+380996133328 [email protected]
ua
ua

Кейс LenaviPro: Відповідність HIPAA та кіберзахист

Клієнт:
Expert Assessment Solutions, Inc. - розробник освітньої медичної платформи LenaviPro
Галузь:
Медицина
Фокус:

Освітні програмні рішення для медичних працівників та організацій.

Основний виклик:
Відповідність HIPAA та посилення кібербезпеки.
Ринок:
США
Надані послуги:
penetration testing хмарної інфраструктури, web-пентест, розробка DRP (Disaster Recovery Plan)
Ключові висновки
  • Проведено пентест вебплатформи та інфраструктури Azure.
  • Виявлено та усунено низько- та середньорівневі вразливості.
  • Ризик компрометації облікових записів знижено на 90%.
  • Розроблено DRP — план для швидкого реагування.
  • Підготовка до сертифікації HIPAA завершена успішно і вчасно.
    • 3
    тижні тривалість
    90%
    менше ризику
    HIPAA
    вимоги дотримано
    Кейс LenaviPro: Відповідність HIPAA та кіберзахист
    Груд. 6, 2024
    14 хв
    Чи можна за 3 тижні підготувати освітню медичну платформу до відповідності HIPAA? Так! Розробники LenaviPro звернулися до Datami для перевірки кіберзахисту. Ми провели пентест та розробили DRP. У результаті система стала на 90% стійкішою до атак та готовою до сертифікації

    LenaviPro — освітня платформа для медиків, яка підвищує якість допомоги та відповідає найвищим стандартам охорони здоров’я. Вона використовує стандартизовані оцінки, знижує ризик помилок та покращує діагностику. 

    Охорона здоров'я — це галузь із високими кіберризиками. Як вебінструмент, який працює з UAS-NY, LenaviPro потребує захисту відповідно до міжнародних стандартів безпеки. 

    Завдання та виклики
    Оскільки LenaviPro працює з чутливими даними (UAS-NY), вона повинна відповідати вимогам HIPAA та гарантувати користувачам захист даних від потенційних загроз. Без належного рівня захисту освітня медична платформа ризикувала стати ціллю хакерських атак.
     
    Тому клієнт звернувся до Datami з такими завданнями:
    • Провести white-box pen testing хмарної інфраструктури (Azure) та black-box web-пентест.
    • Забезпечити відповідність вимогам HIPAA, усунувши знайдені недоліки у системі безпеки.
    • Розробити персональний Disaster Recovery Plan (DRP) для швидкого відновлення роботи у разі інциденту.
       
       
    icon
    Провести пентест
    White-box для Azure та black-box для вебсайту
    icon
    Усунути вразливості
    Визначити технічні недоліки, впровадити заходи
    icon
    Підготувати документацію
    Розробити DRP для сертифікації HIPAA
    Застосована методологія перевірки безпеки Lenavi®
    Наш підхід

    У межах проєкту було перевірено вебсайт, хмарну інфраструктуру та технічну документацію, необхідну для проходження сертифікації HIPAA. 

    Основним методом перевірки обрали пентест, який дозволив змоделювати потенційні атаки та виявити слабкі місця в системі захисту.

    Щоб гарантувати максимальний рівень захисту, використали інструменти тестування: Burp Suite, Nmap, Nessus, OWASP ZAP та інші. 

    Комбінація автоматизованих і ручних методів дозволила правильно оцінити критичність виявлених проблем.

    Black-box
    Black-box
    Для перевірки вебсайту використали стратегію black-box - команда моделювала атаки без доступу до внутрішньої інформації системи. Це дозволило оцінити реальну стійкість платформи до зовнішніх кіберзагроз.
    White-box
    White-box
    Інфраструктуру платформи перевіряли в режимі white-box — з наданими VPN-доступами та документацією. Це дало змогу виявити глибші вразливості та оцінити якість реалізації захисних механізмів.
    Основні етапи роботи та рішення

    У межах проєкту розробили комплексний план аварійного відновлення (Disaster Recovery Plan), оновили застарілі конфігурації систем безпеки та впровадили сучасні алгоритми шифрування для захисту даних.

    На всіх етапах проєкту відбувався оперативний обмін інформацією з клієнтом.

    Робота над проєктом проводилась у чіткій послідовності:

    • Оцінка кіберстійкості
      – аналіз технічної документації, перевірка відповідності HIPAA та оцінка ризиків для розуміння архітектури рішень та потенційних точок ризику.
    • Тестування на проникнення
      - з детальними звітами та рекомендаціями — перевірка вебресурсу в режимі black-box та інфраструктури стратегією white-box.
    • Імплементація системи реагування на кіберзагрози
      – розробка Disaster Recovery Plan (DRP), чіткого алгоритму дій для швидкого відновлення системи у разі кіберінциденту.
       
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості
    Результати та рекомендації

    На старті проєкту система містила низько- та середньорівневі ризики, які могли вплинути на відповідність HIPAA. Під час тестування виявили технічні недоліки — застаріле ПЗ, слабке шифрування.

