© ComNews
24.10.2024

ГК Softline (ПАО "Софтлайн") совместно с компанией RuSIEM (ООО "РуСИЕМ") реализовали проект для "Европейского медицинского центра" (EMC). По его итогам в ИТ-инфраструктуру клиники была внедрена система мониторинга, сбора и анализа событий ИБ, что позволило обеспечить комплексную защиту информации клиента за счет своевременного выявления и локализации действий киберпреступников.

Проект соответствует стратегии ГК Softline по развитию продуктов российских ИТ-производителей и трансформации рынка.

"Европейский медицинский центр" — одна из крупнейших в России частных многопрофильных клиник по оказанию высокотехнологичной помощи. Центр располагает необходимым оборудованием для проведения комплексной диагностики при любом заболевании. В центре применяются самые современные медицинские технологии: молекулярная визуализация (ПЭТ/КТ), роботизированная хирургия, новейшие методы лучевой терапии и радиохирургии, ангиографическая система последнего поколения для выполнения эндоваскулярных операций.

EMC требовалось подобрать и внедрить надежную систему мониторинга событий ИБ для того, чтобы отслеживать полную картину активности сетевой инфраструктуры. Для этого клиника обратилась к ГК Softline. Изучив задачи клиента, эксперты Softline предложили SIEM-систему RuSIEM — отечественный продукт, предназначенный как для сбора и анализа информации, так и для обнаружения атак и различных аномалий в организации, проведения глубокого анализа и проактивного поиска угроз в режиме реального времени, а также оперативного реагирования на инциденты и их дальнейшего расследования. Данное решение полностью отвечало требованиям медицинского центра.

Проект внедрения стартовал в 2023 г. с пилотного тестирования, в рамках которого SIEM-система была развернута в выделенной части инфраструктуры заказчика. Затем эксперты ГК Softline и RuSIEM подключили к ней основные источники данных, а также разработали правила корреляции, адаптированные под бизнес-процессы клиники, которые отражают специфику защиты информации о пациентах и их конфиденциальных данных. Дополнительно в SIEM был интегрирован функционал аналитики поведения пользователей (модуль RuSIEM Analytics), который позволяет обнаруживать инциденты, основанные на отклонении от типичного поведения. Это дало возможность медицинскому центру выявлять инциденты там, где логика не описана правилами корреляции.

"По итогам проекта для заказчика была организована комплексная система защиты информации. Благодаря внедрению SIEM-системы RuSIEM "Европейский медицинский центр" теперь может своевременно обнаруживать и выявлять компьютерные атаки, быстро на них реагировать и принимать эффективные решения для усиления безопасности ИТ-инфраструктуры. Кроме того, совместно с экспертами вендора мы разработали правила корреляции и нормализации событий ИБ, что позволило клиенту получить уникальный функционал под конкретные бизнес-процессы", — отметила менеджер по развитию бизнеса ГК Softline Екатерина Карива.

SIEM-система RuSIEM была задействована в отслеживании аномальной активности и выявлении попыток злоумышленников получить доступ к данным с помощью фишинговых писем. Функционал решения позволяет установить адрес отправителей писем и их жертв. Таким образом, специалисты информационной безопасности клиники могут предупреждать сотрудников о вредоносной рассылке.

"За счет грамотно построенного интерфейса система RuSIEM позволяет отслеживать попытки компрометации хостов в инфраструктуре заказчика, так как адрес атакующего виден даже без подробного изучения инцидента. Таким образом, реагирование на инциденты, устранение последствий и расследование действий атакующих при использовании нашей SIEM-системы становится быстрым, доступным, что помогает минимизировать или вовсе исключить ущерб для организации", — подчеркивает начальник отдела технического сопровождения продаж RuSIEM Даниил Вылегжанин.

"Мы стремимся не только оказывать качественную и эффективную помощь пациентам, но и надежно защищать их персональные данные и чувствительную информацию. Внедрение RuSIEM, выполненное командами Softline и RuSIEM, стало важным этапом на этом пути. В наших планах — дальнейшее расширение возможностей по защите данных. В настоящий момент мы используем модуль RuSIEM Analytics для расширенного обнаружения угроз и поведенческих аномалий, а также тестируем модуль RuSIEM IoC для обогащения системы данными об индикаторах компрометации", — рассказал директор по экономической и информационной безопасности "Европейский медицинский центр" (EMC) Андрей Братухин.