+380996133328 [email protected]
ua
ua

LenaviPro: Пентест для перевірки відповідності HIPAA

Клієнт:
Expert Assessment Solutions, Inc. - розробник освітньої медичної платформи LenaviPro
Галузь:
Медицина
Фокус:

Освітні програмні рішення для медичних працівників та організацій.

Основний виклик:
Відповідність HIPAA та посилення кібербезпеки.
Ринок:
США
Надані послуги:
Pentesting хмарної інфраструктури, web-пентест, DRP
Ключові висновки
  • Усунено понад 30 ризиків низького та середнього рівня
  • Розроблено план відновлення (DRP) з реагуванням до 15 хвилин
  • Ризик компрометації облікових записів знижено на 90%.
  • Проведено пентест вебплатформи та інфраструктури Azure.
  • Підготовка до сертифікації HIPAA завершена успішно і вчасно.
    • 3
    тижні тривалість
    90%
    менше ризику
    HIPAA
    вимоги дотримано
    LenaviPro: Пентест для перевірки відповідності HIPAA
    Груд. 6, 2024
    14 хв
    Чи можна за 3 тижні підготувати освітню медичну платформу до відповідності HIPAA? Так! Розробники LenaviPro звернулися до Datami для перевірки кіберзахисту. Ми провели пентест та розробили DRP. У результаті система стала на 90% стійкішою до атак та готовою до сертифікації

    LenaviPro — освітня платформа для медиків, яка підвищує якість допомоги та відповідає найвищим стандартам охорони здоров’я. Вона використовує стандартизовані оцінки, знижує ризик помилок та покращує діагностику. 

    Охорона здоров'я — це галузь із високими кіберризиками. Як вебінструмент, який працює з UAS-NY, LenaviPro потребує захисту відповідно до міжнародних стандартів безпеки. 

    Завдання та виклики
    Оскільки LenaviPro працює з чутливими даними (UAS-NY), вона повинна відповідати вимогам HIPAA та гарантувати користувачам захист даних від потенційних загроз. Без належного рівня захисту освітня медична платформа ризикувала стати ціллю хакерських атак.
     
    Тому клієнт звернувся до Datami з такими завданнями:
    • Провести white-box pen testing хмарної інфраструктури (Azure) та black-box web-пентест.
    • Забезпечити відповідність вимогам HIPAA, усунувши знайдені недоліки у системі безпеки.
    • Розробити персональний Disaster Recovery Plan (DRP) для швидкого відновлення роботи у разі інциденту.
       
       
    icon
    Провести пентест
    White-box для Azure та black-box для вебсайту
    icon
    Усунути вразливості
    Визначити технічні недоліки, впровадити заходи
    icon
    Підготувати документацію
    Розробити DRP для сертифікації HIPAA
    Застосована методологія перевірки безпеки Lenavi®
    Наш підхід

    У межах проєкту було перевірено вебсайт, хмарну інфраструктуру та технічну документацію, необхідну для проходження сертифікації HIPAA. 

    Основним методом перевірки обрали пентест, який дозволив змоделювати потенційні атаки та виявити слабкі місця в системі захисту.

    Щоб гарантувати максимальний рівень захисту, використали інструменти тестування: Burp Suite, Nmap, Nessus, OWASP ZAP та інші. 

    Комбінація автоматизованих і ручних методів дозволила правильно оцінити критичність виявлених проблем.

    Black-box
    Black-box
    Для перевірки вебсайту використали стратегію black-box - команда моделювала атаки без доступу до внутрішньої інформації системи. Це дозволило оцінити реальну стійкість платформи до зовнішніх кіберзагроз.
    White-box
    White-box
    Інфраструктуру платформи перевіряли в режимі white-box — з наданими VPN-доступами та документацією. Це дало змогу виявити глибші вразливості та оцінити якість реалізації захисних механізмів.
    Основні етапи роботи та рішення

    У межах проєкту розробили комплексний план аварійного відновлення (Disaster Recovery Plan), оновили застарілі конфігурації систем безпеки та впровадили сучасні алгоритми шифрування для захисту даних.

    На всіх етапах проєкту відбувався оперативний обмін інформацією з клієнтом.

