На наших глазах индустрия здравоохранения переживает процесс цифровой эволюции. Никогда прежде больницы не уделяли столько внимания технологиям. И пациенты, и врачи начинают осознавать преимущества телемедицины, мобильного здравоохранения, носимых гаджетов, умных медицинских устройств и систем. Персональная информация пациентов постепенно проникает в сеть, позволяя им просматривать свои данные из дома, врачам – удаленно оказывать помощь, а исследователям – получать доступ к миллионам медицинских записей.
Цена такой трансформации – безопасность. Цифровые медицинские карты, содержащие огромное количество конфиденциальной информации, становятся главной мишенью хакеров. Согласно недавно опубликованному исследованию института Ponemon, почти 90% медицинских организаций подверглись хотя бы одной хакерской атаке на протяжении последних двух лет, а 45% из них пережили более пяти атак в тот же период.
Все более частые утечки данных обходятся мировому здравоохранению в 6,2 млрд. долл. ежегодно. В то же время, расходы на безопасность в индустрии составляют лишь одну десятую тех сумм, которые тратятся в других отраслях. В этом году информационная безопасность признана ключевой проблемой для большинства медицинских организаций. Ни одна из них не застрахована от угрозы в то время, как эксперты обещают, что количество кибератак в здравоохранении будет только расти.
Самая уязвимая отрасль
Согласно новому исследованию IBM, в 2015 году здравоохранение заняло первое место в рейтинге наиболее часто атакуемых отраслей, обогнав сферу финансов и оставив далеко позади производство, транспорт и государственный сектор. Пять из восьми самых крупных утечек медицинских данных с 2010 года, – когда более миллиона записей были скомпрометированы хакерами, – случились в первое полугодие 2015 года. В целом, более 100 миллионов записей о пациентах было скомпрометировано в прошлом году.
Источник: The IBM X-Force 2016 Cyber Security Intelligence Index
Электронные медицинские записи обычно содержат данные кредитных карт, адреса электронной почты, номера социального страхования, информацию о занятости, историю болезни и другую конфиденциальную информацию. Украденные данные обычно «придерживаются» злоумышленниками некоторое время после взлома, а затем появляются на черном рынке в различных вариациях. Полные наборы персональных данных стоят довольно дешево. Наборы отдельных идентификаторов, — например, номеров ID-карт, — продаются по гораздо более высокой цене.
Интересно, что на черном рынке медицинская информация в 50 раз ценнее финансовой. Зачастую потеря данных кредитной карты быстро решается выпуском новой карты, в то время как утечка медицинских данных может иметь далеко идущие последствия. Украденные данные пациента остаются актуальными в течение многих лет, даже десятилетий, и могут быть использованы многократно – для кражи медицинской идентичности, взлома банковских счетов, незаконной миграции и проведения новых атак. Также велик риск страхового и налогового мошенничества, так как многие медицинские записи содержат номера социального страхования.
Главные киберугрозы, с которыми сталкиваются медицинские организации в 2016 году, – вымогательство, вредоносные программы и DoS-атаки, сообщает институт Ponemon. Небрежность сотрудников, незащищенность мобильных устройств, пользование публичными облачными услугами и медицинскими мобильными приложениями (eHealth), а также работа с собственными мобильными девайсами (BYOD) представляют собой серьезную опасность для конфиденциальной информации. Эксперты сходятся во мнении, что в будущем году нас ждет новая волна вымогательств, более умные вредоносные программы и вирусы, взломы IoT-устройств и атаки на носимые гаджеты.
Основные шаги к безопасности медицинских данных
В то же время очевидно, что безопасность данных в здравоохранении имеет критическое значение. Утечка медицинской информации подрывает эффективность лечения, не говоря об огромных штрафах, дорогостоящих судебных процессах и серьезном репутационном ущербе. Для обеспечения информационной безопасности в медицине крайне важно разработать связную, скоординированную стратегию защиты данных и обеспечить соответствие современным требованиям и стандартам, таким как HIPAA.
HIPAA (Health Insurance Portability and Accountability Act) – это американский закон, требующий обеспечения конфиденциальности и охраны информации, полученной в результате медицинского страхования. Организациям, работающим с такой информацией, необходимо внедрить все меры физической и сетевой безопасности, а также инструменты для безопасной обработки информации, для соблюдения HIPAA. Нарушения HIPAA могут обойтись медицинской организации весьма дорого – максимальный штраф составляет 1,5 млн. долл. в год, но еще более болезненной станет утрата доверия клиентов.
Тем не менее, до 60% нарушений HIPAA можно было бы избежать благодаря хорошей стратегии безопасности. Эксперты рекомендуют установить политику классификации данных, использовать шифрование для обеспечения целостности данных, заботиться о сетевой безопасности и обязательно иметь наготове план аварийного восстановления бизнеса. Основные технологические контрмеры включают в себя зашифрованные корпоративные платформы, биометрические технологии аутентификации, а также системы, отслеживающие подозрительную активность.
Однако, даже внедрения перечисленных технологий не достаточно. Помимо вышеперечисленного, необходимо уделить особое внимание повышению осведомленности персонала по вопросам информационной безопасности. В Медицинском центре Университета Мэриленда, к примеру, проводятся ежегодные тренинги для всех сотрудников, ежемесячные совещания для команды по кибербезопасности, службы контроля, аудиторов и врачей, а также регулярные консультации с киберэкспертами.
Таким образом, верное сочетание эффективных технологий и своевременного обучения может направить медицинские организации на более безопасный путь в эпоху кибератак.
