Софт без риска для здоровья

Развитие единого цифрового контура требует новых подходов к кибербезопасности в здравоохранении.

0

Объем сверхкритичных данных, напрямую связанных со здоровьем и жизнью людей в регионе EMEA (Европа, включая Россию, Ближний Восток и Африка), будет расти на 47% ежегодно, говорится в отчете международной исследовательской компании IDC и американской Seagate Technology о развитии рынка данных (2019).

Уже в 2023 году мировой рынок больших данных в здравоохранении может достичь $9,5 млрд, прогнозируют в Deloitte (Global Health Care Outlook 2020). При этом связанный с ним рынок медицинской аналитики вырастет до $84 млрд к 2027 году, а ИИ в здравоохранении – до $34,8 млрд к 2026 году, по данным Webiomed.

Повсеместное внедрение электронных медицинских карт (ЭМК), развитие диагностических технологий, робототехники, носимых медицинских устройств будут обеспечивать рост данных в сфере здравоохранения с астрономической скоростью, пишут авторы статьи, в числе которых замминистра здравоохранения РФ Павел Пугачев: «Это создает практически безграничные возможности для развития цифрового здравоохранения, ключевых продуктов и платформ».

Наращивание данных

Большие медицинские данные в России должны обеспечить информационное сопровождение граждан, контроль предоставления медпомощи по ОМС, а также переход отрасли на электронный документооборот, следует из распоряжения Правительства РФ о стратегическом направлении в области цифровой трансформации здравоохранения, вышедшего в декабре 2021 года.

Сегодня все участники системы здравоохранения, в том числе частные медорганизации, должны передавать данные в Единую государственную информационную систему здравоохранения (ЕГИСЗ). Новое положение о ЕГИСЗ, которое вступило в силу в марте 2022 года, предусматривает формирование в системе обезличенных наборов данных (Dataset) для исследований, обучения искусственного интеллекта, а также для хранения и обработки медицинской документации. Анализ медицинских данных позволит прогнозировать ситуацию и усовершенствует процесс оказания гражданам медицинской помощи, заявлял ранее СМИ премьер-министр России Михаил Мишустин.

Спектр киберугроз

Любая централизация хранения и обработки данных несет риски утраты их целостности и доступности, отмечает директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов: «По мере того как медицинские учреждения внедряют личные кабинеты пациентов и переводят многие процессы взаимодействия в электронный формат, критически важная информация уходит за пределы защищенного контура».

Для здравоохранения актуален тот же спектр киберугроз, что и для других отраслей, отмечает Даниил Чернов: хакерские атаки, направленные на медицинские организации, утечки конфиденциальной информации – персональных данных пациентов, данных о заболеваниях, схемах лечения, рецептур новых лекарственных средств, результатов различных тестирований и испытаний новых препаратов и многого другого. Например, в прошлом году в московской наркологической клинике Verimed была утечка данных VIP-пациентов, в 2020 году утекла база данных 300 тысяч переболевших COVID-19 москвичей, приводит примеры эксперт. Для фармацевтической сферы, где цикл создания нового препарата в среднем составляет семь лет, утечка рецептуры на каком-то из этапов критически опасна.

Рост уровня цифровизации медицины и увеличение количества медицинских данных привлекли внимание киберпреступников к отрасли, отмечают аналитики «Лаборатории Касперского» (Kaspersky Security Bulletin 2021), и они «вряд ли в скором времени потеряют к ней интерес».

В 2022 году с дальнейшим развитием телемедицины, появлением большего числа приложений для консультаций с врачом и отслеживания состояния здоровья пациента злоумышленники получат возможность находить уязвимости в целой плеяде новых разработок от программистов, многие из которых ранее не создавали подобных продуктов, прогнозируют аналитики «Лаборатории Касперского».

При работе в телемедицинских системах основной мишенью становятся личные данные пациентов, которые должны передаваться в зашифрованном виде, а не через общедоступные мессенджеры и зарубежные сервисы видеоконференций, отмечает директор по развитию бизнеса компании Vinteo, лектор международной школы РУДН и ISFTeH «Современные аспекты телемедицины» Борис Попов: «Их серверы находятся за границей и не раз были уличены в серьезных уязвимостях».

