Утечки и кражи медицинских данных - так клиники теряют пациентов

На «сером» рынке баз данных набирают популярность информационно‑медицинские продукты – картотеки полисов ОМС, истории болезни, мобильные телефоны пациентов частных и государственных клиник. Предложения доступны на «пиратских» рынках, в интернет‑магазинах и уже пользуются спросом у широкого круга покупателей – от фармкомпаний до туроператоров и агентств ритуальных услуг. VM сделал контрольные закупки некоторых товарных единиц информационной линейки и попытался разобраться, где начинаются их поставки.
ОМС‑МАРКЕТИНГ
На Савеловском рынке базы данных предлагают две точки с соответствующей вывеской, управ­ляемые ИП «Ароян». Хит продаж – многофунк­циональные базы, включающие сразу реестры паспортных данных, водительских удостоверений и полисов ОМС. Такие продукты здесь реализу­ются отдельно по субъектам РФ. Например, диск с базой данных по Московской области обошелся VM в 1,5 тысячи рублей. Реестр ОМС на нем включает основную персональную информацию всех жителей этого региона: адрес и дату рожде­ния страхователя, номер его полиса и СНИЛС. «Если вам нужны данные только ОМС, попробуем собрать базу по всем регионам. Выйдет не дороже 10 тысяч рублей», – пояснил скидочную поли­тику продавец одной из точек и, чтобы развеять сомнения, тут же показал выгрузку такой базы в формате excel на своем ноутбуке.
Помимо картотеки ОМС, в ассортиментной линейке есть еще один продукт – «Медстрах». Кроме базовых персональных данных, этот реестр дополнен информацией об организации или ведомстве, которое покрывает человеку расходы по страховке. Стоимость такого предложения тоже находится в диапазоне 1,5‑2 тысячи рублей.
Сотрудники территориальных ФОМС и страхо­вых компаний, опрошенные VM, утверждают, что им о продажах баз на свободном рынке ничего не известно. «Вероятно, произошла утечка ин­формации, но точно не от нас», – дистанцируется от темы сотрудник отдела безопасности ФОМС Владимирской области. Представители федераль­ного ФОМС на запрос VM не ответили. Продавцы на Савеловском, естественно, не раскрывают ни своих поставщиков, ни клиентов, ограничиваясьприкладными рекомендациями: «Мы же не спра­шиваем вас, зачем вам базы данных. Но если вы, например, из фармкомпании, то возьмите лучше базы абонентов сотовых операторов – сможете рекламу по SMS рассылать».
Савеловский рынок считается сейчас крупнейшей точкой продаж «серых» информационных баз. С ним конкурируют только «Горбушка» в Москве, городские рынки в регионах и интернет‑мага­зины, в которых, правда, представлены совсем другие продукты. Например, сайт bazabd.ru предлагает базы психбольных Башкирии, нар­команов и психбольных Барнаула, пациентов медучреждений Тольятти и другие аналогичные картотеки, стоимость которых варьируется от 300 до 1 тысячи рублей. Помимо паспортных данных, в предлагаемых реестрах можно найти номера мобильных телефонов и адреса проживания ука­занных пациентов.
В профильных IT‑компаниях говорят, что дан­ные в эти каналы продаж поступают в результате разного рода утечек из соответствующих учреж­дений, а количество «сливов» только в сегменте медуслуг уже достигает нескольких десятков в год. Например, по оценкам InfoWatch, в прошлом году медицина входила в число отраслей‑лидеров по количеству информационных утечек с долей 8,3% от всех информационных потерь. По этому показателю она уступала только направлениям торговли, гостинично‑ресторанных услуг, бан­ковскому сектору и госорганам. «Исследования основаны, как правило, на открытых источниках и показывают лишь верхушку айсберга. Реальный масштаб утечек может быть в разы больше», – отмечает руководитель аналитического центра компании Zecurion Владимир Ульянов.
ПРОТИВ ВЕТРА
Информационные потери начали фиксироваться в сегменте медуслуг еще с 90‑х годов. «Первые утечки происходили случайно, но в основном были связаны с утерей бумажных документов, и в них не было подоплеки мошенничества. Такие случаи происходят и до сих пор», – говорит Вла­димир Ульянов из Zecurion. С ним соглашается ведущий эксперт компании InfoWatch по инфор­мационной безопасности Андрей Прозоров: «Чаще всего бумажные медицинские карты просто выбрасывают. Это классический пример россий­ского раздолбайства и наплевательства».
Некоторые случаи утечек по небрежности получи­ли широкий резонанс и даже привлекли внимание правоохранительных органов. Прошлой зимой в Ханты‑Мансийском автономном округе ксеро­копии паспортов, СНИЛС и страховых медицин­ских полисов пациентов Сургутской городской поликлиники №4 оказались разбросаны по го­родскому парку «Кедровый лог». Как выяснилось, документы перевозились в архив медучреждения, и при погрузке часть бумаг просто унесло ветром. Инцидент получил всероссийскую огласку, и ру­ководство ЛПУ было вынуждено принять строгие административные меры. «Ответственное лицо, из‑за которого в лечебном учреждении произошла такая оказия, было уволено», – сообщили VM в поликлинике.
