Когда клиент бронирует путёвку в санаторий (на сайте / по номеру телефона / от стойки), он оставляет свои персональные данные (ПД) — ФИО, номер телефона и паспорта и т.д. С этого момента курорт становится оператором ПД, а значит, должен надёжно защищать их от злоумышленников. О том, как это сделать, узнаете ниже.
Персональные данные гостей хранятся и обрабатываются в цифровом виде: через компьютеры, программное обеспечение, систему лояльности, Wi-Fi соединение, POS-терминал, принтеры и другие устройства. Все эти системы могут подвергаться кибератаками.
Как защитить курорт от утечки ПД гостей и сотрудников?
1. Проведите аудит информационной безопасности объекта. Для этого лучше обратиться к специализированному подрядчику. Он поможет оценить уровень защиты сетевого оборудования и программного обеспечения курорта; выявить уязвимости и определить приоритетные направления для улучшения.
Чтобы ничего не упустить, используйте наш чек-лист. Для скачивания оставьте заявку на автоматизацию ниже в этой статье (анкету найдёте в пункте «Как ещё обезопасить данные пациентов от утечки»).
2. Обеспечьте правильную работу с персональными данными (ПД):
- Подготовьте полный пакет документов для правомерной работы с персональными данными гостей: политику конфиденциальности, согласия, приказы о назначении ответственных и другие документы.
- Сообщите Роскомнадзору, что курорт является оператором персональных данных гостей. Подать уведомление можно через специальную форму на официальном сайте службы.
- Обучите персонал правильной работе с ПД. Например, нельзя сообщать телефон гостя другим отдыхающим или оставлять открытые копии паспортов на ресепшен. Возьмите с сотрудников, имеющих доступ к ПД гостей, соглашение о неразглашении персональных данных клиента. Важно также добавить пункт об обработке ПД в должностные инструкции работников.
- Назначьте ответственного за обработку персональных данных, закрепите это документально и передайте информацию в Роскомнадзор. То же самое сделайте с местом хранения ПД. Пропишите полный адрес курорта, номер кабинета, шкафа / сейфа. Не забудьте указать не только бумажные, но и электронные носители данных — жёсткие диски, серверы и т.д.
- Своевременно уничтожайте персональные данные — по истечению срока хранения или запросу гостя. Составить акт об уничтожении и провести процедуру нужно по правилам Роскомнадзора.
Что ещё важно помнить:
- Внедрите активное согласие на обработку ПД в лид-формах на сайте и в модуле бронирования санатория. Это значит, что пользователь должен сам ставить галочку в нужном месте. Если она стоит в ячейке по умолчанию, это нарушение закона.
- Для распространения персональных данных гостей / сотрудников требуется отдельное согласие. Его нужно запросить, если, например, вы хотите опубликовать на сайте курорта отзыв клиента с указанием Ф.И.О. или информацию о медперсонале.
- Использовать ПД нужно строго по назначению. Например, санаторий запросил у клиента электронную почту, чтобы отправить на неё информацию о бронировании, а затем использовал адрес для рекламных рассылок, хотя не отразил эту цель в политике конфиденциальности. В таком случае курорт нарушает закон.
- Медицинские данные относятся к врачебной тайне и требуют ещё более осторожного обращения. Одно из последних правовых обновлений, связанное с ПД пациентов, — постановление «О единой государственной информационной системе в сфере здравоохранения». Каждые несколько месяцев контроль за порядком и сроками предоставления данных в ЕГИСЗ усиливается. Например, чтобы обезопасить ПД пациентов, правительство РФ обязало медучреждения использовать специальные алгоритмы шифрования данных. Если раньше данные в РЭМД можно было передавать в PDF-формате, теперь информацию о пациентах необходимо конвертировать в формат структурированного электронного медицинского документа — CDA.
