Утечка личной информации из медицинский учреждений – распространенный вид ИБ-инцидентов. С развитием технологии и «переводом» информации в электронный вид утечки информации происходят все чаще. В 2017 году, под данным Breach Level Index, в сфере здравоохранения зафиксировали 228 инцидентов, в результате которых были скомпрометированы минимум 33,7 млн медицинских записей. Ежегодные наблюдения подтверждают, что данные пациентов входят в тройку наиболее ценных для мошенников «трофеев» и одновременно остаются среди наиболее уязвимых сведений с точки зрения ИБ.
Причина, по которой сектор здравоохранения остается целью номер один для внешних атак и злонамеренных инсайдеров, заключается в ценности данных. В результате кражи или компрометации медицинской информации пациенты несут материальный и моральный ущерб, ухудшается репутация медицинских заведений. Организация Medical Identity Theft Alliance провела опрос, в ходе которого установила: в 90% случаев пациенты ощущали дискомфорт после утечек персональных данных из учреждений здравоохранения. У 19% пострадавших от утечек ухудшались взаимоотношения с коллегами и работодателям, 3% жертв даже пришлось менять место работы.
Жертвой утечки информации по вине лечебного заведения рискует стать каждый третий пациент. Крупные утечки происходит чаще всего в результате целенаправленного взлома информационных систем и IT-продуктов. Рост количества случайных утечек связан в основном с неправильной утилизацией или архивацией медицинских бумаг. Недавно подобный инцидент произошел в Свердловской области, где в районном центре в старом здании поликлиники нашли десятки историй болезней и диспансерных книжек, датированных 1989 годом. В документах содержались персональные данные пациентов и диагнозы. За нарушение закона о хранении персональных данных поликлинику оштрафовали на 25 тыс. рублей.
Среди крупнейших случаев утечек информации последнего времени эксперты выделяют:
Министерства здравоохранения по всему миру выделяют средства на обеспечение полноценной работы медицинских учреждений. Однако руководство клиник и больниц предпочитает направлять деньги на разработку новых технологий и поддержку текущих протоколов лечения. Защите информации уделяют намного меньше внимания, чем требуют стандарты ИБ. Мошенники знают, что чувствительная информация слабо защищена, поэтому регулярно пытаются взломать медицинские базы данных.
Тематический опрос, проведенный Quick HIT Survey по заказу агентства Healthcare IT News и компании HIMSS Analytics, показал, что почти 75% медицинских учреждений в США регулярно страдают от хакерских атак и вредоносного ПО. Серьезную угрозу представляют программы-вымогатели, или ransomware. ПО кодирует системы данных, после чего авторы атаки требуют выкуп за расшифровку информации. Вредоносное ПО вредит как непосредственно материально-технической базе больницы, так и пациентам.
Медицинские карты высоко ценятся у злоумышленников, цель которых – получить доступ к диагнозам и персональным данным. Например, в России мошенники вычисляют застрахованных по программе добровольного медицинского страхования и «помогают» переманивать пациентов в другие лечебные заведения.
Другая разновидность мошенничества с медицинскими данными заключается в том, что мошенники под видом лечащих врачей или представителей фармакологических компаний рекламируют товары или услуги, чаще всего – лекарства без государственной регистрации и биодобавки. Злоумышленники используют не только истории болезней, но и сведения об одиноких женщинах и пожилых людях – наиболее внушаемых социальных группах.
После утечки медицинских данных мошенники формируют и продают собственные базы данных, а нередко и требуют выкуп. В мае 2017 года клиника пластической хирургии Grozio Chirurgija в Литве пострадала от злоумышленников, которые взломали базу и разместили в интернете по крайней мере 25 тыс. личных данных и фотографий пациентов. Хакеры-вымогатели заработали на похищенной информации более миллиона долларов.
Медицинская информация в любом виде приносит большую прибыль злоумышленникам. Эксперты по безопасности посчитали, что данные из медицинской карты, даже фрагментарные, оцениваются на черном рынке в сотни долларов, тогда как данные банковских карт – всего в доллар. Ценность сведений о пациентах связана по меньшей мере с двумя обстоятельствами:
Медицинские учреждения стремятся решить проблему утечек и защитить критически важную информацию, ведь речь идет о здоровье и сохранении жизней. По прогнозам исследовательской компании ABI Research, к 2020 году на защиту медицинской информации планируется выделять до 10 млрд долларов.
В России предпринимались попытки защитить медицинские данные на законодательном уровне. С 2009 года действует приказ «Об утверждении Единого квалификационного справочника должностей руководителей». В разделе документа, посвященного сфере здравоохранения, дается квалификационная характеристика руководителей и сотрудников, отвечающих за безопасность данных. После утверждения документа в больницах и поликлиниках стало работать больше кадров из сферы защиты данных от утечек, однако обеспечение ИБ-кадрами в медицине все еще оставляет желать лучшего.
Медицинские данные нуждаются в усиленной защите от утечек, взломов и хищения. По итогам исследования HIMSS Analytics, только 25% руководителей клиник следят за безопасностью полученных данных в соответствии с установленными стандартами. Примеров, когда клиники и медицинские заведения или целые страны внедряют новые эффективные технологии защиты, пока немного:
Госпиталь Albert Schweitzer Ziekenhuis в Нидерландах, где 4 тыс. сотрудников ежегодно принимают до 500 тыс. пациентов, использует одноразовые токены и облачный сервер для аутентификации в системе. Это обеспечивает конфиденциальность информации на высоком уровне, а также дает сотрудникам доступ на территорию учреждения по требованию.
Еще в 2008 году Швеция одной из первых начала разработку национальной системы «Электронная медицинская карта». Главная задача, которую правительство поставило перед разработчикам, – обеспечить максимальную защищенность медицинских данных. Для двухэтапной идентификации в системе используются смарт-карточки, логины и пароли с цифровыми подписями. Это помогает отслеживать, что делают сотрудники с информацией о пациентах и клинике. Сведения о пациентах формируются на базе онлайн-портала National Patient Overview, а вся документация о пациентах хранится на электронных медицинских карточках Electronic Healthcare Records. Рецепты также выписываются в электронном виде.
Администрация Fraser Health Authority в Канаде разработала ситсему сертификатов: около 26 тыс. среднего и младшего персонала и 2,5 тыс. врачей получили смарт-карты для доступа к записям. Мера позволила защитить данные пациентов от утечек, снизить операционные затраты, повысить трудовую дисциплину и качество работы.
Шведская и канадская модель показали хорошие результаты в 2017 году, и теперь защите медицинской информации начали уделять больше внимания. Начались разработки системы безопасности для смартфонов, которые меньше защищены от хакерских атак. Среди разработок – системы на основе Bluetooth. По задумке, к телефону привязывается личный адаптер электронного удостоверения. Система распознает и обрабатывает смарт-карту сотрудника, после чего открывает доступ к данным. Это обеспечит специалистам большую свободу действий, разрешит подписывать документы удаленно и выписывать электронные рецепты.
Электронные удостоверения и токены уже успешно применяются в системе здравоохранения развитых стран, поскольку защищают сведения и дают быстрый доступ к информации. В то же время для предупреждения утечек и кражи информации нужно подбирать систему защиты с учетом особенностей медицинского учреждения. Комплексные решения позволят избежать хакерских атак и случайного распространения сведений за пределы медицинского учреждения.
Выберите нужно решение: DLP, SIEM или систему контроля рабочего времени – и получите бесплатно версию для тестирования.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных