Почему важна защита медицинских данных

Опубликовано Olga Geo Фев 16, 2016 | нет комментариев

Здоровье — основная ценность каждого человека. Правда, осознание данного факта обычно приходит только тогда, когда возникает угроза этого дара лишиться. И причиной тому могут стать не только вредные привычки или несчастные случаи, но и вирусы — как привычные ОРВИ, так и… компьютерные.

В последние годы резко возрос интерес хакеров к такому виду информации, как медицинские данные. На черном рынке они ценятся намного дороже, чем номера платежных карт и пароли к банковским аккаунтам.

Тенденция может вызвать удивление, но если задуматься, то причины ее лежат на поверхности. Ведь данные в цифровой медицинской карте содержат:

• имена пациентов, их даты рождения;
• адреса (почтовые и электронные);
• номера телефонов;
• указание места работы и должности;
• идентификаторы, номера карт медицинского и социального страхования.

Подобная информация может быть использована для полноценной кражи личности, а не просто едино разовой атаки на банковский счет.

Еще одна немаловажная причина — крайне слабая защита персональных данных в медицинских учреждениях. В то время, как в банках и других финансовых структурах уже давно выстроена крепкая система защиты данных. Двухуровневая аутентификация стала повсеместным стандартом в банках, а какой-либо доступ к информации осуществляется только после ввода одноразового пароля (one time password) — организации здравоохранения долгое время не обращали внимания на меры по обеспечению безопасности и, таким образом, стали легкой добычей для хакеров.

Как мошенники используют похищенную информацию

Помимо уже упоминавшейся кражи личности, существуют и другие способы использовать сведения, содержащиеся в медицинских картах. Среди них можно выделить три, характерные именно для этого типа информации.

1. Получение врачебной помощи за чужой счет

Некоторые виды лечения могут стоить довольно дорого и поэтому услуги врачей, которыми воспользовались мошенники, способны пробить солидную брешь в финансовом благосостоянии жертвы.

2. Махинации с лекарствами

Злоумышленники, обладающие крепким здоровьем и не нуждающиеся в лечении, могут получить неплохой доход, заказав от имени легитимного владельца медицинской карты дорогостоящие препараты для их дальнейшей перепродажи.

3. Сговор с работниками клиник

Если преступникам удастся наладить контакт с недобросовестной клиникой, страховой компании могут быть выставлены счета за услуги, которые вообще не были предоставлены, а деньги будут поделены между участниками мошенничества.

Чем опасны атаки на медицинскую информацию

Когда защита персональных данных в медицинских организациях оказывается нарушенной, помимо материальных убытков, может возникать прямая угроза для здоровья и жизни людей, чья информация оказалась в руках злоумышленников. Ведь все мошеннические действия (получение медицинских услуг, приобретение лекарств) попадают в реальную клиническую историю пациента и, когда настоящий ее владелец будет нуждаться в срочной помощи, врачи будут введены в заблуждение неверными данными, не имеющими к нему никакого отношения. Например, у человека может оказаться аллергическая реакция на препараты, не отраженная в данных медкарты из-за вмешательства мошенников.

Кроме того, стоит учитывать, что, если банковские счета и карты можно легко заблокировать и впоследствии заменить, то скомпрометированные и разглашенные мед-данные вернуть уже невозможно.

Как может быть обеспечена защита медицинских данных

Несмотря на все опасности, которым подвергается защита данных в век компьютерных технологий, существует достаточно способов уменьшить риск.

Как и любая другая организация, медицинское учреждение нуждается в защите от таких угроз, как:

• целенаправленные атаки и взломы извне;
• вирусные заражения;
• действия сотрудников, совершенные по неграмотности или специально, для похищения информации.

Борьбой с первыми двумя занимаются обычно технические специалисты по компьютерной безопасности. А для предупреждения третьего — человеческого — фактора требуются, помимо чисто административной работы с персоналом, надежные способы аутентификации пользователей при доступе к учетным записям и данным.

Обнаружение мошенничества при взломе медицинских сведений затруднено тем, что информация о выставленных счетах не поступает к владельцу страховки немедленно, как, например, это делают банки. Они обычно сразу же информируют клиента о каких-либо действиях с его счетом при помощи СМС-сообщения на мобильный телефон, привязанный к аккаунту, и человек может при необходимости опротестовать ту или иную транзакцию. Более того, во многих случаях для самого ее совершения требуется подтверждение легитимности лица, осуществляющего перевод денег. Если бы подобные средства аутентификации пользователей использовались в медицинской сфере, то многих инцидентов ИБ можно было избежать.

Двухфакторная аутентификация и одноразовые пароли давно стали стандартом в работе множества самых разных фирм, ведущих свою деятельность в цифровом пространстве. Для повышения степени защиты, как генератор одноразовых паролей часто используют автономный ОТР токен, не подключенный к интернету — чтобы избежать перехвата данных и заражения вирусами. А в тех компаниях, работа которых связана с оборотом денег в виртуальном пространстве, применяется не обычная строгая аутентификация.

2FA  давно доказала свою надежность  во многих областях деятельности — и в медицинской сфере она также может оказаться очень полезной.

По опубликованной в разных источниках информации, в 2015 году от кибератак с целью похищения медицинских данных только в США пострадали более 100 млн. человек. Самые крупные инциденты ИБ — атаки на компании Anthem (78.8 млн. человек) и Premera Blue Cross (около 11 млн. клиентов). В других странах статистика пока не столь печальна, но это не должно вызывать необоснованного оптимизма. Просто уровень “оцифровки” данных в медучреждениях там еще не столь высок, и только по этой причине они пока остаются недоступными для преступников.

Но жизнь не стоит на месте и компьютерные технологии рано или поздно придут в каждую районную поликлинику. Поэтому важно заранее озаботиться тем, чтобы защита персональных данных пациента в медицинской организации уже сегодня учитывала возможные риски стороннего проникновения и нарушения целостности их структуры.