Как ещё обезопасить данные пациентов от утечки:
- Все специалисты, участвующие в лечении пациента, должны коммуницировать в едином и защищённом пространстве — МИС. Телефонные звонки и переписки в мессенджерах — не самый безопасный способ обсудить диагнозы, сомнения и рекомендации.
- Настроить гибкий контроль доступа к данным пациента для разных сотрудников. Каждый специалист должен видеть только ту информацию, которая необходима для выполнения его рабочих обязанностей.
В «Санаториум» есть все инструменты для безопасной работы с персональными данными гостей и пациентов.
Ответьте на 5 вопросов, чтобы узнать о них подробнее, и получите доступ к бонусу — скачайте чек-лист «Кибербезопасность санатория».
Что изменится в здравнице после внедрения «Санаториум»? Собрали для вас 10 кейсов наших клиентов. Изучите их ЗДЕСЬ.
3. Создайте условия для надёжной защиты данных. Используйте:
- VPN-соединение. Виртуальная частная сеть обеспечивает безопасный доступ к внутренним ресурсам и данным санатория, а также помогает сотрудникам, работающим удалённо, подключаться к корпоративным платформам. При этом конфиденциальные данные надёжно защищены от несанкционированного доступа.
- Системы обнаружения и предотвращения вторжений (IDS / IPS), чтобы вовремя выявлять подозрительную активность.
- Гибкие настройки доступа к данным для сотрудников. Например, в «Санаториум» для разных пользователей можно задать разные права и полномочия в системе.
- Многофакторную аутентификацию для доступа к ПО, онлайн-сервисам и аккаунтам. Введение дополнительных кодов поможет предотвратить несанкционированный доступ и защитить данные от киберугроз.
- Хостинг-провайдеры с SSL-сертификатом для защиты сайта санатория.
- Лицензионное ПО. Проверьте актуальность лицензий на программное обеспечение: требуется ли обновление? С каждой новой версией разработчики совершенствуют безопасность ИТ-продуктов. В устаревших программах кибермошенникам проще найти лазейки, чтобы получить доступ к персональным данным гостей / сотрудников здравницы.
4. Внедрите автоматическое и регулярное резервное копирование всей критически важной информации. Это позволит не только сохранить данные в случае технических сбоев, кибератак или ошибок персонала, но и быстро восстановить работу без потерь. Резервные копии лучше хранить в зашифрованном виде на внешних защищённых серверах или в надёжном облачном хранилище. Настройте график копирования — как минимум раз в сутки, с обязательной проверкой целостности данных.
5. Обеспечьте максимальную безопасность Wi-Fi соединения в санатории. Для этого установите сложный пароль и регулярно меняйте его. Лучше разделить сеть: одну использовать для гостей, другую — для сотрудников. Это поможет избежать несанкционированного доступа к конфиденциальной информации. Не используйте открытую сеть без пароля и отключите отображение основной сети, чтобы посторонние не могли легко её найти.
Требования законодательства при настройке публичной точки Wi-Fi:
- Федеральный закон «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей» от 05.05.2014 N 97-ФЗ
- Статья 10.1. Обязанности организатора распространения информации в сети «Интернет». Например, организатор доступа в Интернет обязан хранить информацию о посещениях пользователей в течении 6 месяцев и предоставлять по требованию органов правопорядка.
- Статья 13.31. Неисполнение обязанностей организатором распространения информации в сети «Интернет».
- Постановление Правительства РФ от 31.12.2021 N 2606 (ред. от 30.09.2023) «Об утверждении Правил оказания услуг связи по передаче данных». Организатор доступа в Интернет обязан идентифицировать личность пользователей по номеру телефона или паспортным данным.
* Как организатору публичной Wi-Fi-сети избежать штрафов и утечки данных? Проверьте свой курорт по этой памятке.
6. Ограничьте самостоятельную установку программ / программного обеспечения сотрудниками. Это поможет предотвратить попадание вредоносного ПО и приложений, открывающих доступ к конфиденциальной информации. Создайте простой и понятный алгоритм подачи заявки на установку нужного софта: например, через внутреннюю форму или сообщение IT-специалисту. Регулярно проверяйте, не было ли попыток обойти запрет, чтобы вовремя обнаружить потенциальную угрозу и избежать проблем.
