Як отримати сертифікат HITRUST українському ІТ-бізнесу. Практичний досвід нашої компанії

Привіт, спільното DOU! Мене звати Віктор Вахрамєєв, і я Chief Delivery Officer у VITech. Нещодавно у нашій компанії розпочався новий етап — наші офіси та AWS-інфраструктура офіційно сертифіковані за стандартом HITRUST e1.

Коли ти працюєш з американським бізнесом у сфері охорони здоров’я (далі — healthcare) чи фінтех-домену, питання безпеки виникає вже при першій розмові. І якщо раніше було достатньо сказати: «Ми дотримуємось HIPAA», то тепер цього замало. Клієнти прямо говорять, що вони хочуть бачити на столі сертифікат HITRUST.

Для нас це було і викликом, і шансом одночасно. Ми розуміли, що пройшовши HITRUST, відкриємо собі двері у світ enterprise healthcare та доведемо, що можемо працювати на рівні з найбільшими гравцями індустрії.

Масштаби роботи можна порівняти з марафоном: 800 людино-годин зустрічей, понад 1000 скриншотів як підтвердження контролів і більше ніж 40 політик та процедур, створених або оновлених.

Скриншот з A-SCEND профілю VITech із реальним таймлайном процесу сертифікації від initial assessment етапу до отримання сертифіката

Тепер хочу поділитися нашою історією — чесно та без прикрас: як усе відбувалося, які були виклики та інсайти, і чому ми не пошкодували, що свідомо відмовилися від простішого варіанту й обрали шлях складніший.

Що таке HITRUST простими словами

HITRUST — це свого роду «універсальний адаптер» у сфері кібербезпеки. Він поєднує ключові стандарти — ISO, NIST, HIPAA, GDPR, PCI DSS — і встановлює єдині правила гри.

Покриття інших стандартів у рамках HITRUST

Рівні сертифікації HITRUST:

• e1 — базовий, але вже є відчутною перевагою на ринку.
• i1 — для компаній зі зрілими процесами.
• r2 — топ-рівень із глибоким аудитом.

Здебільшого великі американські страхові компанії та медичні клініки співпрацюють з тими, хто має сертифікацію HITRUST.

Навіщо ми це робили

Уявіть: ви берете участь у тендері на healthcare-проєкт у США. У вас конкурентна ціна, сильна команда та необхідна експертиза. Але серед обов’язкових вимог — сертифікат HITRUST. І без нього ви навіть не виходите на поле гри.

Для нас HITRUST був не просто формальністю. Це був шанс:

• стати на рівні з найбільшими гравцями індустрії;
• отримати контракти на мільйони;
• створити в компанії культуру, де безпека — не «десь там у IT», а частина ДНК кожного у команді.

Шлях до сертифікації

Перші спроби пройти сертифікацію я робив ще п’ять років тому, але тоді ми свідомо вирішили відкласти цей процес, щоб підійти до нього більш підготовленими.

Згодом у нас з’явилися певні домовленості перед клієнтами про те, що ми як вендор маємо сертифікуватися за HITRUST. Коли минулого року проходили тендер від найбільшого клієнта, вирішальною перевагою стало те, що ми вже були в процесі сертифікації. Assessment engagement letter від наших консультантів підтвердив цей факт і допоміг підписати трирічну рамкову угоду.

У 2023 році стало зрозуміло, що самостійно пройти сертифікацію ми не зможемо, і я організував тендер на вибір консалтингової компанії, де зрештою ми обрали компанію A-LIGN — сертифікованих партнерів від HITRUST.

На той момент ми вже розуміли обсяг інвестицій — і зовнішніх (оплата партнерів), і внутрішніх (люди, час, інструменти). Але найголовніше — ми були готові до змін.

У березні-квітні 2024 року ми підписали угоду з A-LIGN про підготовку до сертифікаційного (валідаційного) оцінювання, який безпосередньо проводить HITRUST.

Чому обрали сертифікацію всієї компанії, а не окремого проєкту

Зазвичай ІТ-бізнеси сертифікують один конкретний продукт (платформу) у межах компанії. Ми ж обрали інший підхід — сертифікували всю інфраструктуру компанії та обидва офіси. Звісно, можна було піти простішим шляхом. У такому разі скоуп сертифікації був би мінімальний. Але ми свідомо сертифікували внутрішні процеси всієї компанії. Бо саме це дає нашим партнерам впевненість у тому, що нам можна довіряти.

З чого слід починати

Я б рекомендував починати процес сертифікації із розуміння вимог обраного стандарту та визначення рівня складності, який ваша компанія планує проходити. У випадку HITRUST це може бути рівень Essential, Implemented або Risk-Based. Від цього залежить кількість контролів і частота перевірок: Essential та Implemented проходять щорічно, Risk-Based — раз на два роки.

Що далі:

• слід проаналізувати всі контролі стандарту, визначити, які процеси та політики вже є у компанії, а що потребує розробки;
• для кожного домену стандарту створити відповідні політики та процедури;
• налаштувати механізми контролю, за якими будуть збиратися докази;
• розпочати дотримання цих політик і процедур, враховуючи валідаційне вікно для доказів під час проходження фінального асесменту;
• підключити консультантів або асесорів, які допоможуть супроводжувати процес та підтвердити, що компанія відповідає вимогам стандарту.

Слід зазначити, що ключовим кроком є систематизація вимог стандарту, зіставлення їх із поточними процесами та визначення, де потрібно впровадити нові політики й точки контролю.

1. Initial assessment

Аудитори з A-LIGN прийшли, подивилися на наші процеси та чесно сказали: «Хлопці, у вас багато роботи». І це було навіть добре: ми чітко бачили карту «де ми є» і «куди йти».

Результат initial assessment, який проводила консалтингова компанія

2. Remediation phase

Шість місяців. 230 сторінок політик і процедур. І кожна сторінка мала пройти перевірку, погодження, підпис. Ми жартували, що наші інженери більше клікають на кнопку «Sign» у HiBob, ніж у Jira. Саме тоді відчули: політики стають не просто папером, а реальною практикою.

Але справа була не лише у документах. Одночасно з цим ми налаштували всі необхідні точки контролю, які забезпечили виконання та дотримання цих політик на практиці: моніторинг інцидентів, аудит логів, контроль доступів, інвентаризацію активів і ще багато інших. Саме ці контрольні механізми дозволили нам зібрати потрібні докази й довести аудиторам, що політики та процедури «живі», а не формальні.

3. Pre-Validated assessment

Докази у MyCSF, A-SCEND, нескінченні скрини (і так, вони мали бути англійською — привіт, дефолтні налаштування робочих станцій 😅). І врешті-решт — перевірка від A-LIGN.

Результат pre-Validated assessment, який проводила консалтингова компанія

4. HITRUST QA

Тижні очікування. Кожного дня — хвилювання, сумніви, повторні перевірки. І ось він — сертифікат HITRUST e1. Ми відчули неймовірну радість та гордість, наче виграли Super Bowl або фінал Ліги Чемпіонів: шалена ейфорія, розуміння, що всі зусилля не були марними, і є спільна перемога команди. Це неможливо передати словами.

Результат QA HITRUST по кожному домену

Виклики і як ми їх долали

HITRUST — це не просто перевірка політик, це перевірка культури компанії. Іноді здається, що ти будуєш не систему безпеки, а нову компанію всередині компанії. Ми кілька разів спіткнулись, але саме завдяки цьому стали сильнішими й таки пройшли цей шлях.

1. Створення політик, яке затягнулось на пів року — як ремонт, що «ось-ось закінчиться»

Ми думали: «Що там ті політики? Написати, погодити, підписати». Реальність — понад 200 сторінок, десятки раундів рев’ю й нескінченні пінги «підпиши, будь ласка».

Урок: встановлюйте SLA на підпис (10 днів, в іншому разі доступ буде заблоковано). Це допомагає уникнути затягувань і тримати процес під контролем.

Одночасно з цим ми налаштували точки контролю для кожної політики — від аудиту активів і логів до регулярних security-рев’ю. І саме ці контрольні механізми стали базою для збору реальних доказів (evidence), які визнає HITRUST.

2. Англійська як source of truth — єдина мова виживання

Спершу документи існували двома мовами: українською та англійською, що спричиняло плутанину — дублювання, різні версії одних і тих самих джерел. Ми ухвалили просте правило — усе повинно бути англійською: політики, тікети, запити в IT-департмент.

Виграш був очевидним: менше непорозумінь, швидше погодження, легше спілкування з аудиторами A-LIGN та QA HITRUST.

3. Новий онбординг. Безпека коду — щеплення від хаосу з першого дня

Тепер кожен newcomer отримує доступ до проєктів лише після:

• підписання політик,
• проходження security awareness training,
• складання HIPAA-іспиту.

Це перетворило compliance з формальності на частину культури. Перший день у компанії й ти вже розумієш, що безпека тут не якесь абстрактне поняття, а частина твоєї щоденної роботи.