Позже в городе Лангепасе того же Ханты‑Ман­сийского автономного округа врач стоматологи­ческой клиники «Дентал» забыл амбулаторную карту пациентки в такси. Дальнейшего распро­странения персональных данных не произошло, водитель такси, обнаруживший карту, сразу позвонил по указанному в ней телефону. Тем не менее пациентка обратилась в региональную прокуратуру с требованием привлечь к ответ­ственности медучреждение. В результате в отно­шении клиники и врача были возбуждены адми­нистративные дела по ст. 13.11 КоАП РФ. Правда, по итогам рассмотрения дел, как сообщили VM в региональной прокуратуре, все ограничилось лишь вынесением предупреждения врачу и медуч­реждению.
Представители компаний, специализирующихся на информационной безопасности, отмечают, чтослучайные утраты бумажных документов в сег­менте здравоохранения, как правило, не имеют серьезных последствий ни для виновных, ни для потерпевших. Гораздо масштабнее ущерб от уча­щающихся преднамеренных электронных утечек из медицинских информационных систем.
Волна краж оцифрованных персональных данных начала подниматься в середине 2000‑х параллель­но с активным внедрением медицинских инфор­мационных систем. По данным компании Inline Technologies, уже в первой половине 2008 года потери бумажных данных занимали только 10% от общего объема утечек в медицинских инфор­мационных системах, остальное приходилось на CD, DVD, флеш‑накопители, серверы на­стольных компьютеров, ноутбуки, КПК и другие электронные носители информации. При этом злонамеренные «сливы» составляли уже почти треть всех случаев потери данных в сегменте ме­дицинских услуг.
Самой распространенной причиной электрон­ных утечек IT‑эксперты называют кражу. «Красть могут врачи, потому как имеют прямой доступ к информации плюс материальную заинтере­сованность. Не секрет, что многие врачи взаи­модействуют с фармкомпаниями и – обычно на какой‑то платной основе – рекламируют тот или иной препарат. И если фармкомпаниям будут необходимы какие‑то списки по пациентам, некоторые медики могут согласиться на кражу баз данных пациентов, особенно если им будет предложена значительная сумма», – рассказы­вает Андрей Прозоров из InfoWatch. О хакерских атаках на информационные системы в сегменте медуслуг, по его словам, пока говорить не прихо­дится. Схожего мнения придерживается дирек­тор по развитию КМИС Александр Гусев: «Редко когда это бывают какие‑то технические вещи или взломы систем безопасности».
В числе заказчиков «слива» персональной ин­формации из медучреждений, говорит Андрей Прозоров, помимо фармкомпаний, фигурируют и обыкновенные мошенники, которые, получая доступ к базам данных пациентов, звонят им, предлагая купить «эффективное» лекарственное средство от их заболевания. Кроме того, пер­сональные данные пациентов, в частности, их диагнозы, могут быть интересны компаниям, предлагающим, например, туры на оздорови­тельные курорты. «Получая доступ к базе данных пациентов больниц, они обзванивают их, пы­таясь мотивировать к поездке на один из таких курортов, иногда предлагая скидки для людей с конкретным диагнозом. Есть свой интереси у ритуальных агентств – они готовы платить за обновление базы умерших пациентов, чтобы оперативно предлагать родственникам свои ус­луги», – рассказывает Прозоров. Но наибольший интерес для кражи, по словам эксперта, пред­ставляют персональные данные знаменитостей: «Эту информацию готовы покупать, а значит, может найтись человек, который готов ее прода­вать». Ценники в России, конечно, поскромнее, чем 50 тысяч евро, предложенные за историю бо­лезни Михаэля Шумахера, но спрос на медкарты отечественных селебрити растет.
Нарастание волны утечек эксперты объясняют как минимум двумя причинами – несовершен­ством медицинских информационных систем и слабостью законодательной базы. Сейчас безопасность личной медицинской информа­ции в России подпадает под действие ФЗ №152 от 27 июля 2006 года «О персональных данных». Ответственность за безопасное хранение и рас­пространение информации о своих пациен­тах – как в электронном, так и в любом другом виде – возложена этим законом на медучрежде­ния. Отдельные технические требования к за­щите персональных данных в информационных системах прописаны в постановлениях ФСТЭК №21 и №17. 
