет пользователя, устройство и контекст перед тем, как пропустить трафик к приложению. |
| UEBA (User and Entity Behavior Analytics) | Аналитика поведения пользователей и сущностей. Системы машинного обучения, строящие поведенческие профили и выявляющие аномалии. | Обучение системы на основе обычной активности врачей и медперсонала. Алгоритм замечает, если кардиолог внезапно начинает массово скачивать истории болезней из онкологического отделения в нерабочее время, и инициирует оповещение. |
| SIEM (Security Information and Event Management) | Сбор, корреляция и анализ логов событий безопасности. | Централизованный сбор логов со всех систем (IAM, шлюзов, сетевого оборудования, серверов) для расследования инцидентов и проведения аудитов. Позволяет ответить на вопрос «кто, что, когда и откуда сделал». |
Политики доступа в такой архитектуре, это не статичные списки правил в файрволе, а динамические сценарии. Они могут выглядеть как скрипты или конфигурации в IAM-системе:
ПОЛИТИКА: Доступ к системе ЛИС (Лабораторная информационная система)
УСЛОВИЯ:
- Пользователь: имеет роль "Врач" или "Лаборант"
- Аутентификация: прошла через MFA (FIDO2 или TOTP)
- Устройство: зарегистрировано в MDM, ОС актуальна, шифрование включено
- Контекст: время запроса с 6:00 до 22:00 по местному времени
- Сеть: запрос из доверенной сети больницы ИЛИ с предварительно авторизованного личного устройства
ДЕЙСТВИЕ: Разрешить доступ
ИСКЛЮЧЕНИЕ: Если UEBA обнаруживает аномальную активность (например, попытка экспорта >50 записей за 5 минут), потребовать повторную аутентификацию и уведомить администратора.Внедрение таких систем начинается не со всей больницы сразу, а с пилотных зон — наиболее критичных с точки зрения данных и уязвимых с точки зрения безопасности.
С чего начать: практические шаги для ЛПУ
Полный переход к Zero Trust, это эволюция, а не революция. Начинать следует с небольших, но значимых шагов, которые быстро дадут ощутимый результат и поддержат мотивацию команды.
-
Аудит и приоритизация. Составьте список всех информационных систем (ПИИС, ЛИС, архивы, системы медицинского оборудования). Определите, какие из них содержат наиболее чувствительные данные (персональные данные, истории болезней, результаты исследований). Именно с них и нужно начинать.
-
Внедрение MFA для привилегированных учётных записей. Первый и самый эффективный шаг. Начните с обязательной многофакторной аутентификации для администраторов, врачей, имеющих доступ к особым категориям данных (например, психиатрия, ВИЧ-статус). Используйте простые методы вроде TOTP-приложений. Это резко сократит риски, связанные с компрометацией паролей.
-
Ввод политики доверенных устройств. Разработайте чёткие требования к устройствам, которые могут подключаться к корпоративным ресурсам (шифрование диска, наличие антивируса, актуальная ОС). Запустите программу добровольной регистрации личных устройств сотрудников через MDM. Предоставьте взамен реальные преимущества — удобный удалённый доступ к данным.
-
Внедрение Single Sign-On (SSO). Интегрируйте систему единого входа с ключевыми приложениями. Каждое приложение, подключённое к SSO, уменьшает количество паролей, которые нужно помнить, и точек для потенциальной атаки. Начните с одного-двух самых используемых систем (например, электронная медкарта и система учёта назначений).
-
Постепенная сегментация сети. Выделите наиболее критичные сегменты сети (например, сеть операционных, серверную с персональными данными) и изолируйте их от остальной инфраструктуры. Ограничьте взаимодействие между сегментами строго необходимым трафиком.
-
Обучение без запугивания. Не проводите тренинги, наполненные абстрактными «киберугрозами». Покажите врачам и медсёстрам, как новые инструменты решают их ежедневные проблемы: быстрый доступ к анализам с любого устройства, отсутствие необходимости запоминать пароли, возможность безопасно работать удалённо. Безопасность должна ассоциироваться с удобством, а не с ограничениями.
Эффект от этих шагов становится заметен быстро: количество инцидентов, связанных с утерянными паролями и компрометацией учётных записей, падает на десятки процентов. Время, которое IT-специалисты тратят на рутинные операции по сбросу доступов, сокращается. Врачи получают более быстрый и удобный доступ к данным. Безопасность перестаёт быть пассивным барьером и становится активным элементом, обеспечивающим рабочий процесс.
Мифы и реальность: чего не стоит опасаться
Миф 1: Нужно выбросить всё старое оборудование и ПО. Реальность: Zero Trust, это в первую очередь архитектурный принцип, а не конкретный продукт. Его можно внедрять поверх существующей инфраструктуры. Устаревшие системы (legacy) часто не поддерживают современные протоколы аутентификации. В таком случае перед ними ставится шлюз доступа (Access Proxy) или используется подход «reverse proxy». Этот шлюз и становится точкой, где применяются все политики Zero Trust (проверка пользователя, устройства, контекста), а уже «за ним» legacy-система работает в своём обычном режиме. Железо серверов и сетевое оборудование также можно использовать, переконфигурируя его под задачи микросегментации.
Миф 2: Система будет постоянно требовать подтверждений и замедлит работу. Реальность: Современные системы Zero Trust строят поведенческие профили пользователей. Для рутинных действий в привычном контексте (врач заходит в систему со своего рабочего компьютера в рабочее время) доступ предоставляется мгновенно, без дополнительных подтверждений. Дополнительные проверки (step-up authentication) срабатывают только при аномальных действиях: попытка доступа из новой страны, в нерабочее время, к нехарактерным данным. Для пользователя это выглядит не как замедление, а как защита его учётной записи от несанкционированного использования.
Миф 3: Врачи и медперсонал будут сопротивляться. Реальность: Сопротивление возникает не к безопасности как таковой, а к неудобству. Если новая система означает, что вместо запоминания пяти разных паролей достаточно один раз приложить палец к сканеру, а потом иметь доступ ко всем системам, это воспримут как улучшение. Ключ — в коммуникации и демонстрации прямой выгоды для конечного пользователя. Важно показывать, как новые правила защищают не только данные больницы, но и личную ответственность самого врача от последствий утечки.
Миф 4: Zero Trust гарантирует 100% защиту. Реальность: Ни одна система не даёт абсолютной гарантии. Zero Trust кардинально меняет модель атаки для злоумышленника. В классической модели, проникнув внутрь периметра (например, с помощью фишинга), злоумышленник получал относительно свободный доступ к ресурсам. В модели Zero Trust даже скомпрометированные учётные данные (логин/пароль) бесполезны без второго фактора аутентификации, доверенного устройства и соответствия контексту. Это превращает потенциальный инцидент из катастрофического в локализованный. Задача Zero Trust — не сделать систему неуязвимой, а минимизировать ущерб и максимально затруднить жизнь злоумышленнику.
Итогом внедрения становится не просто «более безопасная больница». Меняется сама культура работы с данными. Безопасность перестаёт восприниматься как отдельный, мешающий делу, отдел с правилами «нельзя». Она становится неотъемлемой частью рабочего процесса, обеспечивающей его непрерывность и защищающей как пациентов, так и медицинский персонал. Это переход от безопасности как ограничения к безопасности как катализатору эффективности.