Национальная служба здравоохранения Великобритании (NHS) в открытом письме изложила планы по активному сотрудничеству с вендорами для повышения устойчивости к киберугрозам в системе здравоохранения и социального обеспечения. Этот шаг последовал за добровольной хартией по кибербезопасности цепочек поставок, принятой отраслевыми ведомствами в ответ на «эндемические» атаки программ-вымогателей на медицинские учреждения.
«Кибератаки представляют собой постоянный и системный риск по всей Великобритании, и сектор здравоохранения и социального обеспечения не является исключением, — говорится в письме. — Хотя хартия обеспечивает хорошую поддержку, масштаб и устойчивость угрозы заставляют нас развивать это добровольное обязательство посредством более прямого и соразмерного взаимодействия с поставщиками для защиты основных услуг».
В письме отмечается, что законопроект о кибербезопасности и устойчивости, а также недавно опубликованный правительственный план действий в данной области подтверждают необходимость более эффективного и упреждающего управления рисками во всех важнейших подразделениях Национальной службы здравоохранения, включая цепочку поставок. В этих целях даётся подробное описание того, как NHS England или соответствующие контрактные органы будут связываться с вендорами для обсуждения ключевых ИБ-мер и потенциальных рисков для цепочки поставок.
Представители ведомств подчёркивают, что эта схема «не является аудитом» или «проверкой на соответствие требованиям». Скорее программа «направлена на выявление рисков и совместную работу по согласованию соразмерных мер по их устранению, что повышает устойчивость для всех». От организаций-поставщиков ожидают следующих действий:
- поддержание и обновление систем для защиты от известных уязвимостей;
- соблюдение «стандартов, соответствующих требованиям» в наборе инструментов обеспечения безопасности и защиты данных;
- применение многофакторной аутентификации и её интеграция в продукты, используемые NHS, где это необходимо;
- внедрение эффективного мониторинга и ведение журналов критически важной ИТ-инфраструктуры;
- обеспечение резервного копирования, которое невозможно изменить, и наличие протестированных планов восстановления;
- проведение учений на уровне совета директоров.
Усам Оздемиров
