В марте 2021 года государства - члены ООН признали особую важность защиты инфраструктуры здравоохранения от угроз, связанных с использованием информационно-коммуникационных технологий (ИКТ). Соответствующий пункт был включен в итоговый доклад1 Рабочей группы открытого состава (РГОС) по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности - переговорного процесса, запущенного по инициативе России в 2018 году. Доклад опирается на прогресс, достигнутый в ООН и на других площадках более чем за два десятилетия международного обсуждения проблем кибер- и информационной безопасности2, но тема здравоохранения впервые заслужила отдельного упоминания. И поскольку документ принимался консенсусом, это свидетельствует об актуальности данного вопроса для всего международного сообщества.
Несмотря на то что инфраструктура здравоохранения рассматривается ведущими странами как часть критической инфраструктуры, она до настоящего момента не занимала видного места в международных дискуссиях о проблемах безопасности, связанных с использованием ИКТ. Следует отметить, что от компьютерных инцидентов в предыдущие годы пострадали организации сферы здравоохранения, а пандемия COVID-19 привлекла к этой проблеме особое внимание. Вопросы защиты больниц, медицинских исследовательских центров нашли отражение в докладе РГОС. Также обозначены возможности использования инструментов международного сотрудничества для практической деятельности по обеспечению информационной безопасности здравоохранения.
Здравоохранение как критическая инфраструктура
Несмотря на различия в подходах к защите критической инфраструктуры (КИ), ведущие страны относят здравоохранение к секторам КИ, требующим защиты в том числе от киберугроз.
- В России, согласно Федеральному закону «О безопасности критической информационной инфраструктуры Российской Федерации»3, здравоохранение указано первым в перечне сфер в определении субъектов критической информационной инфраструктуры (КИИ). Подробный список субъектов КИИ в сфере здравоохранения представлен в проекте методических рекомендаций по категорированию объектов КИИ4, разработанном Минздравом в 2020 году.
- В США, согласно президентской политической директиве (PРD-21) от 2013 года5, здравоохранение и общественное здоровье обозначены как один из 16 секторов критической инфраструктуры.
- На уровне Европейского союза сотрудничество по защите критической инфраструктуры, в том числе от киберугроз, осуществляется на основе директивы Совета ЕС 2008/114/EC6, в котором к КИ отнесены системы, жизненно важные для обеспечения здоровья людей.
- Проект требований к безопасности КИИ Китая7, опубликованный в 2017 году, относит здравоохранение к первой группе секторов КИИ наряду с энергетикой, финансовой сферой, транспортом и т. д.
На международном уровне вопросы информационной безопасности критической инфраструктуры обсуждаются почти два десятилетия. В 2002 году эта проблема впервые упоминается в тексте резолюции Генеральной Ассамблеи ООН «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности»8 (резолюция по одноименному пункту принимается ежегодно с 1998 г., когда ее впервые предложила Россия). В преамбуле резолюции 2002 года Генассамблея выражает «озабоченность тем, что эти [информационные] технологии и средства потенциально могут быть использованы в целях, не совместимых с задачами обеспечения международной стабильности и безопасности, и могут негативно воздействовать на целостность инфраструктуры государств, нарушая их безопасность применительно как к гражданской, так и к военной сферам».
К 2010-м годам тема информационной безопасности критической инфраструктуры государств закрепляется в повестке международных переговоров под эгидой ООН. В результате она занимает важное место в консенсусных докладах 2010-го, 2013-го и 2015 годов, подготовленных группами правительственных экспертов (ГПЭ) - основного формата переговоров в этот период, в рамках которого были выработаны общие подходы к ИКТ в контексте международной безопасности.
Однако критическая инфраструктура в документах ООН, как правило, упоминается без конкретизации. На практике же к росту внимания к отдельным секторам КИ приводили громкие киберинциденты. Так, обнаружение червя Stuxnet, использовавшегося для саботажа процесса обогащения урана на иранском заводе в Натанзе, повысило актуальность защиты автоматизированных систем управления технологическими процессами. Масштабные атаки на финансовый сектор заставили банки и другие финансовые организации повысить приоритет информационной безопасности. Скандалы вокруг президентских выборов в США в 2016 году послужили поводом для активизации усилий по обеспечению безопасности электоральной инфраструктуры.
Аналогичный процесс наблюдается и в сфере здравоохранения. Несмотря на долгую историю компьютерных инцидентов, наносящих ущерб организациям в данном секторе, международное сообщество по-настоящему обратило внимание на информационную безопасность здравоохранения только в связи с пандемией COVID-19.
Киберугрозы инфраструктуре здравоохранения
Краткий обзор компьютерных инцидентов, затронувших организации здравоохранения, помогает проиллюстрировать угрозы, с которыми сталкивается этот сектор при обеспечении информационной безопасности.
В базе данных об известных промышленных инцидентах безопасности, связанных с ИКТ9, охватывающей период с начала 1980-х по 2014 год, зафиксировано пять таких инцидентов в сфере здравоохранения. Так, в 2006 году компьютерный вирус вывел из строя два линейных ускорителя в британском госпитале, что привело к переносу радиотерапии для 80 раковых пациентов10. В 2008 году из-за заражения червем Mytob три лондонских госпиталя приостановили работу на сутки11. В 2009 году в США злоумышленник, работавший охранником госпиталя в Техасе, был задержан за взлом больничных информационных систем, в том числе системы отопления, вентиляции и кондиционирования .
Во второй половине 2010-х годов количество подобных инцидентов и их масштаб только нарастали. Среди видов атак на организации здравоохранения можно выделить вирусы-шифровальщики. В 2017 году в результате глобальной атаки WannaCry серьезно пострадала система здравоохранения Великобритании. Согласно расследованию британской Счетной палаты , атака шифровальщика затронула треть из 236 организационных подразделений (трастов) Национальной системы здравоохранения (NHS) Англии - как напрямую, так и в связи с отключением устройств из предосторожности. Кроме того, заражены были еще более 600 организаций NHS.
Сохранность медицинских данных также оказывается под угрозой из-за действий злоумышленников. В 2018 году в результате кибератаки на информационную систему Службы здравоохранения Сингапура (SingHealth) произошла утечка персональных данных примерно 1,5 млн. пациентов, причем записи 159 тысяч из них содержали информацию о назначенных лекарствах14. Согласно результатам расследования, злоумышленники проявляли особый интерес к персональным данным премьер-министра страны.
Пандемия COVID-19 в 2020-2021 годы резко увеличила нагрузку на сектор здравоохранения во всех странах и усугубила ситуацию в области информационной безопасности. Злоумышленники использовали опасения людей, вызванные распространением коронавирусной инфекцией, в фишинговых рассылках, создания поддельных сайтов.
С киберугрозами столкнулись самые разные организации, связанные со здравоохранением. Так, атакам шифровальщиков подвергались не только больницы, но и фармацевтические компании. В октябре 2020 года индийская фармкомпания «Dr. Reddy’s Laboratories», проводившая испытания российской вакцины «Спутник V», сообщила об инциденте информационной безопасности, целью которой было получение выкупа15.
С начала глобального кризиса многочисленным кибератакам подвергается Всемирная организация здравоохранения. Причем CIO ВОЗ заявлял16, что за некоторыми атаками стоят государства. Bloomberg в мае со ссылкой на анонимные источники сообщало17, что за фишинговыми письмами в ВОЗ стоят иранские хакеры.
Действительно, во время пандемии неоднократно сообщалось об атаках, в которых якобы были замешаны те или иные государства. Так, 5 мая национальные агентства по кибербезопасности Великобритании и США выпустили рекомендации18 относительно атак спонсируемых государствами группировок (APT) на организации, участвующие в борьбе с пандемией; в СМИ19 сообщалось, что за атаками стоят Иран, Россия и, возможно20, Китай - правда, без предметных обвинений со стороны чиновников.
