«Европейский медицинский центр» — одна из крупнейших в России частных многопрофильных клиник по оказанию высокотехнологичной помощи. Центр располагает необходимым оборудованием для проведения комплексной диагностики при любом заболевании. В центре применяются самые современные медицинские технологии: молекулярная визуализация (ПЭТ/КТ), роботизированная хирургия, новейшие методы лучевой терапии и радиохирургии, ангиографическая система последнего поколения для выполнения эндоваскулярных операций.
EMC требовалось подобрать и внедрить надежную систему мониторинга событий ИБ для того, чтобы отслеживать полную картину активности сетевой инфраструктуры. Для этого клиника обратилась к ГК Softline. Изучив задачи клиента, эксперты ГК Softline предложили SIEM-систему RuSIEM — отечественный продукт, предназначенный как для сбора и анализа информации, так и для обнаружения атак и различных аномалий в организации, проведения глубокого анализа и проактивного поиска угроз в режиме реального времени, а также оперативного реагирования на инциденты и их дальнейшего расследования. Данное решение полностью отвечало требованиям медицинского центра.
Проект внедрения стартовал в 2023 году с пилотного тестирования, в рамках которого SIEM-система была развернута в выделенной части инфраструктуры заказчика. Затем эксперты ГК Softline и RuSIEM подключили к ней основные источники данных, а также разработали правила корреляции, адаптированные под бизнес-процессы клиники, которые отражают специфику защиты информации о пациентах и их конфиденциальных данных. Дополнительно в SIEM был интегрирован функционал аналитики поведения пользователей (модуль RuSIEM Analytics), который позволяет обнаруживать инциденты, основанные на отклонении от типичного поведения. Это дало возможность медицинскому центру выявлять инциденты там, где логика не описана правилами корреляции.
«По итогам проекта для заказчика была организована комплексная система защиты информации. Благодаря внедрению SIEM-системы RuSIEM — современного и надежного решения для мониторинга и управления инцидентами ИБ, ”Европейский медицинский центр“ теперь может своевременно обнаруживать и выявлять компьютерные атаки, быстро на них реагировать и принимать эффективные решения для усиления безопасности ИТ-инфраструктуры. Кроме того, совместно с экспертами вендора мы разработали правила корреляции и нормализации событий ИБ, что позволило клиенту получить уникальный функционал под конкретные бизнес-процессы», — отметила Екатерина Карива, менеджер по развитию бизнеса ГК Softline.
SIEM-система RuSIEM была задействована в отслеживании аномальной активности и выявлении попыток злоумышленников получить доступ к данным с помощью фишинговых писем. Функционал решения позволяет установить адрес отправителей писем и их жертв. Таким образом, специалисты информационной безопасности клиники могут предупреждать сотрудников о вредоносной рассылке.
«За счет грамотно построенного интерфейса система RuSIEM позволяет отслеживать попытки компрометации хостов в инфраструктуре заказчика, так как адрес атакующего виден даже без подробного изучения инцидента. Таким образом, реагирование на инциденты, устранение последствий и расследование действий атакующих при использовании нашей SIEM-системы становится быстрым, доступным, что помогает минимизировать или вовсе исключить ущерб для организации», — подчеркивает Даниил Вылегжанин, начальник отдела технического сопровождения продаж RuSIEM.
«Как ведущая частная клиника в России, мы стремимся не только оказывать качественную и эффективную помощь пациентам, но и надежно защищать их персональные данные и чувствительную информацию. Внедрение RuSIEM, выполненное командами Softline и RuSIEM, стало важным этапом на этом пути, — рассказывает Андрей Братухин, директор по экономической и информационной безопасности «Европейского медицинского центра» (EMC). — В наших планах — дальнейшее расширение возможностей по защите данных. В настоящий момент мы используем модуль RuSIEM Analytics для расширенного обнаружения угроз и поведенческих аномалий, а также тестируем модуль RuSIEM IoC для обогащения системы данными об индикаторах компрометации».