    Робота над проєктом проводилась у чіткій послідовності:

    • Оцінка кіберстійкості
      – аналіз технічної документації, перевірка відповідності HIPAA та оцінка ризиків для розуміння архітектури рішень та потенційних точок ризику.
    • Тестування на проникнення
      - з детальними звітами та рекомендаціями — перевірка вебресурсу в режимі black-box та інфраструктури стратегією white-box.
    • Імплементація системи реагування на кіберзагрози
      – розробка Disaster Recovery Plan (DRP), чіткого алгоритму дій для швидкого відновлення системи у разі кіберінциденту.
       
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості
    Результати та рекомендації

    На старті проєкту система містила низько- та середньорівневі ризики, які могли вплинути на відповідність HIPAA. Під час тестування виявили технічні недоліки — застаріле ПЗ, слабке шифрування.

    Після впровадження рекомендацій система стала стійкішою до атак, ризик компрометації акаунтів знизився на 90%, а відповідність стандартам безпеки суттєво покращилась.

    Клієнт отримав чіткі рекомендації щодо подальшої підтримки безпеки платформи:

    1. регулярно оновлювати програмне забезпечення та захисні механізми;
    2. проводити повторне тестування безпеки щонайменше раз на рік;
    3. підтримувати DRP в актуальному стані;
    4. забезпечувати навчання персоналу з кібергігієни;
    5. стежити за оновленням регуляторних вимог HIPAA.

    Платформа отримала нові процеси кіберзахисту: план реагування на інциденти DRP, оновлену обробку даних і контроль доступу. Команда оперативно відновлювала сервери протягом 2 годин, що дозволило уникнути простоїв і зберегти стабільність.

    Всі поставлені цілі були досягнуті, клієнт високо оцінив якість реалізації проєкту.

    Наші сертифікати
    Ключові висновки проєкту

    Завдяки співпраці з Datami платформа LenaviPro успішно підготувалась до сертифікації HIPAA та зміцнила кіберзахист: усунуто технічні недоліки, впроваджено DRP, ризик компрометації акаунтів знижено на 90%.

    Кейс доводить: навіть зрілі платформи можуть мати вразливості. Якщо ви працюєте з персональними або медичними даними — регулярне тестування критично важливе

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Задовільний, з низько- та середньорівневими ризиками
    Відповідність вимогам HIPAA
    Критичні вразливості
    Не виявлено
    Відсутні
    Компрометація облікових записів
    Високий ризик
    Ризик знижено на 90%
    DRP
    Відсутній
    Розроблено і задокументовано
    Конфігурації систем
    Застарілі
    Оновлені
    Шифрування даних
    Недостатній рівень
    Посилено
    Час реалізації
    Типово: 5 тижнів
    Фактично: 3 тижні
    Готовність до сертифікації
    Часткова
    Повна підготовка завершена
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аутстаф-аудит безпеки мобільного додатку

    Аутстаф-аудит безпеки мобільного додатку

    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Аудит політик безпеки для фінтех-компанії

    Аудит політик безпеки для фінтех-компанії

    • Перевірено та оцінено 7 ключових політик кібербезпеки
    • Узгоджено регламенти з ISO 27001, DORA, GDPR та NBG
    Послуги:
    аудит політик безпеки та відповідності
    Лист. 20, 2025
    Перевірка безпеки медичної платформи DonorUA

    Перевірка безпеки медичної платформи DonorUA

    • Надано звіт з рекомендаціями для зміцнення захисту.
    • Підтверджено відсутність критичних загроз для безпеки.
    Послуги:
    Пентест вебдодатків (Black-box)
    Лист. 18, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов
    Олександр Філіпов

    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Сучасні фішингові кампанії використовують PDF-файли для атак Datami Newsroom
    Datami Newsroom

    Сучасні фішингові кампанії використовують PDF-файли для атак

    Фішингові кампанії нового покоління активно маскуються під відомі бренди, використовують легітимні функції Microsoft 365 і навіть вводять користувачів в оману за допомогою штучного інтелекту. У 2025 році компанії стикаються з хвилею витончених атак, які змінюють звичні правила гри в кібербезпеці.

    Лист. 24, 2025 3 хв.
    Програма-вимагач KillSec атакує охорону здоров'я Datami Newsroom
    Datami Newsroom

    Програма-вимагач KillSec атакує охорону здоров'я

    Хакерська група KillSec останнім часом активно атакує IT-системи галузі охорони здоров’я Латинської Америки та інших країн – зловмисники вже викрали десятки гігабайтів і майже 95 000 файлів.

    Лист. 18, 2025
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie