Уровень использования средств защиты в российской медицине крайней низкий. Государственные учреждения здравоохранения, определяющие лицо отрасли, до последнего времени не уделяли должного внимания ИТ. С началом госпрограммы информатизации в клиниках появились компьютеры, началось внедрение ПО, но уровень использования электронных сервисов по-прежнему невысок. Даже если у врача на столе стоит компьютер с электронной медицинской картой, ему по привычке проще пользоваться бумажными документами.

Кажется, что сначала нужно решить вопрос с внедрением ИТ, а уже потом заниматься информационной безопасностью. Такой подход ошибочен, так как меры защиты нужно учитывать перед началом внедрения тех или иных систем, иначе затем на отладку ИБ уйдет больше сил, времени и денег.

Закон и реальность

«Закон о персональных данных - прекрасный документ, которому мало кто соответствует, – комментирует Алексей Карпинский, заместитель генерального директора iCore. – Если начать проверять реальное выполнение этого закона в наших ЛПУ , 90% этих учреждений придется закрыть. Наши органы надзора это прекрасно понимают и не проверяют, поэтому выполнение ФЗ – чистая формальность. Есть несколько мест, где 100% требований ФЗ выполняются в реальности».

Уровень зрелости процессов управления ИТ и ИБ весьма низкий, констатирует ведущий эксперт по информационной безопасности InfoWatch Андрей Прозоров: «Обычно в медицинских организациях нет выделенного человека и/или подразделения по информационной безопасности, а в небольших медицинских учреждениях нет даже своих системных администраторов. При этом основные пользователи информационных систем (врачи и младший медицинский персонал) часто имеют низкий уровень осведомленности и компьютерной грамотности».

«Российские ЛПУ крайне уязвимы с точки зрения безопасности. Вопросам защиты данных не уделяется ровно никакого внимания», – согласен Владимир Ульянов, руководитель аналитического центра компании Zecurion. «Уровень внедрения ИБ крайне низкий. Есть государственный стандарт ведения электронной истории болезни, в котором, пусть и весьма скупо, но прописаны меры защиты информации, есть законы о защите врачебной тайны и персональных данных, но на практике все это реализуется слабо», – рассказывает Сергей Вихорев, заместитель генерального директора по развитию «Элвис-Плюс».

В то же время, отсутствие средств ИБ - это средняя температура по больнице, в отдельных учреждениях вопросы безопасности могут решаться весьма эффективно. Например, крупные региональные и федеральные клиники занялись ИБ еще до старта государственной программы информатизации. А в частных клиниках уровень внедрения любых элементов ИТ традиционно на порядок выше, чем в государственном секторе.

Первичные требования выполнены

Большинство ЛПУ выполнили первичные требования регулятора, которые появились еще в 2006 г. Например, у пациентов запрашивают письменное согласие на обработку данных. Также большинство учреждений разработали документ, в котором определена политика ЛПУ в области работы с ПДн, и этот материал выложен в публичный доступ. Назначены лица, которая отвечают за деятельность организации в области ПДн. В последние два года в Роскомнадзоре в качестве операторов персданных зарегистрировались более 8 тыс. ЛПУ (для сравнения, по данным Минздрава, в России около 10 тыс. государственных ЛПУ). Прошедшие процедуру регистрации ЛПУ предоставили регулятору информацию о том, какие виды ПДн и каким именно образом обрабатываются, осуществляется ли их трансграничная передача и т.д.

Однако все это формальные требования. Например, в учреждении может быть документ о политике в области обработки ПДн, но на компьютере в регистратуре, где находится информационная система, отсутствует антивирус. Да, в некоторых клиниках в ходе программы информатизации появились межсетевые экраны, программы по обнаружению атак, но их использование не отвечает мерам по защите ПДн, которые определены в приказах ФСТЭК №17 и №21.

