Медицинская информация относится к числу наиболее уязвимых типов конфиденциальных данных. В 2013 г. 16% зарегистрированных в мире утечек информации произошли в медицинских учреждениях, говорится в отчете компании Zecurion. По этому показателю отрасль здравоохранения уступает только розничной торговле, на которую пришлось незначительно больше – 16,2% утечек.

Реальная статистика может быть еще хуже. «К сожалению, лишь в нескольких странах организации, оперирующие медицинскими данными, обязаны сообщать об утечках информации. Россия к числу этих стран не относится. Потому не стоит удивляться, что по всему миру за 2013-2014 год зафиксировано чуть менее 500 утечек медицинских данных, в то время как в России таких утечек всего 12», – рассказывает аналитик компании InfoWatch Сергей Хайрук. По его словам, за 2013 г. в медучреждениях по всему миру скомпрометировано более 50 млн записей о пациентах, а прямой ущерб от утечек информации составил более 1,4 млрд. долл. На этом фоне 12 российских утечек совершенно теряются. «Очевидно, что это лишь верхушка айсберга. С большой вероятностью, утечек медицинских данных из российских учреждений было гораздо больше, но за редким исключением они практически не интересны СМИ, о них не пишут блогеры», – сетует эксперт.

Зарегистрированные утечки данных по отраслям

Источник: Zecurion, 2014

Среди последних инцидентов, получивших огласку, можно отметить утечку персональных данных в Сыктывкарской больнице в марте 2014 г. Об этом случае стало известно из личного блога одного из клиентов, в котором было написано про повторное использование больничных бланков с персональными данными пациентов: ФИО, дата рождения, паспорт, СНИЛС, название страховой компании, домашний адрес, место работы, цель визита в поликлинику и даты прививок. Такая информация относится к первой категории персональных данных, охраняемой наиболее строго.

Иногда данные уходят «налево» в результате халатности сотрудников. Например, по данным Национальной службы здравоохранения Великобритании, ежедневно теряется более 5 тыс. записей о пациентах, причем неоднократно конфиденциальные данные обнаруживали в мусорных контейнерах. Но гораздо чаще утечки носят целенаправленный характер

Злоумышленников интересуют пенсионеры и знаменитости

Как правило, кражу данных осуществляют посредники, которые потом перепродают ПДн заинтересованным сторонам. В сети регулярно появляются сообщения о продаже баз данных сведений о пациентах. Существует несколько способов монетизировать такую информацию: «Злоумышленники могут уводить пациентов в конкурирующие лечебные учреждения, перепродавать базы распространителям лекарств и БАДов, выстраивать более сложные многоходовые мошеннические схемы, обычно направленные на людей преклонного возраста», – комментирует Андрей Брызгин, технический менеджер направления «Аудит и консалтинг» Group-IB. Известны случаи, когда недобросовестные врачи передавали информацию об умерших пациентах в конторы ритуальных услуг.

Наиболее распространенная схема выглядит следующим образом: «Злоумышленники приходят домой к пожилым пациентам и продают различные препараты (хорошо, если безвредные пустышки) до тех пор, пока бабушки и дедушки не снимут «со сберкнижки» последние деньги. Продавая «лекарства» и чудо-приборы за огромные деньги (тысячи и десятки тысяч рублей – в зависимости от финансовых возможностей пациента), мошенники непременно обещают излечение от всех болезней. Параллельно в ход пускаются незатейливые методы манипулирования (например, описывая последствия, что будет, если не купить лекарство), которые на пожилых людях работают на ура», – рассказывает руководитель аналитического центра Zecurion Владимир Ульянов. Для реализации такой схемы достаточно общих сведений – адрес проживания и ФИО, остальную информацию легко выудить у самой жертвы. Если при этом ещё известны заболевания (хронические и последние обращения), то задача мошенников упрощается.

Особую опасность представляет ситуация, когда ЛПУ сохраняют номер социальной страховки клиента. Для России это не актуально, но на Западе такая ситуация открывает гигансткие возможности для хакеров. «Например, в США, имея на руках только ПДн и номер страховки, злоумышленники оформляют налоговые возвраты от имени гражданина», – комментирует Сергей Хайрук.

Большой интерес для злоумышленников представляют сведения о знаменитостях. Такую информацию можно перепродать СМИ или шантажировать жертву при наличии неудобных или «стыдных» болезней. В июне 2014 г. стало известно, что была похищена история болезни Михаэля Шумахера, который получил серьезную травму головы во время катания на горных лыжах в декабре 2013 г. и до середины июня находился на лечении во французском Гренобле. Злоумышленник, скрывающийся под ником Kagemusha, отправил представителям СМИ Германии, Франции и Великобритании электронные письма, в которых предлагал купить историю болезни за 50 тыс. евро. Позже факт кражи подтвердили представители гонщика.

Сначала нужно научиться пользоваться мышью

Несмотря на популярность медицинского сектора у хакеров, в российском здравоохранении вопросам ИБ уделяется должное внимание только в коммерческих учреждениях. Например, в 2013 г. впервые частная клиника из России прошла аудит на соответствие требованиям международного стандарта ISO/IEC 27001:2005 (Information technology. Security techniques): «Построение комплексной системы управления информационной безопасностью в соответствии с рекомендациями международного стандарта позволило минимизировать возможные риски в этой области», – объясняет директор службы ИТ ОАО «Медицина» Федор Кидалов.

В государственном секторе уровень информационной безопасности остается крайне низким. Например, в фервале 2014 г. была обнаружена возможность утечки персональных данных из территориальных фондов ОМС. Выяснилось, что конфигурационный файл программы, обеспечивающей пересылку данных из территориальных фондов обязательного медицинского страхования в место их централизованного хранения, содержит общедоступные сведения, обеспечивающие доступ к FTP-серверу с персональными данными, принадлежащими владельцам полисов ОМС. «В файле можно было найти строку, содержащую адрес FTP-сервера, а также действующие логин и пароль для доступа к нему. В структуре файла также можно было найти такие персональные данные, как: ФИО, дата рождения, место жительства, и различные цифры, вероятно, номера паспортов. На момент выявления уязвимости были доступны сведения о 500 гражданах», – рассказывает Владимир Ульянов.

При этом государственная программа информатизации здравоохранения успешно стартовала – было закуплено оборудование, внедрено медицинское ПО, однако уровень использования построенной инфраструктуры остается низким. На сегодняшний момент главный акцент сделан на ликвидации компьютерной безграмотности врачей. «В условиях, когда необходимо автоматизировать деятельность учреждений, большинство сотрудников которых отродясь не видело компьютеров, задача упрощается максимально, – объясняет Владимир Ульянов. – Те же тренинги по вопросам информационной безопасности надо проводить с более или менее квалифицированными (умеющими работать за компьютером) сотрудниками. Но сегодня важнее просто научить персонал работать с мышью и клавиатурой, познакомить с интерфейсом программ, показать, как выполнять основные функции».

«Тема ИБ для учреждений здравоохранения не является первоочередной. Во многих медицинских компаниях по сей день «бумажные» ПДн, касающиеся здоровья людей (результаты лабораторных исследований, карточки здоровья и т.п.), можно достать без особого труда», – комментирует Елена Козлова, руководитель направления Compliance Центра информационной безопасности компании «Инфосистемы Джет».

Штрафы вырастут в 30 раз

До последнего времени учреждениям здравоохранений не грозило серьезных санкций за утечку конфиденциальной информации – максимальное наказание составляло 10 тыс. руб., при этом в большинстве случаев инциденты не получают огласки. Таким образом, дешевле было заплатить штраф регулятору, чем тратить деньги на внедрение дорогостоящих средств ИБ.

По всей видимости, уже в этом году ситуация изменится. В марте 2014 г. в Минкомсвязи подготовили законопроект об усиления ответственности операторов за утечки персональных данных. Если проект будет принят, максимальный штраф вырастет с 10 тыс. руб. до 300 тыс. руб. для юридических лиц. На конец июня 2014 г. документ находился на согласовании в Минэкономразвития. Следует отметить, что такой же подход используется в Западной Европе. Например, в Великобритании совокупные штрафы государственных учреждений здравоохранения за нарушения законов ПДн достигают миллионы фунтов стерлингов в год.

Кроме того, все ЛПУ обязали зарегистрироваться в Роскомнадзоре в качестве операторов ПДн. На конец июня 2014 г. предписание выполнили большинство организаций: в реестре операторов, осуществляющих обработку персональных данных, находилось 8398 учреждений здравоохранения. Всего в России, по данным Минздрава, около 10 тыс. ЛПУ. Руководствуясь этой базой данных, регулятор проводит проверки на предмет соблюдения законодательства ПДн. В сферу интересов инспекции также могут попасть и организации, не зарегистрировавшиеся в Роскомнадзоре, уверяют чиновники.

Таким образом, у российских ЛПУ не остается иного выхода, кроме как всерьез заняться вопросами обеспечения безопасности ПДн.