Главное

Информационная брешь здравоохранения

От

06.09.2019

280

Откуда идет утечка информации в медицинских и фармацевтических организациях, и как можно себя обезопасить.

«Новости GXP» продолжает цикл публикаций о внедрении цифровых технологий для обеспечения безопасности в медицинских и фармацевтических организациях

, среднем, в Если же говорить о финансовых потерях при утечке данных из , то они окажутся

Данные надо защищать. Это аксиома и она в доказательствах не нуждается. Другой вопрос – как узнать врага в лицо? Для этого, есть смысл подробно разобраться и выяснить, откуда течет, куда утекает и, кто за все это должен нести ответственность.

Какую брешь затыкать?

Как утверждают эксперты, утечки конфиденциальных данных происходят в результате трех основных типов инцидентов. Информация может утекать из-за хакерских атак, когда злоумышленники нацеливаются на крупные корпоративные хранилища. Также данные часто утекают в результате умышленных действий сотрудников компании — в этом случае инсайдеры похищают информацию целенаправленно. Наконец, все более опасными становятся непреднамеренные утечки данных, которые происходят случайно или по неосторожности (неправильные настройки облачных серверов, баги в программном обеспечении, отправка электронных писем по неверным адресам и т.д.).

Как показывают результаты исследования Protected Health Information Data Breach Report компании Verizon, – 58% утечек данных из медицинских учреждений случаются по вине сотрудников. Если говорить о мотивах, то в 48% случаях причиной нарушения становится поиск сотрудником финансовой выгоды, а в 31% менеджеры обращались к чужой информации «ради развлечения».

По данным аналитического центра ГК InfoWatch, в России в 2018 г. число утечек конфиденциальных данных в здравоохранении выросло на 16%, причем почти половина инцидентов носили умышленный характер. Среди утечек по вине сотрудников, превалируют случайные нарушения — около 80% (!).

Случайно или преднамеренно, ясно одно:

медицинские учреждения становятся все более желанными целями для охотников за информацией.

Яркий индикатор здесь – черный рынок. Он говорит, что сейчас как никогда в цене данные из медицинских карт. Они легче всего конвертируется в денежные средства. Почему? Приведем отвлеченный пример. таких

Помимо защищенной законом медицинской информации (диагнозы, история болезни, лабораторные данные, рецептурные назначения и т.д.), воруют персональные данные: имена, фамилии и адреса пациентов, номера полисов социального страхования, данные удостоверений личности, а по мере развития коммерческих услуг еще и платежные сведения.

Подавляющее число утечек данных в системе здравоохранения случается по вине сотрудников

Серьезной проблемой с точки зрения безопасности личной информации в здравоохранении стало развитие устройств для мониторинга и поддержки здоровья. Внешние датчики, фитнес-браслеты, имплантируемые умные устройства, типа систем мониторинга глюкозы или кардиостимуляторов – все они в режиме реального времени позволяют передавать по Сети различную информацию о состоянии здоровья человека, а также сведения о его местоположении. Специалисты предупреждают, риски того, что управление подобными устройствами получат внешние злоумышленники, действительно очень велики. Хакеры могут перехватывать данные, вести наблюдение за человеком. А если будет получен контроль над имплантируемым устройством, это может привести к самым страшным последствиям, вплоть до гибели пациента.

Защита изнутри и снаружи

Эксперты по безопасности медицинским и фармацевтическим предприятиям советуют иметь в своей организации два вида защиты:

снаружи — от внешних атак, и изнутри — от недобросовестных сотрудников, работающих с персональными данными.

Важное значение здесь имеют и безопасность самой ИТ-инфраструктуры (прежде всего системы защиты сетей от хакерских атак), и программные решения, используемые для мониторинга, и системы обучения персонала, а также знание поведенческих моделей и управления доступом.

Медицинский персонал должен работать с персональными данными через защищенную корпоративную сеть, применять специальные продукты для шифрования данных. При этом процесс передачи данных должен строго отслеживаться, а все потенциальные каналы утечек следует поставить под надежный контроль. Существует класс специальных систем по предотвращению утечек конфиденциальных данных. Это DLP-системы (data leak prevention). Они позволяют контролировать все попытки нелегитимной передачи конфиденциальной информации и оперативно сигнализировать о нарушителях.

Перенимая опыт

Сергей Любич, директор компании ddilab, рассказывает о западной практике защиты медицинских данных: «В Цюрихе я занимался большим проектом по тедемедицине — анализировал данные с носимых устройств людей, страдающих диабетом. Главная трудность, с которой мы столкнулись — получить разрешение на запись и хранение медицинских данных».

По его словам, решением проблемы защиты информации в здравоохранении потенциально может стать технология распределенных вычислений: благодаря блокчейну пациент становится своего рода удостоверяющим центром, который сам решает кому, как и на каких основаниях дать доступ к его медицинским данным.

Впрочем, не все специалисты соглашаются с такими смелыми идеями. По мнению некоторых экспертов, технология блокчейн не панацея и имеет свои слабые места. Кроме того, блокчейн пока находится вне законодательного поля, и для использования решений на основе данной технологии требуется серьезная техническая подготовка.

Реализация стратегии защиты информации в медицине во многом зависит от активной позиции государства, считает руководитель аналитического центра ГК InfoWatch Андрей Арсентьев. «Безопасность медицинских данных – это вопрос не только защиты пациентов, но и принцип национальной безопасности. Поэтому государство должно стимулировать развитие систем защиты в учреждениях здравоохранения, выделяя средства на информационную безопасность и наказывая за утечки рублем. То есть, выделив достаточно средств на совершенствование систем защиты, целесообразно ужесточить ответственность за допущенные нарушения. Кроме того, государство может содействовать повышению уровня цифровой гигиены в системе здравоохранения. Низкая грамотность персонала медучреждений при обращении с информационными ресурсами уже давно стала притчей во языцех. Если этой проблемой не заняться вплотную, то мы с пугающей регулярностью продолжим фиксировать случаи выброшенных медицинских карт и разглашения защищенной законом информации персоналом».

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Информационная брешь здравоохранения

Новые публикации

Мировой рынок биоаналогов дорастет до $126 млрд

Конструктивный диалог – залог развития единого фармрынка ЕАЭС

Частная медицина после ковида: чего ждать в будущем?

«Биннофарм Групп» – победитель в четырех номинациях профессионального конкурса российского фармрынка «Платиновая унция»