14 мая 2020 года Госдепартамент США осудил21 «попытки аффилированных с КНР акторов похитить американские исследования COVID-19». Это заявление опиралось на заключение ФБР и Министерства внутренней безопасности США22 о том, что потенциальная кража информации, касающейся вакцины, лечения и тестирования, «подрывает предоставление надежных, действенных и эффективных вариантов лечения». Отличием заявления Госдепартамента было официальное указание на конкретную страну - КНР.
Китай назывался не только виновником, но и жертвой кибератак. 23 апреля австралийское издание «The Australian» сообщило23 о взломе Уханьского института вирусологии с помощью данных, слитых24 накануне в Интернет. 9 мая это же издание написало25 со ссылкой на того же источника (основателя австралийской фирмы по кибербезопасности), что из института якобы была украдена база данных, в которой велся учет случаев коронавируса в Китае.
Возросшая угроза здравоохранению со стороны киберпреступников, а также подозрения в причастности государств к некоторым атакам способствовали тому, что вопросы информационной безопасности здравоохранения вошли в повестку дня международных переговоров.
Здоровый консенсус
Одновременно с тем как США и Великобритания выступали с обвинениями в адрес предполагаемых виновников атак, начал формироваться и другой подход к международному решению этой проблемы, ориентированный на уточнение норм, которых должны придерживаться государства. На это были направлены как публичные заявления, так и конкретные предложения в рамках переговорного процесса РГОС.
30 апреля 2020 года верховный представитель Евросоюза по иностранным делам и политике безопасности Жозеп Боррель от лица ЕС осудил26 кибератаки на здравоохранение и другие жизненно важные секторы и призвал всех виновных немедленно остановиться. В заявлении не упоминались какие-либо конкретные государства, но ЕС призывал все страны «проявлять должную осмотрительность и принимать надлежащие меры в отношении акторов, осуществляющих такую [вредоносную] деятельность с их территории, в соответствии с международным правом» и докладами ГПЭ 2010-го, 2013-го и 2015 годов.
В рамках переговоров РГОС одними из первых идею закрепить защиту здравоохранения от кибератак на международном уровне выдвинули27 Нидерланды. В своем комментарии к рабочей версии (pre-draft) готовящегося доклада голландцы предложили28, чтобы РГОС рекомендовала государствам рассматривать здравоохранение в контексте рекомендации 13(f) доклада ГПЭ 2015 года29 - то есть как часть критической инфраструктуры, против которой не должны проводиться кибератаки.
В июле 2020 года эту идею поддержала и Россия, предложив при уточнении обязательств по ненападению на КИ не ограничиваться только здравоохранением. Спецпредставитель президента по вопросам международного сотрудничества в области информационной безопасности Андрей Крутских заявил: «Россия разделяет мнение ряда стран о необходимости защиты ИКТ-инфраструктуры в сфере здравоохранения. Предлагаем закрепить за государствами обязательство воздерживаться от нападений не только на медицинские объекты, но и в целом на критическую информационную инфраструктуру учреждений, предоставляющих жизненно важные государственные услуги, в частности в сфере образования, энергетики, транспорта, а также в банковской и финансовой сферах»30.
Параллельно с дискуссией на межгосударственном уровне предложения по защите здравоохранения от киберугроз выдвигались и неправительственными организациями.
Оксфордский институт этики, права и вооруженных конфликтов 21 мая 2020 года выпустил заявление с оценкой того, какие положения международного права служат защитой от киберопераций против здравоохранительного сектора31. В заявлении, подписанном более чем 130 юристами из разных стран, приводился список интерпретаций международного права относительно защиты здравоохранительных организаций от кибератак. Подписанты призывали государства руководствоваться этими пунктами при выработке национальных позиций в рамках их участия в международных процессах и обсуждениях.