Правда, санкции за потерю персо­нальных данных пока невелики: максимальное наказание, которое можно получить по ст. 13.11 КоАП РФ «Нарушение установленного зако­ном порядка сбора, хранения, использования или распространения информации о гражда­нах (персональных данных)», ограничивается штрафом до 1 тысячи рублей для должностных лиц и до 10 тысяч рублей – для юридических. По мнению экспертов из IT‑компаний, подобная либеральность косвенно поддерживает низкий уровень защиты персональной информации в сегменте медуслуг.
ЗАЩИТНЫЕ РЕАКЦИИ
Найти учреждения медсектора, откуда проис­ходят утечки персональных данных, непросто. Опрошенные VM участники рынка медуслуг не комментируют состояние своей информа­ционной безопасности или утверждают, что не сталкиваются с проблемой утраты данных. Однако представители IT‑компаний зафик­сировали в последние несколько лет всплеск заказов на услуги защиты данных именно со стороны медучреждений. «Если три года назад клиентов из этой отрасли у нас вообще не было, то теперь мы начали работать с кли­никами, которым устанавливаем DLP‑системы и другие заслоны от внешних вмешательств. И часто утечки информации фиксируются уже на этапе внедрения наших систем», – рассказы­вает Владимир Ульянов из Zecurion.
Представитель компании «Информзащита» Андрей Тимошенко говорит, что частные клини­ки начали обращаться в его компанию три года назад: «До этого они пытались решать вопросы по защите персональных данных, в частности, данных о состоянии здоровья, самостоятельно. А в 2011 году у нас пошел вал клиентов, в том числе работающих в медицинском сегменте».
Компания «ДиалогНаука» два года назад заклю­чила контракт с крупной столичной клиникой «Медицина» на приведение ее информацион­ной системы в соответствие с международным стандартом защиты информации ISO/IEC 27001. «Соответствие такому стандарту позво ­ляет оптимизировать расходы на безопасность, риски, связанные с возможными ущербами для активов предприятия, операционные затра­ты», – считает гендиректор компании «ДиалогНаука» Виктор Сердюк.
Усилили внимание к вопросам защиты данных и территориальные отделения ФОМС. «Мы начали осуществлять отдельные проекты по ин­формационной безопасности еще в 2007 году, а два года спустя внедрили комплексную систему защиты, вся информация фонда про ­ходит по зашифрованным каналам, и утечки исключены», – говорит представитель ТФОМС Владимирской области. Его коллега из ТФОМС Оренбургской области говорит о подобных мероприятиях, проведенных примерно в тот же период: «Мы создали отдел информацион ­ной безопасности, прописали организацион­но‑распределительные документы, внедрили технологии защиты персональных данных DLP». Представители фондов предполагают, что источником утечки данных о страхователях могут быть их партнерские страховые компа ­нии. Страховщики, опрошенные VM, такое предположение опровергают. «Случаев утечки у нас не было. В компании существует многоу­ровневая система защиты информации, которая предотвращает доступ к данным пользователей, не имеющих на это прав», – заверяет дирек­тор по маркетингу направления «Медицина» компании «АльфаСтрахование» Егор Сафрыгин. А топ‑менеджер другой страховой компании гово­рит, что источником утечек медицинской инфор­мации, вероятнее всего, могут быть государствен­ные медицинские информационные системы.
Представители государственных поставщиков ЕГИСЗ утверждают, что утечки исключены. «Су­ществующая защита информации подразумевает комплекс мер, включающий регламенты, аппарат­ные средства защиты безопасности, софт», – убе­жден представитель компании «Ростелеком».
На периферии ситуация с информационной безопасностью неоднородна. Как сообщил VM источник, близкий к воронежскому МИАЦ, в регионе действует многоуровневая систе­ма защиты данных: «Никогда не встречал баз данных пациентов – ни на «Горбушке» в Во­ронеже, нигде, хотя одно время мы специ ­ально мониторили пиратские диски с базами данных, но пациентских баз мы не находили». На некоторых территориях страны о защите персональных медицинских данных говорить и вовсе не приходится, поскольку сама систе­ма ЕГИСЗ пока находится там на начальном этапе инсталляции. Например, ответственные за работу ЕГИСЗ подразделения администра­ции Ленобласти в мае только разрабатывали план по ее внедрению. Интересно, знают ли региональные чиновники, что на сайте bazabd. ru базу персональных данных 10 тысяч пациен­тов Ленинградской области можно без проблем приобрести за 1 тысячу рублей.

Подробнее: https://vademec.ru/article/shchelevaya_auditoriya/


Подробнее: https://vademec.ru/article/shchelevaya_auditoriya/

Подробнее: https://vademec.ru/article/shchelevaya_auditoriya/


Подробнее: https://vademec.ru/article/shchelevaya_auditoriya/



  
РЕШЕНИЯ ДЛЯ МЕДИЦИНЫ ►

 

Комментариев нет:

Отправить комментарий

Популярное