[Из песочницы] Клятва Гиппократа или как защищать информацию в медицинских учреждениях

vqv38ij4b9ftgcqai59dzchhb50.jpeg

Не зря кто-то однажды сказал: «Кто владеет информацией, тот владеет миром» — потому что с появлением Интернета, информационных технологий и их развитием, информация перестала иметь границы, и каждый из нас может без труда найти то, что необходимо. Однако без обратной стороны медали здесь не обойтись — информация всегда может быть использована в корыстных целях, кто-то захочет владеть, не принадлежащей ему информацией и использовать ее либо для своих личных выгод, либо для шантажа или причинения вреда другим людям.

Проблема


Резкая оцифровка информации в секторе здравоохранения улучшила медицинские услуги; однако это развитие имеет опасный побочный эффект: риск информационной безопасности. В 2016 году нарушения информационной безопасности в секторе здравоохранения затронули более 27 миллионов записей пациентов. В ближайшие несколько лет показатели количества краж будут только увеличиваться.

Стратегии, которые разрабатываются для защиты данных о пациентах, должны не только реагировать и защищать данные, но также предвидеть и предотвращать любые наступательные действия, совершенные киберпреступниками.

Хакеры всегда заняты «прокачиванием» своих методов и подходов. Они используют различные способы выявления и использования даже самых маленьких лазеек в ваших системах и сетях.
Данные о пациентах очень полезны для хакеров. Они могут продавать украденные данные на черном рынке, использовать их в мошенничестве, продавать их иностранным агентствам, продавать информацию о личности пациента другим преступникам и использовать данные в незаконных финансовых транзакциях.

Схема потоков медицинских данных

6gvh7vljmku7pdj63vcmyepq13k.jpeg

Случаи кражи персональных данных


В Израиле произошла масштабная кража данных пациентов больниц и поликлиник.

На одном из сайтов Алтайского края оказались выложенными в открытом доступе персональные данные пациентов: имена, места прописки, сведения о поставленном диагнозе.

Спецслужбы Литвы расследуют компьютерный взлом клиники пластической хирургии — из базы данных хакеры похитили фотографии и персональные данные пациентов.

Но вот в чём вопрос: зачем отечественным хакерам взлом российских больничных систем, если они не интересны налоговым мошенникам, как в США? Информацию такого рода мошенники будут использовать для телефонного фишинга. По-прежнему остается актуальным банальный шантаж пациента (угроза разглашения информации). Можно шантажировать и организации (угроза судебных преследований компании, допустившей утечку, со стороны пациентов). К сожалению, украденная медицинская информация, в отличие от украденной банковской информации, не имеет срока давности.

Что же с этим всем делать?


Конечно, нет универсального метода или программы, который позволит обеспечить защиту информационной системы и полностью обезопасить её. Однако комплекс методов с большей долей вероятности позволит обезопасить информационные системы, размещенные в медицинских учреждениях.

Западные коллеги предлагают нанимать специалистов, которые будут осуществлять руководство отделом безопасности, сокращенно CSO (Chief Security Officer). Такие специалисты обязательно проходят проверки и аттестации на соответствие системы защиты нормативным требованиям. В нашей стране подобные проверки осуществляет ФСТЭК — Федеральная служба по техническому и экспортному контролю.

Применение различных стратегий также помогает предотвращать нарушения и кражу данных в области здравоохранения. Одной из существующих на сегодняшний день технологий по защите информации является технология VDI.

С помощью программы возможно создавать виртуальную IT-инфраструктуру и полноценные рабочие места на базе одного сервера, на котором работает множество виртуальных машин. Главное преимущество и фактор, влияющий на выбор VDI технологии — это безопасность. Уровень безопасности настолько высок, что пользователь не сможет скопировать данные о пациентах на флэшку и вынести их за пределы VDI. Сотрудники медицинских учреждений могут получать доступ к информации о пациенте из облака, не загружая и не сохраняя ее непосредственно на компьютере.

Технология VDI является зарубежной разработкой, однако уже на протяжении нескольких лет успешно применяется в нашей стране в различных сферах, в том числе и медицине.
Ещё один из способов защиты — технология блокчейн.

Большое количество пациентов посещает медицинские учреждения, тонны бумаг и медицинских карт используется при этом. Что если бы вся эта информация, которая пылиться на полках, хранилась бы в едином виде и месте онлайн? Возможно, это был бы большой шаг вперед всего здравоохранения.

Технология блокчейн — способ, который смог бы решить эту проблему, обеспечить такой легкодоступный и безопасный онлайн-каталог. Технология позволяет обеспечить анонимность в использовании. В здравоохранении эта технология может быть применима для хранения данных. В этой сфере есть противоречие между конфиденциальностью личных данных и необходимостью доступа врача в случае чрезвычайных ситуаций. Технология способна обеспечить безопасное управление базами данных.

Что же на практике?


В России существуют попытки создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ).

В рамках проекта ЕГИСЗ ведутся работы по оснащению медицинских учреждений компьютерным, телекоммуникационным оборудованием и средствами информационной безопасности, созданию региональных программ модернизации здравоохранения, стандартов информационного обмена в пределах системы, требований к медицинским информационным системам, созданию федерального центра обработки данных с общесистемными и прикладными компонентами.

Законодательное регулирование — ФЗ-152 как основа


Федеральный закон №152-ФЗ «О защите персональных данных» — документ, который регулирует обеспечение защиты информации в медицине. Лечебные учреждения являются операторами персональных данных, следовательно, обеспечение безопасности этих данных — их зона ответственности.

Существуют также ряд нормативно-методических документов, инициированных, например, ФСБ и ФСТЭК России. Согласно предписанным в них способам и порядку обеспечивается безопасность персональных данных, в том числе и в здравоохранении.

Финансовая сторона вопроса


За рубежом расходы на информационную безопасность существенны: наём ИБ-специалистов, установка и обслуживание систем защиты информации от внешних и внутренних угроз, обучение персонала. В России особо крупного бюджета не выделяется, а самостоятельно муниципальная больница не может позволить себе такой роскоши.

Итог


Как уже было сказано — нет универсального ПО или технологии, которая позволит обеспечить 100% защиту данных, однако важно понимать, что оставлять систему данных без защиты просто непозволительно и опрометчиво. Риск кибератак больше не является заботой лишь одного IT отдела. В настоящее время — это ключевой вопрос, который должен быть рассмотрен руководством медицинских учреждений.

Сфера медицинских услуг не должна обходить стороной защиту данных о пациентах, и все что связано с данной спецификой. Государство, как бы того не хотело, должно выделять средства на защиту данных, если хочет чтобы в стране медицина автоматизировалась. Как говориться: «Любишь кататься, люби и саночки возить». Без этого, увы, никак.

© Habrahabr.ru