Расширенный поиск

Проблемами информационной безопасности сегодня озабочены политики, военные, банкиры и интернет-пользователи. Но в этом перечне нет представителей целой сферы деятельности, которая является одной из самых чувствительных к хакерским атакам и хищению конфиденциальной информации. О том, что медицинские учреждения в СНГ не имеют серьезной информационной защиты – писать почему-то не принято. Более того, считается, что у медицины есть другие, более важные проблемы, которые предстоит решать еще несколько лет. Однако уже сейчас понятно, что, догоняя мировую медицину в технике и технологиях, экс-советские медики отстают в понимании проблем информационного общества. Об этом Digital.Report поговорил с основателем и техническим директором компании DeviceLock Ашотом Оганесяном.

Сегодня достаточно много говорится о защите информации в разных сферах – от военной, до персональной. При этом проблема защиты информации в медицинских учреждениях в странах СНГ публично практически не обсуждается? Почему и какие проблемы реально существуют в этой области?

Ашот Оганесян, основатель DeviceLock

Ашот Оганесян, основатель DeviceLock

На самом деле почти ни в какой области стараются не обсуждать проблемы защиты информации. Всплывают и становятся известными случаи совсем уж одиозные. Вторая причина — это отсутствие требования регулятора по обязательному разглашению случаев утечки персональных данных. Медицинские учреждения сталкиваются с примерно такими же проблемами охраны персональных данных, как и все остальные. Единственное, что существенно отличает их, скажем от банков, – это отсутствие массовых целенаправленных атак с целью кражи, однако случайные (непреднамеренные) утечки занимают значительную долю.

Насколько на ваш взгляд медицинские работники понимают, что информация, которой обладают медицинские учреждения в России, нуждается в защите? Насколько уровень отношения персонала к защите медицинской информации в России отличается от американского?

Я думаю, что в целом все понимают, что данные нуждаются в защите. Другой вопрос, что далеко не все знают какие меры необходимо предпринимать. С появлением в России закона о персональных данных, эта сфера стала гораздо лучше контролироваться со стороны государства, по сравнение с тем, что было раньше. Однако, пока уровень по-прежнему невысокий. В США, где одни из основных потребителей нашего программного обеспечения DeviceLock, это госпитали и другие медицинские учреждения, государство давно жестко (с применением огромных штрафов) карает за утерю и даже за недолжное хранение данных пациентов. Закон HIPPA (закон о защите данных по медицинским страховкам) был принят еще в 1996 году. Данный закон вынуждает (под страхом в том числе и уголовного преследования) организации, так или иначе связанные с данными пациентов, обеспечивать меры по защите информации.

Говоря о хакерских атаках, правоохранительные органы часто высказывают опасения о низкой защищенности банкоматов, компьютеров, смартфонов. Их можно взломать и использовать против владельца. А можно ли взломать умную медицинскую технику и использовать ее против пациента? Насколько мы все далеки от сценария, когда робот-хирург может покалечить пациента из-за хакерского взлома?

Пока мы достаточно далеки от такого сценария. В первую очередь из-за отсутствия таковых роботов в открытом доступе (подключенных к сети Интернет) и нераспространенности их вообще. Так же важно понимать, что за любыми серьезными взломами стоят некие финансовые интересы. Поэтому банки являются наиболее часто атакуемыми объектами. Как только взлом пресловутой умной медицинской техники начнет приносить серьезные дивиденды хакерам, сразу же мы увидим примеры таких взломов.

Есть ли в медицине технологии, которые можно назвать очень чувствительными к хакерским атакам?

Безусловно, это базы данных с информацией о пациентах.

Насколько серьезными могут быть последствия хакерских атак на медицинские учреждения? Вы можете описать несколько сценариев, которые возможны в России уже сегодня?

Опять же повторюсь – кража и последующее распространение баз данных с персональной информацией пациентов.

Вкладывает ли Министерство здравоохранения деньги в повышение уровня информационной защищенности больниц или, возможно, это не приоритетная цель для здравоохранения сегодня?

Насколько известно мне, вкладывают крайне мало и только под давлением 152 ФЗ «О защите персональных данных».

Какие серьезные недочеты в области информационной защищенности вы видите в России сегодня?

Недостаточная информированность и, как следствие ,не выделение средств.

Что нужно медучреждениям защищать от взлома – информацию о пациентах или медицинское оборудование? Какой приоритет вы бы определили?

Даже если киберпреступники (они же хакеры) взламывают медицинские комплексы и учреждения, то в современной практике конечной целью таких атак является доступ к персональным данным пациентов, хранимым на рабочих станциях, непосредственно связанных с медицинскими комплексами, и их кража. Таким образом, в результате весь комплекс действий злоумышленников направлен на организацию того, что на языке информационной безопасности называется “утечкой данных”. В этой связи безусловно приоритетной является защита данных медицинского учреждения, и в том числе – информации о пациентах. Что особенно важно – информация о пациентах является медицинской тайной и прямо относится федеральным законом ФЗ-152 к категории персональных данных. Сюда включается идентификационная информация пациентов (например, паспортные данные, адрес, телефон), а также диагностические данные, история болезни, врачебные предписания и медикаментозные назначения и т.п.

Такая расстановка приоритетов обусловлена жесткими реалиями: удельный размер ущерба (на аккаунт или запись) от утечки данных в здравоохранении – наибольший среди всех прочих отраслей экономики и в разы превышает средние показатели по всему индустриальному спектру. Согласно статистическим данным свежего, июньского этого года, отчета глобального исследования Института Ларри Понемона “2016 Cost of Data Breach Study: Global Analysis”, ущерб от утечки данных одного клиентского эккаунта в здравоохранении составляет $355, а средняя величина этого показателя по всем отраслям экономики – $158.

Если сравнивать СНГ, ЕС и США в каких странах информационная защита медицины лучше и чем?

Как я отметил выше – США. В силу очень суровых законов.

Что необходимо делать сегодня, чтобы решить основные проблемы информационной защиты медицинской отрасли? Есть ли неотложные меры, которые вы бы рекомендовали предпринять в области законотворчества и практических действий?

В первую очередь проводить разъяснительную работу, доносить информацию о важности защиты персональных данных пациентов и об ответственности (по 152 ФЗ) за их ненадлежащее хранение и утерю.

 

Об авторе

Владимир Волков

Белорусский журналист, автор многочисленных публикаций по развитию телекоммуникационной отрасли в Беларуси и России. Работал в "Белорусской деловой газете", информационном агентстве БелаПАН и белорусском портале TUT.BY. Занимается исследованиями в области информационных коммуникаций, преподаватель института журналистики Белгосуниверситета.

Написать ответ

Send this to a friend

Перейти к верхней панели