Есть две проблемы, которые мешают внедрению средств ИБ. Во-первых, это недооценка важности проблемы. Государственные ЛПУ возглавляют врачи, которые являются высококлассными специалистами в области медицины, но плохо разбираются в управлении организацией – зачастую им сложно объяснить, зачем нужно то или иное ИТ-решение. Вторая проблема – это недостаток финансирования. При этом обе проблемы накладываются друг на друга.

«Когда у главврача стоит дилемма, что купить: томограф или средства защиты информации, выбор всегда будет в пользу томографа, потому что именно это прибор позволяет обеспечить основную функцию ЛПУ – защиту здоровья граждан, – объясняет Сергей Вихорев. – Здесь надо искать компромисс. Надо, чтобы менеджеры от медицины осознали важность проблемы защиты персональных данных своих пациентов».

Сколько стоит ИБ?

После закупки оборудования и строительства региональных сегментов ЕГИСЗ финансирование на ИТ в медицине сократилось. «В 2014 году бюджетные средства, выделяемые на информатизацию здравоохранения, значительно снизились, и связано это в первую очередь с окончанием реализации программы модернизации. В этом году вся финансовая ответственность за поддержание созданной инфраструктуры уже «легла на плечи» лечебных учреждений», – рассказывает Константин Маркелов, вице-губернатор и председатель правительства Астраханской области.

При этом строительство систем ИБ требует дополнительного инвестирования. Информационная безопасность является некой надстройкой над ИТ и, соответственно, приводит к удорожанию ИТ-проектов. «К сожалению, очень часто затраты минимизируются простым невыполнением требований по ИБ, их игнорированием. Это абсолютно недопустимо. Правильным решением будет привлечение к выбору защитных мер грамотного консультанта/интегратора, который поможет не только выбрать меры защиты, но и расставить приоритеты: что внедрять нужно обязательно и сразу, а что можно запланировать на потом», – комментирует Андрей Прозоров.

Оценки того, насколько средства защиты увеличивают бюджет, сильно разнятся. По словам Сергея Вихорева, стоимость системы защиты информации составляет не более 5-7% от стоимости оборудования информационной системы, которая эту информацию обрабатывает. «А если учесть, что закон действует уже больше 10 лет и многие уже что-то делают в этом направлении, то можно сказать, что и эти цифры могут быть завышены относительно реальной картины дел», – полагает эксперт.

Елена Козлова, руководитель направления Compliance центра информационной безопасности компании «Инфосистемы Джет» утверждает, что внедрение защиты ПДн может увеличить стоимость ИТ-проекта в 2-3 раза, но предлагает несколько способов минимизировать эти расходы: использовать гибкий подход при моделировании угроз, что позволит избежать внедрения дорогостоящих систем; адаптировать имеющиеся средства защиты под задачи безопасности ПДн; применять встроенных механизмов защиты.

Что делать?

На первый взгляд ситуация с ИБ в медицине выглядит неутешительно. «В медицине запланировано слишком много глобальных задач (проектов) по автоматизации отрасли, в первую очередь это ЕГИСЗ (Единая государственная информационная система здравоохранения). Так как проект находится в начальной стадии, то вопросы информационной безопасности практически не учитываются при разработке и внедрении данной системы. Я не говорю даже про несоответствие приказу №17», – говорит Андрей Прозоров.

Проблем много, но ситуация не выглядит безнадежной, говорит Сергей Вихорев: «Прежде всего, надо изменить устоявшийся менталитет менеджеров от медицины, убедить их в том, что защита персональных данных это не блажь, а жизненная необходимость». Дальше он рекомендует найти необходимые бюджеты для обеспечения защиты, а потом следует воспитать культуру обращения с персональными данными в ЛПУ. «Еще надо не забыть реализовать технические и организационные меры по защите персональных данных. Но надо отметить, что первые шаги в этом направлении уже сделаны. Будем надеяться, что в течение 2-3 лет проблема защиты персональных данных в ЛПУ будет решена», – рассказывает эксперт.