    Після впровадження рекомендацій система стала стійкішою до атак, ризик компрометації акаунтів знизився на 90%, а відповідність стандартам безпеки суттєво покращилась.

    Клієнт отримав чіткі рекомендації щодо подальшої підтримки безпеки платформи:

    1. регулярно оновлювати програмне забезпечення та захисні механізми;
    2. проводити повторне тестування безпеки щонайменше раз на рік;
    3. підтримувати DRP в актуальному стані;
    4. забезпечувати навчання персоналу з кібергігієни;
    5. стежити за оновленням регуляторних вимог HIPAA.

    Платформа отримала нові процеси кіберзахисту: план реагування на інциденти DRP, оновлену обробку даних і контроль доступу. Команда оперативно відновлювала сервери протягом 2 годин, що дозволило уникнути простоїв і зберегти стабільність.

    Всі поставлені цілі були досягнуті, клієнт високо оцінив якість реалізації проєкту.

    Наші сертифікати
    Ключові висновки проєкту

    Завдяки співпраці з Datami платформа LenaviPro успішно підготувалась до сертифікації HIPAA та зміцнила кіберзахист: усунуто технічні недоліки, впроваджено DRP, ризик компрометації акаунтів знижено на 90%.

    Кейс доводить: навіть зрілі платформи можуть мати вразливості. Якщо ви працюєте з персональними або медичними даними — регулярне тестування критично важливе

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Задовільний, з низько- та середньорівневими ризиками
    Відповідність вимогам HIPAA
    Критичні вразливості
    Не виявлено
    Відсутні
    Компрометація облікових записів
    Високий ризик
    Ризик знижено на 90%
    DRP
    Відсутній
    Розроблено і задокументовано
    Конфігурації систем
    Застарілі
    Оновлені
    Шифрування даних
    Недостатній рівень
    Посилено
    Час реалізації
    Типово: 5 тижнів
    Фактично: 3 тижні
    Готовність до сертифікації
    Часткова
    Повна підготовка завершена
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Пентест та захист платформи для ставок від DDoS

    Пентест та захист платформи для ставок від DDoS

    • Виявили 30 вразливостей у двох вебдодатках
    • Застосували DataGuard і Cloudflare для захисту від DDoS-атак
    Послуги:
    Black-box пентест вебдодатків, впровадження Dataguard
    Лип. 8, 2025
    Кейс P2P-платформи: повна перевірка безпеки та відповідності GDPR

    Кейс P2P-платформи: повна перевірка безпеки та відповідності GDPR

    • Виявлено 10 вразливостей, зокрема 3 критичні
    • Підвищено відповідність GDPR, уникнуто потенційних збитків на суму до $300000
    Послуги:
    Пентест, аудит смартконтрактів, аудит безпеки коду, перевірка на SQLi, XSS, RCE, OSINT-аналіз, оцінка безпеки хмарної інфраструктури.
    Черв. 27, 2025
    Кейс консалтингової компанії: перевірка безпеки вебресурсів та інфраструктури

    Кейс консалтингової компанії: перевірка безпеки вебресурсів та інфраструктури

    • Виконано Black-box пентест двох вебресурсів і елементів інфраструктури
    • Виявлено 19 вразливостей: 1 критичну, 8 середніх, 7 низьких, 3 інформаційні
    Послуги:
    Black-box пентест двох вебресурсів із різними доменними зонами (UA та UK), перевірка пов'язаних елементів інфраструктури
     
    Черв. 6, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Ворог усередині: ТОП-5 внутрішніх кіберзагроз для компаній у 2025 році Datami Newsroom
    Datami Newsroom

    Ворог усередині: ТОП-5 внутрішніх кіберзагроз для компаній у 2025 році

    Керівники компаній часто дуже недооцінюють внутрішні кіберзагрози, хоча саме дії працівників, навіть ненавмисні, можуть призвести до катастрофічних наслідків.

    Лип. 8, 2025 3 хв.
    ТОП-5 компаній, які відмовились сплачувати викуп хакерам Datami Newsroom
    Datami Newsroom

    ТОП-5 компаній, які відмовились сплачувати викуп хакерам

    У травні 2025 року хакери зламали Coinbase, викрали дані клієнтів та вимагали викуп. Проте криптобіржа відмовилася і звернулася до правоохоронців по допомогу. Це – лише один з прикладів боротьби компаній з кібершантажем.

    Лип. 4, 2025 3 хв.
    ТОП-5 трендів кібербезпеки у 2025 році: до чого готуватися? Datami Newsroom
    Datami Newsroom

    ТОП-5 трендів кібербезпеки у 2025 році: до чого готуватися?

    Кібербезпека стикається з викликом стрімкого розвитку технологій. Щоб залишатися в тренді, потрібно не лише слідкувати за інноваціями, а й передбачати їх. Прогнозування тенденцій 2025 року допомагає зазирнути в майбутнє цифрового світу та підготуватися до змін.

    Лип. 2, 2025 3 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie