Откуда идет утечка информации в медицинских и фармацевтических организациях, и как можно себя обезопасить.
«Новости GXP» продолжает цикл публикаций о внедрении цифровых технологий для обеспечения безопасности в медицинских и фармацевтических организациях
, среднем, в Если же говорить о финансовых потерях при утечке данных из , то они окажутся
Данные надо защищать. Это аксиома и она в доказательствах не нуждается. Другой вопрос – как узнать врага в лицо? Для этого, есть смысл подробно разобраться и выяснить, откуда течет, куда утекает и, кто за все это должен нести ответственность.
Какую брешь затыкать?
Как утверждают эксперты, утечки конфиденциальных данных происходят в результате трех основных типов инцидентов. Информация может утекать из-за хакерских атак, когда злоумышленники нацеливаются на крупные корпоративные хранилища. Также данные часто утекают в результате умышленных действий сотрудников компании — в этом случае инсайдеры похищают информацию целенаправленно. Наконец, все более опасными становятся непреднамеренные утечки данных, которые происходят случайно или по неосторожности (неправильные настройки облачных серверов, баги в программном обеспечении, отправка электронных писем по неверным адресам и т.д.).
Как показывают результаты исследования Protected Health Information Data Breach Report компании Verizon, – 58% утечек данных из медицинских учреждений случаются по вине сотрудников. Если говорить о мотивах, то в 48% случаях причиной нарушения становится поиск сотрудником финансовой выгоды, а в 31% менеджеры обращались к чужой информации «ради развлечения».
По данным аналитического центра ГК InfoWatch, в России в 2018 г. число утечек конфиденциальных данных в здравоохранении выросло на 16%, причем почти половина инцидентов носили умышленный характер. Среди утечек по вине сотрудников, превалируют случайные нарушения — около 80% (!).
Случайно или преднамеренно, ясно одно:
медицинские учреждения становятся все более желанными целями для охотников за информацией.
Яркий индикатор здесь – черный рынок. Он говорит, что сейчас как никогда в цене данные из медицинских карт. Они легче всего конвертируется в денежные средства. Почему? Приведем отвлеченный пример. таких
Помимо защищенной законом медицинской информации (диагнозы, история болезни, лабораторные данные, рецептурные назначения и т.д.), воруют персональные данные: имена, фамилии и адреса пациентов, номера полисов социального страхования, данные удостоверений личности, а по мере развития коммерческих услуг еще и платежные сведения.
Подавляющее число утечек данных в системе здравоохранения случается по вине сотрудников
Серьезной проблемой с точки зрения безопасности личной информации в здравоохранении стало развитие устройств для мониторинга и поддержки здоровья. Внешние датчики, фитнес-браслеты, имплантируемые умные устройства, типа систем мониторинга глюкозы или кардиостимуляторов – все они в режиме реального времени позволяют передавать по Сети различную информацию о состоянии здоровья человека, а также сведения о его местоположении. Специалисты предупреждают, риски того, что управление подобными устройствами получат внешние злоумышленники, действительно очень велики. Хакеры могут перехватывать данные, вести наблюдение за человеком. А если будет получен контроль над имплантируемым устройством, это может привести к самым страшным последствиям, вплоть до гибели пациента.
Защита изнутри и снаружи
Эксперты по безопасности медицинским и фармацевтическим предприятиям советуют иметь в своей организации два вида защиты:
снаружи — от внешних атак, и изнутри — от недобросовестных сотрудников, работающих с персональными данными.
Важное значение здесь имеют и безопасность самой ИТ-инфраструктуры (прежде всего системы защиты сетей от хакерских атак), и программные решения, используемые для мониторинга, и системы обучения персонала, а также знание поведенческих моделей и управления доступом.
Медицинский персонал должен работать с персональными данными через защищенную корпоративную сеть, применять специальные продукты для шифрования данных. При этом процесс передачи данных должен строго отслеживаться, а все потенциальные каналы утечек следует поставить под надежный контроль. Существует класс специальных систем по предотвращению утечек конфиденциальных данных. Это DLP-системы (data leak prevention). Они позволяют контролировать все попытки нелегитимной передачи конфиденциальной информации и оперативно сигнализировать о нарушителях.
Перенимая опыт
Сергей Любич, директор компании ddilab, рассказывает о западной практике защиты медицинских данных: «В Цюрихе я занимался большим проектом по тедемедицине — анализировал данные с носимых устройств людей, страдающих диабетом. Главная трудность, с которой мы столкнулись — получить разрешение на запись и хранение медицинских данных».
По его словам, решением проблемы защиты информации в здравоохранении потенциально может стать технология распределенных вычислений: благодаря блокчейну пациент становится своего рода удостоверяющим центром, который сам решает кому, как и на каких основаниях дать доступ к его медицинским данным.
Впрочем, не все специалисты соглашаются с такими смелыми идеями. По мнению некоторых экспертов, технология блокчейн не панацея и имеет свои слабые места. Кроме того, блокчейн пока находится вне законодательного поля, и для использования решений на основе данной технологии требуется серьезная техническая подготовка.
Реализация стратегии защиты информации в медицине во многом зависит от активной позиции государства, считает руководитель аналитического центра ГК InfoWatch Андрей Арсентьев. «Безопасность медицинских данных – это вопрос не только защиты пациентов, но и принцип национальной безопасности. Поэтому государство должно стимулировать развитие систем защиты в учреждениях здравоохранения, выделяя средства на информационную безопасность и наказывая за утечки рублем. То есть, выделив достаточно средств на совершенствование систем защиты, целесообразно ужесточить ответственность за допущенные нарушения. Кроме того, государство может содействовать повышению уровня цифровой гигиены в системе здравоохранения. Низкая грамотность персонала медучреждений при обращении с информационными ресурсами уже давно стала притчей во языцех. Если этой проблемой не заняться вплотную, то мы с пугающей регулярностью продолжим фиксировать случаи выброшенных медицинских карт и разглашения защищенной законом информации персоналом».