25 мая неправительственная организация «CyberPeace» Institute (финансируемая в том числе компаниями «Mastercard» и «Microsoft» и фондом Hewlett Foundation) выпустила призыв к правительствам о необходимости объединить усилия для борьбы с кибератаками на медицинский сектор32, который поддержали более 50 авторитетных деятелей, в том числе и бывший министр иностранных дел России Игорь Иванов. В нем была зафиксирована поддержка позиции МККК о необходимости защищать медицинские учреждения от кибератак. В документе правительства призывались «работать сообща и объединить усилия с гражданским обществом и частным сектором, добиваясь того, чтобы медицинские учреждения пользовались уважением и защитой, а виновные привлекались к ответу». Первым делом правительствам предлагалось «принять меры, чтобы покончить с кибератаками на больницы и другие лечебные учреждения».
Усилия государств и других акторов по привлечению внимания к проблеме информационной безопасности здравоохранения способствовали тому, что в рамках РГОС вокруг этой темы сложился консенсус. В результате сектор здравоохранения получил особое упоминание в принятом в марте 2021 года докладе33.
Здравоохранение как часть КИ упоминается в двух параграфах. В параграфе 18 (раздел «Существующие и потенциальные угрозы») медицинские учреждения названы в числе секторов, которые могут быть отнесены государствами к КИ наряду с финансовыми услугами, энергетикой, водоснабжением, транспортном и санитарией, а также электоральными процессами, государственными институтами и доступом, и целостностью Интернета.
В параграфе 26 (раздел «Нормы, правила и принципы ответственного поведения государств») здравоохранение упоминается отдельно. И в русле предложения Нидерландов на этот сектор прямо распространяется действие норм, относящихся к КИ из доклада ГПЭ 2015 года.
Таким образом, в докладе РГОС 2021 года был закреплен особый статус здравоохранения с точки зрения обязательств государств в контексте использования ими ИКТ.
Практическое сотрудничество
По итогу переговоров в формате РГОС государства согласились рассматривать здравоохранение как часть КИ, для которой действуют ранее согласованные добровольные нормы, правила и принципы ответственного поведения, в частности обязательство не участвовать в деятельности с использованием ИКТ, наносящей ущерб КИ.
Помимо достижения взаимопонимания на нормативном уровне государства могут содействовать обеспечению информационной безопасности здравоохранения за счет практического сотрудничества. Рекомендации о развитии такого сотрудничества содержатся в докладе РГОС, предыдущих докладах ГПЭ и других международных документах. Перспективными представляются следующие три направления сотрудничества.
Во-первых, приоритетом государств могло бы стать взаимодействие правоохранительных органов в части обмена информацией и расследования компьютерных преступлений в отношении организаций здравоохранения. Естественной мотивацией к этому для правоохранителей является то, что многие группы совершают нападения на организации в разных юрисдикциях. Соответственно и противодействие этой угрозе будет более эффективным при условии рабочих контактов между ведомствами из соответствующих стран, которые могут расследовать деятельность одной и той же группы. Такое сотрудничество вдобавок пошлет недвусмысленный сигнал тем государствам, которые рассчитывают использовать киберпреступников как прокси для решения собственных задач.
Во-вторых, вклад в обеспечение информационной безопасности здравоохранения может внести более тесное и специализированное взаимодействие между командами по предотвращению компьютерных инцидентов (CERT’ами). В таких странах, как Великобритания, Нидерланды и Люксембург в сфере здравоохранения действуют отраслевые CERT’ы. Там, где отдельных отраслевых команд нет, специализация может развиваться внутри национальных CERT’ов. Взаимодействие по линии CERT’ов рассматривается в международной практике как важная мера по укреплению доверия, и государствам следует сделать здравоохранение одним из приоритетов такого сотрудничества.
Наконец, в-третьих, как показало расследование утечки данных SingHealth, а также анализ других атак на медицинские организации, в этом секторе ощущается нехватка экспертизы в области информационной безопасности. Государства могут определить здравоохранение одним из приоритетов программ развития потенциала (capacity-building), которые могут включать обучение персонала, предоставление финансовой и технической помощи, содействие во внедрении лучших практик и т. д. Такие меры будут востребованы как в развивающихся, так и развитых странах.