7. Установите антивирусную защиту на всех рабочих ПК и других устройствах. Регулярно обновляйте её и проводите проверку устройств на наличие угроз. Антивирус защитит от краж данных и сбоев в работе систем. Настройте регулярное полное сканирование (например, раз в неделю), а не только быструю проверку.
Важно: Ограничьте использование сотрудниками внешних носителей. USB-флешки, карты памяти, внешние жёсткие диски — именно через них в корпоративные устройства часто попадают вирусы. Чтобы следить за соблюдением регламента, используйте DLP-систему. Она защитит объект от утечки информации, автоматически контролируя любое перемещение данных. Если сотрудник подключит к рабочему компьютеру флешку, программа заблокирует операцию и оповестит о нарушении специалиста, ответственного за информационную безопасность курорта.
8. Обучайте сотрудников основам кибербезопасности. Поскольку системы информационной безопасности совершенствуются, утечки данных всё чаще происходят за счёт социальной инженерии — звонков / сообщений, где мошенник манипулирует собеседником для получения доступа к конфиденциальной информации. Поэтому крайне важно, чтобы сотрудники понимали, как вести себя в таких ситуациях, чтобы не навредить санаторию, его работникам и гостям. Научите персонал не переходить по подозрительным ссылкам, особенно тем, что приходят в письмах от неизвестных отправителей или выглядят сомнительно. Объясните, что фишинговые атаки часто маскируются под официальные письма от банков, партнёров или даже коллег. Они могут содержать просьбы срочно ввести логин и пароль, загрузить вложение или перейти на сайт. Например, сотрудник получает письмо якобы от IT-отдела с просьбой обновить пароль — кликает на ссылку, оставляет данные, а в это время злоумышленники получают доступ к корпоративной сети.
Говорите о том, какие неочевидные ошибки могут привести к утечке данных: использование одного и того же пароля на разных сервисах, хранение логинов и паролей в открытом доступе (на стикерах на мониторе или в заметках на телефоне), подключение к общедоступным Wi-Fi-сетям без VPN. Даже фото рабочего стола, выложенное в соцсети, может содержать конфиденциальную информацию — открытое письмо или файл на экране.
Регулярно обновляйте знания персонала в области информационной безопасности. Проводите короткие обучающие сессии, создавайте рассылки с кейсами и тестами, внедряйте простые чек-листы.
Кстати, пока не забыли. Телеграм-канал «Санаториум» — настоящая библиотека для врачей, управленцев и маркетологов вашего курорта. Никакой воды — только суть и польза. Подписывайтесь, чтобы получить доступ к:
- Горячим статьям и кейсам из нашего блога
- Анонсам полезных событий
- Записям эфиров с санкур-экспертами по хэштегу #вебинары_Санаториум
- Свежим новостям и трендам санаторно-курортной отрасли
- Ценным призам от нашей команды
- Тому, о чём мы не пишем в блоге 🙂
9. Повышайте осведомлённость гостей. Если у ваших клиентов есть личные кабинеты (ЛК) на сайте / в программе лояльности / мобильном приложении санатория, позаботьтесь о безопасности их данных. Рекомендации можно добавить к уведомлениям в ЛК, в e-mail рассылки, а также оставить памятку по кибербезопасности в соцсетях курорта и переписке с клиентом в мессенджере. Обучение гостей кибербезопасности — способ проявить заботу и укрепить лояльность к здравнице. Например, предупредите, что администрация курорта никогда не просит сообщать пароли или данные банковских карт. Напомните, что для подключения к Wi-Fi стоит использовать только официальную сеть санатория. Подготовьте инструкцию: как проверить сайт здравницы на подлинность, чтобы не перевести деньги за отдых мошенникам.
