Почти две трети медицинских учреждений в 2019 году столкнулись с утечкой персональных данных своих пациентов. Цифровизация развивается быстрыми темпами, и системы безопасности с трудом поспевают за ней. NEWS.ru расспросил экспертов о том, как скоро Россия сможет обеспечить конфиденциальность информации о здоровье своих граждан и какие конкретные шаги для этого нужно сделать. Специалисты, как выяснилось, делают ставку на грядущую цифровизацию экономики в стране, обучение персонала медучреждений базовым методам киберзащиты и повышение уровня информационной гигиены в целом.


Как уже сообщал NEWS.ru, исследователи предрекают, что в скором времени проблем с утечкой данных в медучреждениях станет ещё больше. Явление носит глобальный характер. Эдуард Гаврилов, врач, член общественного совета при Минздраве, уверен: информатизация — палка о двух концах, какой бы сферы она ни касалась, и это, по мнению спикера, своего рода плата за комфорт и быстроту доступа к информации. Живя в эру цифровых технологий, когда существуют информационные системы с базами данных, все люди находятся в зоне риска. Между тем в России вопрос защиты персональных данных уже в ближайшее время будет решаться на федеральном уровне в рамках программы цифровизации экономики страны. Затронет он и сведения о здоровье граждан — сферу особо щепетильную.

Какие сведения утекают в Сеть

База данных в медучреждениях включает в себя имена, адреса, контактные телефоны, адреса электронной почты, даты рождения, налоговые идентификационные номера, номера социального страхования и другие страховые данные, сведения о работодателе и профессии. Кроме того, есть сугубо медицинские сведения: диагнозы, информация о рецептах, о результатах тестов на ВИЧ, сведения о статусе беременности, результатах лабораторных анализов, стадиях и типах рака у пациента; сведения о лечении рака и другие виды личной и медицинской информации.

Отсутствие знаний и киберхалатность

В утечках информации в Сеть крайне редко можно винить производителей устройств для хранения данных и программ, призванных обеспечить защиту электронных сведений о пациентах. Какими бы дорогими ни были системы безопасности, дело зачастую отнюдь не в их цене. Чаще всего вина лежит на сотрудниках медучреждений, которые не смогли должным образом настроить и защитить свои серверы. Их знаний на сегодняшний день явно недостаточно, чтобы грамотно использовать предоставленные возможности. Исполнительный директор Российской ассоциации криптоиндустрии и блокчейна Александр Бражников подтверждает: главная проблема — это люди. Должного обучения не прошли ни специалисты медучреждений, ни сами пациенты. Однако, считает эксперт, вопрос решится уже в течение ближайших 6-7 лет.

«Железо» купили, достаточно дорогое, а людей забыли обучить. Но думаю, что к 2024 году в рамках цифровизации экономики мы технически всё успеем: медицина вся будет оцифрована и защищена. Но людей, которые могли качественно работать с этими данными и техникой, мы подготовить не успеем. Самые оптимистичные сроки — это 2026 год, не ранее.

Александр Бражников

исполнительный директор Российской ассоциации криптоиндустрии и блокчейна

В странах Запада вопросами кибербезопасности стали заниматься существенно раньше, чем в России. Работники медучреждений там на сегодняшний день вполне квалифицированы. И в большинстве случаев массовая утечка медицинских данных в Сеть — результат банальной халатности сотрудников. Правительство США год назад оштрафовало одну из медицинских компаний с формулировкой «за непреднамеренное раскрытие сервера, содержащего более 300 000 данных пациентов». И этот случай не единственный.

Сергей Булкин/NEWS.ru

Помимо этого, в 2019 году в Сеть утекло более 1 млрд медицинских визуализаций (рентгеновских снимков, КТ, МРТ и так далее) со всего мира. Как уверены специалисты, это связано с тем, что большая часть врачей Бразилии, Канады, Франции, Нигерии, Саудовской Аравии, Китая и Индии игнорирует рекомендации по безопасности и подключает серверы хранения данных непосредственно к Интернету без пароля. Делается это для того, чтобы облегчить себе пользование системами данных. В итоге любой пользователь Интернета, обладая даже заурядным бесплатным программным обеспечением, может получить доступ к этой конфиденциальной информации, пишет издание TechCrunch.

