Защита финансовой информации: как избежать утечек
Узнать большеМедицинские учреждения включают в себя большую экосистему государственных и частных клиник, а также медицинских лабораторий. Особняком стоят фармацевтические компании, которые в рамках этой статьи рассматриваться не будут.
По данным исследований, треть медицинских учреждений хотя бы раз сталкивалась с утечками конфиденциальных данных. Цифровизация медицинских учреждений, которая получила активное развитие в период пандемии, подстегнула эту проблему. Утечка информации в медицинских учреждениях приводит к целому набору рисков – репутационных и финансовых. Утечка медицинской тайны может привести к негативным последствиям как для организации с точки зрения регуляторных штрафов, уголовной ответственности, потери репутации (особенно когда речь идет о частной клинике), но также и для самого пациента. Например, утечка сведений о том, что пациент болеет ВИЧ или СПИД, может стать поводом для преследования, буллинга, отчисления, увольнения и т. д. Обеспечение безопасности медицинской тайны, персональных данных и других конфиденциальных сведений является важным шагом для минимизации репутационных и финансовых рисков.
Какую информацию обрабатывают медицинские учреждения
Медицинские организации обрабатывают большой объем сведений ограниченного распространения. Если разложить все эти данные по полочкам, можно выделить следующие виды утечек информации в медицинских учреждениях:
-
Персональные данные пациентов, ответственность за утечку которых регламентирована законодательством и другими нормативными актами. Утечка персональной информации в медицинских учреждениях – наиболее «популярный» вид внутренних угроз практически во всех отраслях. Масштабы утечек персональной информации в 2022 году растут большими темпами во всех отраслях, и медицинская сфера не стала исключением.
-
Медицинская тайна, в том числе врачебная. Cогласно закону, врачебная тайна – это данные о cостоянии здоровья и диагнозе человека, результаты медицинского обследования и лечения (№323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»). Сам факт обращения за медицинской помощью также относится к врачебной тайне. Разглашение сведений, составляющих врачебную тайну, не допускается.
-
Данные автоматизированных информационных систем, выгрузки из которых могут стать объектом утечки и доступны внутренним инсайдерам. Медицинские организации, например, используют единую государственную информационную систему в сфере здравоохранения (ЕГИЗ). В таких системах хранятся данные электронной медицинской карты, журналов учета, сведения о распределении бюджетных средств, данные о зарплатах, премиях сотрудников медицинских учреждений и т. д.
-
Коммерческая тайна (особенно актуально для медицинских организаций коммерческого сектора). К коммерческой тайне относят базы данных клиентов (пациентов), бизнес-планы, стратегические планы развития, обучающие методики, методология контроля качества и т. д.
-
Сведения, содержащиеся в материалах служебных проверок и проверок исполнения обязанностей, соблюдения ограничений, запретов и требований к служебному поведению, установленных с целью противодействия коррупции и мошенничества.
Сценарии утечки информации в медицинских учреждениях
Возможные сценарии утечки информации в медицинских учреждениях можно разделить на два блока: утечки, которые произошли случайно (по неосторожности), и злонамеренные утечки (умышленные).
Случайные утечки информации в медицинских учреждениях происходят по причине нехватки квалифицированных кадров и слабой киберграмотности персонала медицинских учреждений. В заголовки СМИ регулярно попадают новости о выброшенных на улицу и в мусорные баки медицинских картах, историях болезни. Чаще всего такие утечки происходят из-за низкой осведомленности сотрудников о возможных рисках и последствиях. Причины случайных утечек в медицинских учреждениях могут состоять и в ошибочных действиях персонала – т. н. человеческий фактор (отправка документов по ошибке, отправка сведений ограниченного доступа на свою личную электронную почту и т. д.).
Наиболее интересны умышленные сценарии утечки информации. Они происходят, когда у сотрудника медицинского учреждения есть намерение получить личную выгоду. Например, сотрудница службы муниципальной скорой помощи передавала данные об умерших и тяжелобольных пациентах представителям заинтересованных организаций за вознаграждение. Мошеннические действия сотрудников медицинских учреждений чаще всего связаны с передачей (продажей) персональных данных пациентов, сведений об их заболеваниях третьим лицам.
Как обеспечить безопасность данных в медицинских учреждениях
Чтобы обеспечить безопасность от утечки информации в медицинских учреждениях, необходимо учитывать, как она обрабатывается и хранится в конкретной организации (рис. 1):
-
Данные, которые постоянно перемещаются и передаются. Например, по электронной почте, в мессенджерах, между автоматизированными информационными системами внутри организации, а также между медицинскими и немедицинскими учреждениями (провайдеры, поставщики, партнеры и т. д.). Данные, находящиеся в движении, можно перехватывать, проверять на предмет содержания конфиденциальных сведений и в случае необходимости блокировать их передачу с помощью Solar Dozor.
-
Используемые данные – данные, с которыми работают сотрудники медицинских учреждений. Они требуют классификации, категоризации и постоянного мониторинга за их перемещением. С этой задачей также справляются DLP-системы, которые, как правило, содержат встроенные инструменты классификации, а также решения класса DAM (Database Activity Monitoring) – системы контроля доступа к базам данных.
-
Данные в покое – информация, которая хранится в файловых хранилищах (локальных и облачных), базах данных медицинского учреждения. Для защиты данных этого типа используются cистемы класса DLP, DCAP, DAM, а также отдельные решения класса eDiscovery.
Рисунок 1. Типы данных
Зрелость функции информационной безопасности в медицинских учреждениях еще находится на низком уровне, и большинство сценариев утечки конфиденциальных данных можно предотвратить, используя системы защиты конфиденциальных данных от утечек (DLP-системы). Например, заблокировать скачивание клиенткой базы частной медицинской клиники на съемный носитель (флешку).
В современных условиях, когда цифровизация медицинских учреждений идет быстрыми темпами и данные переводятся в электронный вид, очень важно осуществлять непрерывный мониторинг этих данных, защищать места их хранения, а также контролировать к ним доступ со стороны сотрудников медицинских учреждений и третьих лиц.