8 (800) 302-85-23

22.09.2022

Утечка информации в медицинских учреждениях

Утечка информации в медицинских учреждениях
Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Вебинар

30 июля | 12:00 МСК

Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Зарегистрироваться

Получить консультацию по Solar Dozor

Медицинские учреждения включают в себя большую экосистему государственных и частных клиник, а также медицинских лабораторий. Особняком стоят фармацевтические компании, которые в рамках этой статьи рассматриваться не будут.

По данным исследований, треть медицинских учреждений хотя бы раз сталкивалась с утечками конфиденциальных данных. Цифровизация медицинских учреждений, которая получила активное развитие в период пандемии, подстегнула эту проблему. Утечка информации в медицинских учреждениях приводит к целому набору рисков – репутационных и финансовых. Утечка медицинской тайны может привести к негативным последствиям как для организации с точки зрения регуляторных штрафов, уголовной ответственности, потери репутации (особенно когда речь идет о частной клинике), но также и для самого пациента. Например, утечка сведений о том, что пациент болеет ВИЧ или СПИД, может стать поводом для преследования, буллинга, отчисления, увольнения и т. д. Обеспечение безопасности медицинской тайны, персональных данных и других конфиденциальных сведений является важным шагом для минимизации репутационных и финансовых рисков.

Какую информацию обрабатывают медицинские учреждения

Медицинские организации обрабатывают большой объем сведений ограниченного распространения. Если разложить все эти данные по полочкам, можно выделить следующие виды утечек информации в медицинских учреждениях:

  1. Персональные данные пациентов, ответственность за утечку которых регламентирована законодательством и другими нормативными актами. Утечка персональной информации в медицинских учреждениях – наиболее «популярный» вид внутренних угроз практически во всех отраслях. Масштабы утечек персональной информации в 2022 году растут большими темпами во всех отраслях, и медицинская сфера не стала исключением.

  2. Медицинская тайна, в том числе врачебная. Cогласно закону, врачебная тайна – это данные о cостоянии здоровья и диагнозе человека, результаты медицинского обследования и лечения (№323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»). Сам факт обращения за медицинской помощью также относится к врачебной тайне. Разглашение сведений, составляющих врачебную тайну, не допускается.

  3. Данные автоматизированных информационных систем, выгрузки из которых могут стать объектом утечки и доступны внутренним инсайдерам. Медицинские организации, например, используют единую государственную информационную систему в сфере здравоохранения (ЕГИЗ). В таких системах хранятся данные электронной медицинской карты, журналов учета, сведения о распределении бюджетных средств, данные о зарплатах, премиях сотрудников медицинских учреждений и т. д.

  4. Коммерческая тайна (особенно актуально для медицинских организаций коммерческого сектора). К коммерческой тайне относят базы данных клиентов (пациентов), бизнес-планы, стратегические планы развития, обучающие методики, методология контроля качества и т. д.

  5. Сведения, содержащиеся в материалах служебных проверок и проверок исполнения обязанностей, соблюдения ограничений, запретов и требований к служебному поведению, установленных с целью противодействия коррупции и мошенничества.

Сценарии утечки информации в медицинских учреждениях

Возможные сценарии утечки информации в медицинских учреждениях можно разделить на два блока: утечки, которые произошли случайно (по неосторожности), и злонамеренные утечки (умышленные).

Случайные утечки информации в медицинских учреждениях происходят по причине нехватки квалифицированных кадров и слабой киберграмотности персонала медицинских учреждений. В заголовки СМИ регулярно попадают новости о выброшенных на улицу и в мусорные баки медицинских картах, историях болезни. Чаще всего такие утечки происходят из-за низкой осведомленности сотрудников о возможных рисках и последствиях. Причины случайных утечек в медицинских учреждениях могут состоять и в ошибочных действиях персонала – т. н. человеческий фактор (отправка документов по ошибке, отправка сведений ограниченного доступа на свою личную электронную почту и т. д.).

Наиболее интересны умышленные сценарии утечки информации. Они происходят, когда у сотрудника медицинского учреждения есть намерение получить личную выгоду. Например, сотрудница службы муниципальной скорой помощи передавала данные об умерших и тяжелобольных пациентах представителям заинтересованных организаций за вознаграждение. Мошеннические действия сотрудников медицинских учреждений чаще всего связаны с передачей (продажей) персональных данных пациентов, сведений об их заболеваниях третьим лицам.

Как обеспечить безопасность данных в медицинских учреждениях

Чтобы обеспечить безопасность от утечки информации в медицинских учреждениях, необходимо учитывать, как она обрабатывается и хранится в конкретной организации (рис. 1):

  1. Данные, которые постоянно перемещаются и передаются. Например, по электронной почте, в мессенджерах, между автоматизированными информационными системами внутри организации, а также между медицинскими и немедицинскими учреждениями (провайдеры, поставщики, партнеры и т. д.). Данные, находящиеся в движении, можно перехватывать, проверять на предмет содержания конфиденциальных сведений и в случае необходимости блокировать их передачу с помощью Solar Dozor.

  2. Используемые данные – данные, с которыми работают сотрудники медицинских учреждений. Они требуют классификации, категоризации и постоянного мониторинга за их перемещением. С этой задачей также справляются DLP-системы, которые, как правило, содержат встроенные инструменты классификации, а также решения класса DAM (Database Activity Monitoring) – системы контроля доступа к базам данных.

  3. Данные в покое – информация, которая хранится в файловых хранилищах (локальных и облачных), базах данных медицинского учреждения. Для защиты данных этого типа используются cистемы класса DLP, DCAP, DAM, а также отдельные решения класса eDiscovery.

типы данных в медицинских учреждениях

Рисунок 1. Типы данных

Зрелость функции информационной безопасности в медицинских учреждениях еще находится на низком уровне, и большинство сценариев утечки конфиденциальных данных можно предотвратить, используя системы защиты конфиденциальных данных от утечек (DLP-системы). Например, заблокировать скачивание клиенткой базы частной медицинской клиники на съемный носитель (флешку).

В современных условиях, когда цифровизация медицинских учреждений идет быстрыми темпами и данные переводятся в электронный вид, очень важно осуществлять непрерывный мониторинг этих данных, защищать места их хранения, а также контролировать к ним доступ со стороны сотрудников медицинских учреждений и третьих лиц.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.