Дмитрий Сахарчук, BI.ZONE: Технология SD-WAN упрощает подключение филиалов медучреждений и снижает затраты на IT

Дмитрий Сахарчук: Если кратко, то SD-WAN — умная сеть, которая автоматизирована и работает практически без участия человека. Например, чтобы подключить новый филиал или медицинский пункт, не нужно вызывать инженера: устройство сможет установить и активировать любой сотрудник, знакомый с компьютером. Подключение нового офиса к корпоративной сети занимает всего 15 минут.

В отличие от традиционных сетей, управление полностью централизовано. Это сильно повышает уровень безопасности, исключает ручные ошибки и облегчает сопровождение даже в больших распределенных инфраструктурах.

Дмитрий Сахарчук: Для многих медицинских организаций собственное оборудование — это черный ящик. Основной объем медтехники — иностранный, что внутри и кто ей управляет — неизвестно. Как правило, у специалистов в медицинских организациях нет необходимых компетенций, чтобы в этом разобраться, поэтому они обращаются к BI.ZONE.

К примеру, один клиент из медицинской сферы поделился с нами следующей проблемой. В его инфраструктуре много сложной медицинской техники, подключенной к сети: томографов, мониторов жизненных показателей, аппаратов МРТ и КТ. И никто не знает, какие у этой техники операционные системы, как передаются данные, кто может получить к ним доступ. Мы предложили изолировать оборудование с помощью BI.ZONE Secure SD-WAN: подключать через выделенные устройства, сегментировать доступ, отслеживать сетевую активность и блокировать подозрительные соединения.

Дмитрий Сахарчук: Платформа BI.ZONE Secure SD-WAN разработана специально для организаций с распределенной сетью и отлично подходит для больниц, клиник и лабораторий. Все взаимодействие между филиалами, медцентрами, диагностическими лабораториями идет по зашифрованным туннелям, а управление устройствами происходит централизованно, через безопасный канал. Последнее особенно важно для региональных больниц и поликлиник, где часто нет технических специалистов нужной квалификации.

В медицине особенно остро стоит вопрос защиты персональных данных. Информационные системы медицинских учреждений регулярно становятся целью атак — это и фишинг, и проникновение через сетевую инфраструктуру. Взлом может привести не только к утечке персональных данных, но и к остановке критически важного оборудования. Это, в свою очередь, может помешать оказанию своевременной медицинской помощи, спасению человеческих жизней. Наша технология существенно усложняет злоумышленникам доступ к инфраструктуре медицинских учреждений.

Дмитрий Сахарчук: BI.ZONE Secure SD-WAN — это первая отечественная платформа класса SD-WAN с сертифицированной криптозащитой, отвечающая требованиям российских регуляторов и современным вызовам в сфере кибербезопасности. Решение включено в реестр отечественного ПО и имеет сертификат ФСБ СКЗИ класса КС1. Его возможности включают интеллектуальную маршрутизацию, отказоустойчивые каналы связи, централизованное управление и комплексную защиту уровня ZTNA (доступ по модели нулевого доверия).

Решение выполняет функции маршрутизации, коммутации, поддерживает VPN-доступ, работает как файрвол уровня L4. Есть встроенный сертифицированный криптошлюз, а также возможность установки LTE- и Wi-Fi-модулей — в зависимости от модели. В конце года мы планируем выпустить крупное обновление, где появятся функции класса NGFW: DPI и IDS/IPS — для глубокого анализа трафика и обнаружения/предотвращения вторжений.

BI.ZONE Secure SD-WAN снижает затраты на развертывание и эксплуатацию сетевой инфраструктуры в 2,5 раза — за счет объединения маршрутизатора, файрвола, криптошлюза, LTE-/Wi-Fi-роутера и средства удаленного доступа в одном устройстве. В основе платформы — собственная разработка компании BI.ZONE: сетевые серверы, заменяющие до семи традиционных сетевых устройств.