WhatsApp, Viber, SMS и даже электронная почта защиту не обеспечивают и являются нелегальными для консультации больных, нарушают закон о распространении персональных данных и закон о телемедицине, отмечает Борис Попов.

Каждый шестой случай компрометации конфиденциальных данных в России происходит через мессенджеры, и примечательно, что в глобальном распределении по отраслям по числу кибератак в 2020 году здравоохранение занимало второе место (16,4%) после сектора высоких технологий (19,4%), по данным InfoWatch.

Как правило, сотрудники медицинских организаций недостаточно осведомлены о правилах информационной безопасности, считают в «Лаборатории Касперского» и настаивают на массовом обучении медицинского персонала параллельно с цифровизацией отрасли.

Безопасность по умолчанию зависит от стандартов обмена данными, говорит директор по проектной деятельности, член наблюдательного совета ассоциации «Национальная база медицинских знаний» Андрей Алмазов. По его словам, в мире наработана серьезная библиотека стандартов. Чтобы превратить собственную хорошую программу в промышленное решение, будут необходимы стандартизация, документирование, управление развитием и изменением – это все требует расходов и компетенций, отмечает Андрей Алмазов.

Единые подходы к медицинским данным в государственной системе здравоохранения только формируются, отмечают эксперты. В частности, разработкой российской спецификации стандарта обмена медицинскими данными и их структурирования занимается сообщество HL7 FHIR Russia.

Сейчас же 80% записей в электронных медицинских картах, например, хранятся в неструктурированном виде, отмечается в исследовании Webiomed. Затруднено повторное использование обезличенных данных, для частных инвестиций нет понятной схемы возврата вложений, отмечается в презентации «Большие данные российского здравоохранения: копить нельзя использовать» компании «К-Скай».

«Унификация на уровне протоколов обмена данными – DICOM, FHIR, HL7 – имеет место, и это позволяет с уверенностью планировать объединение данных региональных МИС и частных медицинских организаций, обмен диагностическими исследованиями между регионами и федеральными референс-центрами», – отмечает СЕО компании – разработчика ИИ-сервисов «Платформа Третье Мнение» Анна Мещерякова.

Отрасль может позаимствовать опыт внедрения стандартов, например, у Центробанка РФ, считает Даниил Чернов: «В банковской сфере форматы выгрузки по клиентам, форматы отчетностей и специальные утилиты, которые упаковывали файлы, шифровали, подписывали, после чего информация передавалась по защищенному каналу, были утверждены более 10 лет назад. Сейчас банковская система еще в большей степени автоматизирована и стандартизирована, в том числе с точки зрения информационной безопасности».

Новые вызовы

Дополнительные риски кибербезопасности в здравоохранении эксперты связывают также с геополитическим кризисом и уходом с российского рынка зарубежных ИТ-компаний.

С точки зрения программного обеспечения отрасль цифрового здравоохранения уже находится на достаточном уровне импортонезависимости, говорит Анна Мещерякова: «С аппаратным обеспечением сложнее – системы хранения и обработки данных в высокой степени основаны на импортных компонентах».

В свете последних событий многим придется искать отечественные аналоги софта для обеспечения бизнес-процессов, если ранее процессы строились на решениях западных вендоров, отмечает Даниил Чернов. По его словам, возможно импортозамещение и ИТ-инфраструктуры, и систем защиты информации: «С учетом ухода многих западных игроков с рынка заниматься этим придется уже сегодня».

«В условиях глобального нарушения цепочек поставок мы убеждены, что использование полностью отечественных специализированных решений существенно повышает надежность и безопасность цифрового здравоохранения», – отмечает Владимир Лыков, директор по работе с клиентами ЕМЕ, компании-разработчика и интегратора решений по автоматизации складской логистики (работает в том числе в фармбизнесе).

Импортозамещение системного ПО – задача крайне сложная, а вот все системно-прикладные решения по информационной безопасности или по сервисам обмена данными и так были изначально российскими, как и медицинские информационные системы, говорит Андрей Алмазов. Он уверен, что риски в отрасли здравоохранения из-за использования иностранного ПО сегодня минимальные.

Автор: Юлия Глуховская

Материал опубликован в специальном выпуске журнала «Новости GxP».

НЕТ КОММЕНТАРИЕВ

WordPress Ads
Exit mobile version