4. Фішинг-кампанії або корпоративна версія Among Us

Ми створили власну серію фішингових симуляцій, адаптованих під департаменти:

• HR — «новий кандидат залишив резюме»;
• девелопери — «оновлення GitHub»;
• фінанси — «рахунок від клієнта».

Перші результати були болючими, але саме вони показали, що «де тонко, там і рветься». Згодом фішинг став нашою традицією — хто «клікнув», той приносить каву. Так всі колеги запам’ятали цей урок надовго.

5. Бейзлайн інструментів: кінець «сірим зонам»

Ми створили реєстр дозволених застосунків і постійно моніторимо робочі станції на відповідність цьому бейзлайну. Жодних «я встановив для зручності» — усе перевіряється на безпеку та фіксується в SnipeIT. Це прибрало тіньові ризики й унеможливило встановлення випадкових «слабких ланок».

6. Надмір інструментів для моніторингу точок контролю — що забагато, то не здорово

На початку шляху ми спробували покрити все: SIEM, MDM, vulnerability scanning, asset tracking, Jira-борди, HiBob і ще десь із десяток інших систем. У результаті створили самі собі інформаційний шум, адже даних було багато, а єдиного джерела правди не існувало.

Ми вирішили будувати архітектуру моніторингу навколо ключових систем: Jira, Confluence і SnipeIT, і прописали чіткий data flow, де кожен контроль отримав свій «будинок».

Тепер ревізія чи аудит — це не довгі пошуки в історії Slack, а просто відкриття сторінки з усіма потрібними артефактами.

7. Зміни в організаційній структурі як прокачка команди в RPG

HITRUST змінив не лише процеси, а й професійні ролі всередині компанії. Ми створили позицію Information Security Manager, розширили відповідальність Delivery та HR-офісів і ввели щомісячні зустрічі з ризиків, інцидентів і активів.

Безпека стала спільною відповідальністю, а не «чужою роботою».

8. Бюджет сертифікації — кіт у мішку, який жере виключно преміум-корм

Ми чесно планували бюджет. Але реальність швидко показала, що сертифікація — це живий організм: одне оновлення HITRUST — і витрати виглядають інакше. Фінальна сума сягнула близько 130 000 USD — це удвічі більше, ніж ми прогнозували.

Висновок: закладайте фінансовий буфер у 30–50%. Це не розкіш, а реальність будь-якої сертифікації.

І наприкінці — найголовніше: усі ці виклики навчили нас одного — безпека не живе у документах. Вона живе в щоденних звичках, прозорих процесах і спільній відповідальності команди.

Що ми отримали натомість

• Контракти: ми стали компанією, яка може брати участь у великих healthcare-тендерах.
• Бренд: клієнти сприймають HITRUST як доказ зрілості нашої компанії.
• Команда: інженери перестали питати «Навіщо це все?», а новачки вже з першого дня бачать безпеку як норму, невід’ємну частину своєї роботи.
• Гроші: $128k інвестицій виглядають чимало. Але, коли перший новий контракт перекриває цю суму в рази, це вже не витрати, а інвестиції.
• Конкурентна перевага: ми потрапили до каталогу Health3PT, де потенційні клієнти шукають надійних вендорів для співпраці.

Скриншот з офіційного сайту Health3PT, VITech як trusted вендор

Висновки та поради

• Раджу розпочати процес сертифікації завчасно — від 6 до 12 місяців, адже багато контрольних точок потребують часу, щоб накопичити історичні докази (рев’ю ризиків, звіти про інциденти тощо). Крім того, процес вимагає залучення різних команд і тривалого HITRUST QA, тому без запасу часу легко зірвати дедлайни.
• Розмір має значення. Чітке розуміння скоупу визначає все: сертифікувати лише продукт чи ще й офіси з інфраструктурою — обсяг роботи та вартість будуть різними. Так само різниться і залучення людей: чи це лише команда розробки, чи весь пул талантів компанії.
• Рахуйте не лише прямі витрати (аудитори, MyCSF), а й внутрішні ресурси: час команди та набір інструментів, які знадобляться у процесі.
• Призначте compliance champion — у нас цю роль виконували CDO + ISM.
• Проводьте регулярні рев’ю: ризики — щомісяця, інциденти — щомісяця, активи — принаймні раз на рік. І обов’язково зберігайте meeting minutes (протоколи зустрічей) — це найкращий доказ виконання вимог.
• Не бійтеся аутсорсити складне: часто це дешевше, ніж своїми силами.

HITRUST — це не просто сертифікат, а доказ довіри. Тепер, коли клієнт запитує: «Чи ви дбаєте про безпеку?», ми показуємо документ і впевнено відповідаємо: «Так, і можемо це підтвердити».