Аналитики «СёрчИнформ» исследовали ИБ-инциденты в медицинской сфере за полгода и пришли к выводу, что цифровизация сулит российским врачам ИБ-проблемы западной медицины.
Бумага не стерпит
У медицинских утечек в России особый колорит. Если за рубежом данные пациентов теряются в сети, то у нас – среди берез и сосен. С января по июнь в разных частях страны обнаружили несколько свалок с документами из медучреждений.
На свалке в Ростовской области нашли тысячи копий медицинских и личных документов из Багаевской ЦРБ – внутренних распоряжений, приказов местного минздрава, паспортов, СНИЛС и страховых полисов. Из сканов можно было узнать диагнозы пациентов больницы и обстоятельства, при которых они получили травмы. За инцидент ответила статистик ЦРБ – она признала вину и уволилась.
В Татарстане нарушили сразу две нормы закона – в неположенном месте выбросили строительный мусор, среди которого были и медицинские карточки с историями болезней. Предположительно, документы вынесли из лечебно-профилактического учреждения Альметьевска, где шел капитальный ремонт. О том, ответил ли кто-нибудь за утечку ПДн, медиа не писали.
А вот медкарточки из больницы № 3 в Ижевске до полигона даже не довезли. Десятки документов вывалились из кузова автомобиля по дороге на свалку. К инциденту подключился Роскомназдор, который составил протокол и потребовал у администрации больницы принять меры по недопущению подобных ситуаций.
В некоторых случаях дело закончилось символическим штрафом в 4 тыс. рублей. Такой выписали главврачу Серовской городской больницы в Свердловской области за сдачу 69 медкарт в макулатуру. Документы в утиль отнесла фельдшер больницы, которая решила поучаствовать в городской акции по сбору вторсырья. Ей объявили выговор.
По секрету всему Интернету
Вторая категория утечек связана с медиками из группы риска «Болтуны». Заместителя главврача Можгинской районной больницы в Удмуртии наказали штрафом в 4 тыс. рублей за разглашение диагноза пациентки ее работодателю. Такую же сумму за передачу данных о пациенте судебным приставам заплатит руководитель поликлиники в Санкт-Петербурге.
Более серьезное наказание получила практикантка Красноярской больницы скорой медпомощи. За публикацию чужой истории болезни в сети ей пришлось заплатить 50 тыс. рублей. Такую сумму запросил потерпевший в качестве компенсации морального вреда.
Промахи в деле защиты медицинской информации допускали не только врачи, но и чиновники. Управление здравоохранения Липецкой области выложило на сайт госзакупок тендерные документы с конфиденциальными сведениями о пациентах – ФИО, адреса, диагнозы. Трое виновных сотрудников получили разные наказания – от предупреждения до увольнения.
Среди всех громких ИБ-инцидентов в медицине за полгода только один связан с утечкой базы данных. Хотя в ЕС и США – это «классика жанра». На одном из файлообменников нашлась база данных скорых в Мытищах, Дмитрове, Долгопрудном, Королеве и Балашихе. Документ содержал имена, адреса, телефоны пациентов и сведения об их здоровье. Утечку расследует Роскомнадзор.
Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев прогнозирует, что цифровизация российской медицины – вызов для ИБ в отрасли:
– Большинство медицинских утечек в России связано именно с бумагой, потому что цифровизация в отрасли только началась. В западноевропейских странах и США она идет давно, и создает проблемы, которые нам только предстоят. Утечки баз данных пациентов – обычная история для зарубежных медорганизаций.
Слабое финансирование заставляет медиков использовать для хранения оцифрованных данных бесплатные сервисы. Популярные облачные сервисы имеют достаточный уровень защиты, который хорошо работает только при должной настройке. Однако хранение данных на многих популярных сервисах даже при грамотной настройке идет вразрез с российским законодательством: 152-й ФЗ требует хранить персданные россиян исключительно на территории РФ.
Многие учреждения создают собственные хранилища и веб-сервисы, однако недостаток финансирования приводит к построению таких сервисов на базе свободно распространяемых компонентов. Они бесплатны, но и безопасность данных никто не гарантирует – решение поставляется «как есть» без какой-либо поддержки. Одним из таких популярных компонентов является ElasticSearch (движок контентного поиска для веб-сайтов). Но его использование небезопасно, как можно судить по новостям. Например, одна из крупных утечек случилась в ноябре прошлого года, когда на открытом сервере ElasticSearch нашли персданные 57 млн американцев.
Подход «бесплатно или почти бесплатно» для медучреждений России противопоказан. Если пустить ситуацию на самотек, то потенциально после цифровизации мы получим такую же картину, как на Западе или даже хуже. Уже сейчас мы видим, что инциденты в информационной безопасности зависят в первую очередь от людей, а не от технологий. Технологии сделают утечки масштабнее. Поэтому в бюджет на цифровизацию важно заложить закрытие человеческих рисков.