Безусловно, в России, как и других странах основные меры по обеспечению информационной безопасности здравоохранения продолжат приниматься на национальном уровне. Но успешный опыт РГОС показывает, что дипломатия способна внести весомый вклад в решение этой задачи.
1Final Substantive Report. Open-ended working group on developments in the field of information and telecommunications in the context of international security. A/AC.290/2021/CRP.2 // URL: https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290-2021-CRP.2.pdf
2Шакиров Олег. Широкий киберконсенсус. Российский совет по международным делам. 2021 // URL: https://russiancouncil.ru/analytics-and-comments/analytics/shirokiy-kiberkonsensus/
3Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017. №187-ФЗ // URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/285-zakony/1610-federalnyj-zakon-ot-26-iyulya-2017-g-n-187-fz
4Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. Министерство здравоохранения РФ. 2020 // URL: https://portal.egisz.rosminzdrav.ru/files/Методический_документ_КИИ_финальный_для_печати_для%20отправки_в_МЗ_проект.pdf
5Presidential Policy Directive -- Critical Infrastructure Security and Resilience. Presidential Policy Directive/PPD-21. White House. 2013 // URL: https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil
6Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection // URL: https://eur-lex.europa.eu/eli/dir/2008/114/oj
7Critical Information Infrastructure Security Protection Regulations. China Copyright and Media. 2017//URL: https://chinacopyrightandmedia.wordpress.com/2017/07/10/critical-information-infrastructure-security-protection-regulations/
8Резолюция Генеральной Ассамблеи ООН 57/53. 2002 // URL: https://undocs.org/ru/A/RES/57/53
9Repository of Industrial Security Incidents (RISI) // URL: https://www.risidata.com/
10Cancer Treatment Delayed by Virus. RISI // URL: https://www.risidata.com/Database/Detail/cancer_treatment_delayed_by_virus
11Computer Virus Infects Three London Hospitals. RISI // URL: https://www.risidata.com/Database/Detail/computer_virus_infects_three_london_hospitals
12Hospital HVAC Hack. RISI // URL: https://www.risidata.com/Database/Detail/hospital_hvac_hack
13Investigation: WannaCry cyber attack and the NHS. National Audit Office of the United Kingdom. 2018 // URL: https://www.nao.org.uk/wp-content/uploads/2017/10/Investigation-WannaCry-cyber-attack-and-the-NHS.pdf
14Public Report of the Committee of Inquiry (COI) into the cyber attack on Singapore Health Services Private Limited Patient Database. Ministry of Communications and Information of Singapore. 2019 // URL: https://www.mci.gov.sg/pressroom/news-and-stories/pressroom/2019/1/public-report-of-the-coi
15Испытывающая «Спутник V» индийская компания сообщила о кибератаке. РИА Новости. 2020 // URL: https://ria.ru/20201028/kiberataka-1581971264.html
16Gallagher Ryan. Hackers Target Top Officials at World Health Organization. Bloomberg. 2020 // URL: https://www.bloomberg.com/news/articles/2020-04-21/top-officials-at-world-health-organization-targeted-for-hacks
17Gallagher Ryan. Hackers Target WHO by Posing as Think Tank, Broadcaster. Bloomberg. 2020 // URL: https://www.bloomberg.com/news/articles/2020-05-07/hackers-target-who-by-posing-as-think-tank-broadcaster
18Advisory: APT groups target healthcare and essential services. Nationa Cyber Security Centre of the United Kingdom. 2020 // URL: https://www.ncsc.gov.uk/news/apt-groups-target-healthcare-essential-services-advisory
19Cole Harry. Iran and Russia launch hacking attacks on British universities in attempt to steal coronavirus vaccine secrets. Daily Mail. 2020 // URL: https://www.dailymail.co.uk/news/article-8281091/Iran-Russia-launch-hacking-attacks-British-unis-attempt-steal-vaccine-secrets.html
20Grierson Jamie and Hannah Devlin. Hostile states trying to steal coronavirus research, says UK agency. The Guardian. 2020 // URL: https://www.theguardian.com/world/2020/may/03/hostile-states-trying-to-steal-coronavirus-research-says-uk-agency
21Pompeo Michael R. The United States Condemns Attempts by P.R.C.-Affiliated Actors To Steal American COVID-19 Research. U.S. Department of State. 2020 // URL: https://www.state.gov/the-united-states-condemns-attempts-by-prc-affiliated-actors-to-steal-american-covid-19-research/
22People’s Republic of China (PRC) Targeting of COVID-19 Research Organizations. U.S. Federal Bureau of Investigation. 2020 // URL: https://www.fbi.gov/news/pressrel/press-releases/peoples-republic-of-china-prc-targeting-of-covid-19-research-organizations/
23Griggith Chris. Wuhan’s Labs hacked, says Australian online security expert. The Australian. 2020 // URL: https://www.theaustralian.com.au/business/technology/wuhans-labs-have-been-hacked-says-australian-online-security-expert/news-story/5b64c1bad7eb73cfbcffee290527f459
24Wakefield Jane. Coronavirus: Health leaders’ credentials dumped online. BBC. 2020 // URL: https://www.bbc.com/news/technology-52381356
25Griggith Chris. Coronavirus: Hacked Wuhan lab records show unreported cases in wider area. The Australian. 2020 // URL: https://www.theaustralian.com.au/nation/coronavirus-wuhan-lab-records-show-unreported-cases-in-wider-area/news-story/e033a72402e65cfb9e95472fddaff98e
26Declaration by the High Representative Josep Borrell, on behalf of the European Union, on malicious cyber activities exploiting the coronavirus pandemic. Council of the EU. 2020 // URL: https://www.consilium.europa.eu/en/press/press-releases/2020/04/30/declaration-by-the-high-representative-josep-borrell-on-behalf-of-the-european-union-on-malicious-cyber-activities-exploiting-the-coronavirus-pandemic/
27Gold Josh. Amid COVID-Related Cyber Threats, the Netherlands Leads UN Efforts. Council on Foreign Relations. 2020 // URL: https://www.cfr.org/blog/amid-covid-related-cyber-threats-netherlands-leads-un-efforts
28The Kingdom of the Netherlands’ response to the pre-draft report of the OEWG. 2020 // URL: https://front.un-arm.org/wp-content/uploads/2020/04/kingdom-of-the-netherlands-response-pre-draft-oewg.pdf
29Параграф 13(f) - это один из 11 добровольных норм, правил и принципов ответственного поведения государств, рекомендованных Группой правительственных экспертов в докладе 2015 г. Целиком он звучит следующим образом: «Государство не должно осуществлять или заведомо поддерживать деятельность в сфере ИКТ, если такая деятельность противоречит его обязательствам по международному праву, наносит преднамеренный ущерб критически важной инфраструктуре или иным образом препятствует использованию и функционированию критически важной инфраструктуры для обслуживания населения». Доклад Группы правительственных экспертов по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности. A/70/174. 2015 // URL: https://undocs.org/ru/A/70/174
30Крутских А. Две гиперпандемии на одно человечество - слишком много! // Международная жизнь. 2020. №7 // URL: https://interaffairs.ru/news/show/26947
31The Oxford Statement on the International Law Protections Against Cyber Operations Targeting the Health Care Sector. Oxford Institute for Ethics, Law & Armed Conflict (ELAC). 2020 // URL: https://www.elac.ox.ac.uk/the-oxford-statement-on-the-international-law-protections-against-cyber-operations-targeting-the-hea/
32A Call to All Governments: Work Together Now to Stop Cyberattacks on the Healthcare Sector. CyberPeace Institute. 2020 // URL: https://cyberpeaceinstitute.org/call-for-government
33Final Substantive Report. Open-ended working group on developments in the field of information and telecommunications in the context of international security. A/AC.290/2021/CRP.2 // URL: https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290-2021-CRP.2.pdf