Дмитрий Сахарчук: С точки зрения безопасности, многое зависит от зрелости организации. В компаниях, где уже существуют стратегии кибербезопасности и нормативные требования к защите информационных систем, результат будет измеряться соответствием этим стандартам. Но на практике главный показатель — случаются ли после внедрения киберинциденты, связанные с сетевой безопасностью.

С экономической точки зрения, все зависит от сценария. Если инфраструктура устарела и ее в любом случае предстоит обновлять, выгоды от перехода на BI.ZONE Secure SD-WAN очевидны: одно устройство вместо семи, простота установки, централизованное управление.

Дмитрий Сахарчук: Некоторые опасаются, что централизованное управление несет дополнительные риски и в случае недоступности центрального офиса филиал тоже останется без связи. Этот риск снимается кластеризацией системы управления (контроллера), т.е. резервированием по схеме 1+1. Даже если система управления временно недоступна, сама сеть продолжит работать: маршруты сохранятся, политики безопасности не нарушатся. Не получится лишь временно добавлять новые устройства. Управлять всей сетью можно из единого центра управления (контроллера), который доступен в любом современном браузере, либо через API.

Кроме того, важен человеческий фактор. Специалисты привыкают к конкретным вендорам: знают их решения, типовые сбои, особенности администрирования. Новый продукт — это всегда стресс. Чтобы его снизить, мы предлагаем расширенную поддержку, проводим пилоты, предоставляем партнерские ресурсы, а также проводим обучение сотрудников компаний для работы с нашим решением. Часто консультируем сверх предусмотренного SLA. В некоторых проектах буквально дежурим вместе с заказчиком во время миграции: если что-то идет не так — тут же подключаемся и решаем.

Дмитрий Сахарчук: Если оборудование имеет службы управления, которые доступны через интернет, это абсолютно реальный вектор атаки. Мы регулярно видим, как злоумышленники взламывают оборудование, подключенное к сети, и используют полученный доступ для кражи данных, шантажа, остановки работы критических систем. Причем взлом может происходить задолго до активации атаки: есть группировки, которые проникают в сеть «на вырост» — устанавливают удаленный доступ и выставляют его на продажу в даркнете. Компания может думать, что все хорошо, но взлом для нее лишь вопрос времени.

Отдельный риск связан с тем, что большая часть медицинского оборудования в российских клиниках — импортная. Поставщик может прекратить поддержку, обновления могут стать недоступными, а по уязвимостям не будет никакой документации. Все эти факторы делают такие устройства уязвимым звеном в инфраструктуре.

Дмитрий Сахарчук: Сегодня в здравоохранении набирают обороты телемедицина, носимые устройства (датчики для мониторинга сердечного ритма, портативные регистраторы ЭКГ, мониторы артериального давления), а также выездные диагностические службы. И за каждым из этих трендов стоит один и тот же вызов — защита чувствительных данных. Медицинская информация — это не просто персональные данные, а данные особой категории, сбор и хранение которых жестко регулируются.

BI.ZONE Secure SD-WAN здесь может играть важную роль как один из компонентов защищенной инфраструктуры. Например, его можно интегрировать в мобильные решения — подключать машины скорой помощи, развертывать защищенный канал в полевых условиях. Мы обсуждали с одной организацией: врач выезжает к пациенту, записывает показания приборов на бумаге, а данные потом вручную вводятся в систему. Все потому, что безопасного способа передачи информации «с колес» пока нет. BI.ZONE Secure SD-WAN можно встроить в автомобиль или даже планшет, чтобы обеспечить защищенную передачу данных в режиме реального времени. Но, конечно, здесь требуются не только наши ресурсы, но и усилия со стороны производителей оборудования, операторов связи, разработчиков медицинских платформ. Мы в BI.ZONE готовы быть частью этой экосистемы, помогать искать архитектурные решения и двигаться к более защищенной и современной медицинской инфраструктуре.

Дмитрий Сахарчук: В том, что работа сети становится предсказуемой и безопасной. А значит, врачи могут сосредоточиться на пациентах, а не на IT-проблемах.