К осознанию и не приблизились

Сфера здравоохранения только подбирается к пониманию того, каким критическим объемом информации она владеет. Данные о пациентах, протоколы лечения и операций, дозировка лекарств в руках мошенников могут стать оружием. А спрос на эти данные очень большой. Информацию выкупают за высокую цену в «темном» интернете, сумма достигает 1000 долл. за одного пациента и до 500 тыс. долл. за электронную базу медданных, и срок давности не имеет значения.  

В 2017 г. количество утечек информации в здравоохранении было самым высоким по сравнению с остальными секторами (228, четверть от числа всех утечек)*. И это притом, что в некоторых странах нет законов, обязующих публиковать информацию о скомпрометированных данных. 

В российских СМИ достаточно примеров халатности в отношении медданных. На слуху недавний случай с обнародованием личной информации пациентов через интернет-приемную регионального фармпоставщика. Фамилии, номера лечебных учреждений и телефоны получателей льготных лекарств отображались на сайте организации. Как только данные попали в открытый доступ, гражданам начали поступать звонки с предложением медицинских услуг и дорогостоящих препаратов. 

Для чего может быть использована информация о пациентах и доступ к базам данных:

• Для перепродажи третьим лицам:

- фармкомпаниям;

- частным, «индивидуальным» врачам;

- бюро ритуальных услуг;

- другим клиникам.

• Для причинения вреда пациенту:

- шантажа, например если человек является пациентом клиники лечения зависимостей или пластической хирургии, тяжелобольных и пр.;

- покупки лекарств лицами, не являющимися пациентами клиник;

- внесения изменений в дозировки препаратов или протоколы лечения;

- удаленного взлома медицинских IoT-устройств.

Последнее, кстати, совсем не фантастика. Исследователи информационной безопасности Билли Риос и Джонатан Баттс еще в январе прошлого года сообщили производителю (Medtronic), что нашли уязвимость в кардиостимуляторе. По их словам, компания проигнорировала письмо, и они решили продемонстрировать взлом устройства вживую на специализированной конференции. Им удалось внедрить вредоносную программу, которая может незаметно для врача-контролера управлять функциями кардиостимулятора, например менять количество ударов сердца.

Не просто слова

К сожалению, судя по кейсам, которыми мы сами располагаем, все это не абстрактные «страшилки». Среди них истории про перепродажу данных агентствам ритуальных услуг и фармкомпаниям, пересылка медкарточек из госклиник в частные и даже пересылка информации о наркозависимых пациентах наркодилерам. Понятно, что среди сотрудников медучреждений всегда найдутся желающие заработать на перепродаже информации, которой располагают. Но сфера здравоохранения сталкивается с новой угрозой, масштабы которой пока еще даже непонятны. Парадокс в том, что сами пациенты из-за минимальных знаний в сфере ИБ подвергают себя риску.

Чуть больше года назад в России был принят закон, легализовавший телемедицину. Получить консультацию можно на сотнях площадок-агрегаторов, оказывающих такие услуги. Пациент сам предоставляет персональные данные и историю болезни. Насколько защищены данные на этих площадках – непонятно. Но в случае взлома или утечки по вине инсайдера злоумышленник получит отборную качественную информацию. 

Отдельный разговор о медицинских соцсетях, в которых пациенты получают консультацию от врачей или делятся опытом. Здесь информация лежит вообще в открытом доступе. Популярность у этих соцсетей огромная. Например, в американской PatientsLikeMe зарегистрировано более 600 тыс. пациентов с 2800 заболеваниями. Основная статья заработка социальной сети – продажа контактов пользователей фармкомпаниям. Этого создатели социальной сети и не скрывают. 

Как навести порядок

Если в медучреждении не введен электронный документооборот для пациентов – риски остаются, но они минимальны. Забавно, но это никак не связано с тщательной охраной бумажных носителей, напротив, зачастую сотрудники регистратуры сами не могут понять, где ваша «карточка». Именно эта неразбериха – основной «защитный механизм» на данный момент. Для того чтобы данные имели цену, их нужно актуализировать и оцифровать – а это очень трудозатратная задача. Но бумажный документооборот в медицине безнадежно устарел, а значит, переход в «цифру» – лишь вопрос времени.

Понятно, что с учетом масштабов проблем, которые могут вызвать (и уже вызывают) утечки, сфера здравоохранения во всем мире ищет баланс между комфортом оказания медуслуг с помощью современных достижений и безопасностью. 

И если в вашей организации работа по обеспечению безопасности не налажена совсем, то начните с малого: 

1. Введите регламент работы с информацией. Строгое соблюдение правил хранения и работы с персональными данными пациентов и другой медицинской документацией касается всего персонала.
2. Разграничьте доступ к информации внутри учреждения. Работать с закрытой персональной информации могут только определенные лица, хотя запрет на скачивание и отправку данных вовне должен быть установлен даже для них.  
3. Внедрите средства защиты информации. HIPAA, действующий на территории США, федеральные законы № 152-ФЗ и 187-ФЗ – в России обязуют медучреждения защищать персональные данные и критичную ИТ-инфраструктуру. Но каким способом это делать, решают руководители этих организаций. Самый надежный путь – установка инструментов защиты информации, таких как современные DLP-системы.
4. Проводите обучающие ИБ-мероприятия для медицинского персонала на регулярной основе. Это могут делать штатные специалисты или представители компаний, которые занимаются подготовкой сотрудников по вопросам информационной безопасности (CTI, Security Awareness Training).
5. Назначьте ответственных лиц, которые будут работать с системами безопасности и заниматься просвещением персонала в сфере информационной безопасности. Если в организации более 200 человек, разумно нанять ИБ-специалиста.   

*данные глобальной базы утечек Breach Level Index.