Персонал — самое слабое звено любой системы. Вы можете придумать сложную, глубоко эшелонированную оборону, но если в команде найдётся человек, который на стикере приклеит пароль к экрану компьютера, то грош цена этой защите.

Сергей Шерстобитов

генеральный директор компании ANGARA

Как только персонал медклиник начнёт следовать нескольким простым информационным заповедям, общий уровень защищённости данных выйдет на принципиально иную высоту, считает Шерстобитов. Но в целом решение вопроса с утечками данных из медучреждений лежит там, где технические параметры систем безопасности и законодательное регулирование вопроса сочетаются с гражданской ответственностью персонала.

Криминальный размах

Цифровые сведения о здоровье пациентов могут стать добычей преступников даже там, где работников медучреждений не в чем винить. Медицинские данные часто воруют — на чёрном рынке они стоят ощутимо дороже банковских, сообщал ранее NEWS.ru. По сведениям «Лаборатории Касперского», в 2019 году в медицинских организациях по всему миру было атаковано 20% всех цифровых устройств. Чаще всего преступники прибегают к использованию программ-шифровальщиков. В итоге медучреждение теряет доступ к собранным данным, что может оказаться критичным при выборе стратегии лечения больных.

Самое плохое — это ситуация, когда уничтожена база историй болезни. Из-за отсутствия данных о течении заболевания нельзя назначить адекватное лечение. И здесь возможны любые сценарии развития событий, вплоть до летального исхода пациента.

Андрей Хромов

председатель Совета общества защиты пациентов

Часть ответственности за свою жизнь россиянам придётся взять на себя. Копия медкарты на руках может спасти жизнь. По закону каждый пациент имеет право ознакомиться с историей болезни и иметь её копию на руках. В перспективе, как рассказал глава Агентства кибербезопасности Евгений Лившиц, когда произойдёт полный отказ от бумажных историй болезни, будет обязательно производиться резервное копирование данных на блок, который автоматически будет отключаться от других носителей. Обновление резервного диска может идти каждый час — технические решения этой проблемы есть. Остаётся урегулировать законодательные вопросы.

Сергей Булкин/NEWS.ru

Ужесточение законов

Медицинские данные считаются наиболее охраняемыми во всём мире. Санкции за нарушение конфиденциальности информации за рубежом сегодня гораздо строже, чем у нас. Так, в России штрафы для юридических лиц составляют до 400 тысяч рублей, а в Европе они могут достигать до 4% оборота компании. Особому отношению к сведениям о здоровье есть причины, и с точки зрения закона этому вопросу следует уделить больше внимания.

Техническая безопасность напрямую связана с государственной политикой. Должно быть ужесточено законодательство в отношении хранения персональных данных; должны быть увеличены размеры штрафов для компаний и введено более суровое наказание — вплоть до уголовной ответственности. Тогда люди будут абсолютно иначе относиться к обработке и хранению персональных данных и кибербезопасности.

Евгений Лифшиц

глава Агентства кибербезопасности, член экспертного совета комитета ГД по информационной политике, информационным технологиям и связи

Утечка данных о здоровье, безусловно, неприятное явление, но оно не должно стать препятствием для глобальной цифровизации медицинских данных: у этого процесса больше плюсов, чем минусов. Благодаря оцифровке сведений о здоровье и переходу к электронным историям болезни люди лучше понимают, какие проблемы у них есть, и быстрее могут их решить. В конечном итоге, считает экспертное сообщество, это приведёт к повышению качества жизни и увеличению её продолжительности.

Самое интересное — в нашем канале Яндекс.Дзен