Издание Information Security Buzz, ориентированное на профессионалов в области информационной безопасности, обратилось к экспертам отрасли за комментариями по поводу главных угроз 2017 года. Вице-президент британской компании RES, поставщика систем защиты информации, Джейсон Аллэвэй обратил внимание на уязвимость медицинских данных. «Новость о том, что в 2016 году организации здравоохранения подвергались в среднем одной атаке в день, должна послужить серьезным предупреждением для медицинских компаний. Киберпреступники выбрали данную сферу первоочередной целью, и в 2017 году ситуация будет только ухудшаться. Причина такого большого количества атак на медицинские данные заключается в их ценности. В отличие от многих других случаев кражи данных, когда мошенники гонятся за наживой, в случаях с медицинской информацией речь идет о ценности жизни. Если в больницах нет надежной политики безопасности, и больницы не могут восстановить данные, не остается другого выбора, кроме как заплатить выкуп. Иначе врачи не смогут продолжить предоставлять необходимую медицинскую помощь. Кроме того, в 2017 году мы уже наблюдаем возрождение атаки doxware, когда киберпреступники угрожают не блокировать данные, а обнародовать их. Это явная угроза для медицинских организаций, поскольку в их распоряжении находится большое количество личной, конфиденциальной информации. Чтобы защитить себя и своих пациентов и предупредит атаки, исходящие со всех сторон, в 2017 году медицинским организациям понадобится активная, сложная и разнообразная стратегия безопасности». Защита персональных данных в сфере здравоохранения – первостепенная задача на 2017 году и для российских медицинских организаций. В колонке для издания Republic Лев Матвеев, председатель совета директоров «СёрчИнформ», рассуждает, как получилось, что данные пациентов оказались под угрозой. «Медицина постепенно переходит на новые форматы работы с информацией, электронные очереди и запись через интернет, базы данных вместо ветхих медицинских карточек, телемедицина вместо утомительных походов к врачу. Проблема в том, что эти учреждения не слишком заботятся о защите персональных данных своих пациентов. Последнее исследование по медицинским учреждениям США показывает неутешительную тенденцию там, где казалось бы должно быть лучше, чем у нас: доля утечек медицинской информации с 2010 года по 2016 год выросла с 20 до 50%. Но причина не в том, что там больше крадут или сливают, а в том, что у них с этим вопросом строже – закон не позволяет уходить от ответственности, да и существенные штрафы не дают расслабиться. Так потеря ноутбука с незашифрованными медицинскими данными 8 883 пациентов обошлась компании EMC и администрации больницы Hartford Hospital в 90 тыс. долларов штрафа штату Коннектикут.

В России же большинство утечек из медучреждений просто не фиксируются.

Пациенты крайне редко жалуются и обращаются в полицию, медики же не особо осознают серьезность своих действий, случайно или намеренно передавая информацию о больных третьим лицам, да и сами учреждения не обязаны раскрывать факты утечек. Между тем, ситуация самая плачевная. Масштаб проблемы подчеркнут несколько историй, которые легко найти в сети. Так в Белозерске Вологодской области прокуратура возбудила административное дело против врача центральной районной больницы за разглашение персональных данных. Местный житель опубликовал в социальной сети фотографию со списком препаратов, выписанным врачом на «черновике». Черновиком оказался талон амбулаторного больного, где были указаны персональные данные другого пациенты: ФИО, год рождения, номер паспорта, домашний адрес и диагноз. Врача обвиняют не только в нарушении процедуры обращения с персональным данными, но и в разглашении врачебной тайны. «Новосибирские новости» обратили внимание на то, что «Новосибоблфарм» не скрывает персональные данные получателей лекарств. Все сведения, которые граждане указывают о себе при обращении в интернет-приемную, появляются на сайте организации в открытом доступе. Это фамилии, номера лечебных учреждений, телефоны. Пациенты уже сталкивались с тем, что информацию из открытого источника берут фирмы по оказанию услуг. В больнице поселка Всеволодо-Вильва Пермского края пациентке вместе с результатами ЭКГ выдали список других пациентов. На черновике, к которому приклеили расшифровку кардиограммы, указаны фамилии, имена, даты рождения, домашние адреса и паспортные данные. Пациентка выложила фото документа в социальной сети, сопроводив ироничной подписью со словами благодарности «самым ответственным работникам больницы». «Спасибо вам, добрые и ответственные люди. Завтра бегу оформлять кредит», — цитирует запись региональный сайт. С переводом данных в цифровой вид учреждения стали уязвимы перед кибератаками и действиями инсайдеров. Информацию о больных «сливают» либо с целью заработать, либо в качестве услуги за услугу.

И желающих купить персональные данные — масса. Самые постоянные из них: работники сферы ритуальных услуг, продавцы нелицензионных лекарств и БАДов, СМИ, риелторы-мошенники.

Уверенные в отсутствии систем безопасности (в больницах даже штатный системный администратор – редкость), сотрудники медучреждений практически не скрываясь пытаются «слить» персданные. В основном используют личную электронную почту, иногда отправляют файлы через социальные сети, записывают на флешки. Обычные ухищрения «инсайдеров из бизнеса», такие как слив данных в облако или вход под чужой учетной записью, медицинские работники используют редко, скорее всего из-за низкого уровня IT-подготовки. Как действуют «инсайдеры из медицины» можно представить на примере нескольких случаев. Врач-реаниматолог передавал данные о смерти пациентов и их адреса по прописке представителю агентства ритуальных услуг. Переписка велась в Viber и стала известна службе безопасности, когда сотрудник открыл диалог в браузерной версии мессенджера на рабочем компьютере. Из переписки ясно, что «слив» информации налажен довольно давно: мошенники не обсуждали «условий сотрудничества», отправлялась только конкретика. Врач получил штраф и строгий выговор c предупреждением об увольнении. Стоматолог государственной клиники пересылал карточки с персональными данными пациентов на личную электронную почту. Позже служба безопасности выяснила, что специалист подрабатывал в частной клинике, куда и «уводил» клиентов под предлогом лучших условий для диагностики и лечения. Сотрудник также получил выговор с предупреждением об увольнении, его активность была поставлена на особый контроль.

Вообще такой мотив «сливов» — обеспечение постоянного потока клиентов в частное медучреждение — одно из самых распространенных явлений.

Проблема в том, что сегодня информационная безопасность в здравоохранении сводится к проверке исполнения нормативных требований. В России есть закон о защите персональных данных – ФЗ №152. Он включает ряд формальных требований, выполнение которых обязательно: персональные данные должны храниться в недоступном для широкой публики месте, доступ к ним должен быть строго регламентирован, чувствительная информация должна быть поделена на группы, к каждой из которых применяется свой регламент доступа. «На бумаге» это сделать просто – достаточно написать соответствующие приказы и ознакомить с ними персонал. Совсем другой вопрос – их выполнение, за которым как раз никто не следит. Нет технических возможностей, людских ресурсов и профильных кадров.

Именно поэтому наличие закона может никак не влиять на фактическую ситуацию – документы есть, сотрудники с ними ознакомились и даже подписали, но на практике все остается, как и было.

На Западе ситуация давно противоположная: в США утечки или даже ненадлежащее хранение данных пациентов чревато колоссальными штрафами или даже уголовным преследованием. Медучреждения здесь обязаны обеспечивать защиту информации по закону HIPPA (закон о защите данных по медицинским страховкам) с 1996 года. И следить за этим дешевле, чем игнорировать закон: по свежим июньским данным отчета глобального исследования Института Ларри Понемона («2016 Cost of Data Breach Study: Global Analysis»), ущерб от утечки данных одного клиентского аккаунта в здравоохранении составляет 355 долларов, тогда как средняя величина этого показателя по всем отраслям экономики — 158 долларов.

Ситуацию с информационной безопасностью в российской медицине необходимо менять. Возможно, катализатором станет закон о телемедицине, и мы наконец осознаем всю полноту проблемы.

Телемедицина – это не просто консультация по скайпу, это полноценная удаленная диагностика человека. Она подразумевает передачу конфиденциальной информации о пациенте. И тут возникает вопрос о безопасной передаче и хранении подобных сведений. Проблема не новая для медицины, просто с появлением телемедицины она усугубится. Так как у злоумышленников появится больше лазеек для незаконного получения и использования данных.

В связи с чем остается слишком много вопросов: как будут храниться персональные данные пациентов, как реализуется система безопасности и, в конце концов, как скоро медучреждения смогут позволить себе эти технологии?

Здесь даже не нужно изобретать велосипед. Можно обратиться к опыту стран, где уже давно решается вопрос защиты персональных данных не формально, а на практике. В США развита система защиты от утечек информации и дело там не только в законах и штрафах. Люди значительно лучше подкованы технически, лучше разбираются в технологиях и понимают последствия своих действий. Наш медперсонал имеет лишь элементарные знания об информационной безопасности, не осознает ответственности за имеющиеся в учреждении данные о пациентах. А потом получается, что базы данных о пациентах отправляются «всем получателям» из адресной книги, рецепты выписываются на «черновиках» с паспортными данными граждан, а информация об умерших передается представителям «ритуальных услуг». В американских медучреждениях реализуют несколько уровней защиты от внешних и внутренних угроз. Изначально тщательно категоризируют документы, какие из них относятся к конфиденциальной информации, а какие нет. Во многом это обусловлено особенностями работы зарубежных DLP-систем, которые заточены под блокировку утечек и их работа сильно автоматизирована. Если говорить о финансовой стороне вопроса, то за рубежом расходы на ИБ существенны: наём ИБ-специалистов, установка и обслуживание систем защиты информации от внешних и внутренних угроз, обучение персонала. В России же таких бюджетов не выделяется, а самостоятельно муниципальная больница не может позволить себе такой роскоши».