Учреждения здравоохранения: как соблюсти необходимый уровень информационной безопасности?
Медицинские центры, частные клиники, а также иные учреждения здравоохранения нередко сталкиваются с большим количеством персональных данных, как клиентов, так и самих сотрудников данной организации. При этом большая часть документов попадает под определение врачебной тайны. Соответственно, требуется и повышенный уровень информационной безопасности. Автоматизация ведения электронного учета, переход к электронному документообороту, повышенные требования к хранению медицинских карт пациентов также создают предпосылки для усиления информационной защиты.
Сказать, что проблематика оптимизации регистратур или безопасности медицинских баз данных была затронута только сегодня, нельзя. Проблема приобрела актуальность с введением в медицинских учреждениях первых компьютерных систем. Бурное развитие информационных технологий позволило осуществить глобальный переход учреждений здравоохранения на новый уровень хранения и обработки персональных данных. Информационная трансформация не только позволила повысить эффективность оказания медицинских услуг, но и предоставила благодатную почву для злоумышленников. Личная информация пациентов, как и финансовые активы предприятия, представляет собой лакомый кусок для злоумышленников, которые впоследствии могут не только получить доступ к кредитным картам пациентов, но и использовать защищаемые данные в корыстных нуждах. К примеру, базу данных клиентов частной медицинской клиники можно перепродать ее конкуренту, а сами скомпрометированные данные использовать для получения доступа к счетам больных.
Не так давно центром по контролю и профилактике заболеваний департамента здравоохранения США была обнаружена подозрительная сетевая активность на серверах системы, которая собирала данные об эпидемических болезнях. Скомпрометированные данные содержали данные лабораторных анализов пациентов. Атакованную часть системы срочно отключили от сети. Представители Департамента начали частное служебное расследование на предмет выявления причин и потенциальных убытков вследствие инцидента.
Здравоохранение, как и любая отрасль, обладает собственными особенностями в плане информационной защиты. Основная из них - это наличие повышенных требований к информационной безопасности СУБД. Обусловлены подобные кардинальные меры тем, что данные, подлежащие обработке, относятся к 1 (первому) классу информационных систем. Состояние здоровья – это одна из наиболее личных категорий информации. Входят в данный класс сведения, разглашение которых может нанести максимальный вред для пациентов. При этом необходимо соблюдать должный уровень обеспечения информационной безопасности. Так, были похищены данные около 220 000 доноров органов из Малайзии. Похищенная база данных содержала полные сведения о донорах: контактные номера, переданные в дар органы, расу, пол, домашние адреса и прочую конфиденциальную информацию. Данные собирались как из государственных больниц, так и национальных центров трансплантологии. тогда же в Интернете оказались три базы данных, которые принадлежали Малазийскому медицинскому совету, Стоматологической ассоциации Малайзии и Малазийской медицинской ассоциации.
Из затронутых проблем можно также выделить невысокий уровень информационного обеспечения государственных учреждений здравоохранения. В большинстве случаев организации располагают несовременным и разнородным оборудованием, которое предполагает повышенную возможность совершения хищений. Необходимо также внедрять современные методики обеспечения доступа к информационным системам – это позволит, в свою очередь, не только осуществлять должный контроль эксплуатации диагностических систем, но и контролировать расходы и закупку медицинских средств, соблюдение протоколов лечения.
Компенсировать имеющиеся недостатки на практике призвано создание Единой государственной системы в сфере здравоохранения, которым предусмотрено внедрение на региональном уровне современных проектов модернизации электронных СУБД, а также нормативов электронного документооборота между медицинскими учреждениями. Основными методами защиты сведений в системе здравоохранения являются следующие:
1. Технические (защита на уровне программного обеспечения организаций)
2. Организационно-управленческие (организация защиты на уровне административного регулирования)
Юридические
Юридические механизмы информационной защиты позволяют не только установить ответственность за нарушение применения персональных данных, но и сдерживать потенциальных нарушителей максимально доступными средствами. Организационно – управленческие методы позволяют прописать административные рамки организации работы сотрудников, а также систему взаимоотношений между администратором и абонентами. Они блокируют свободный доступ к информации недобросовестных пользователей. позволяют «опознать» абонентов, а также установить ряд административных ограничений на редактирование и доступ сведений и обеспечить криптографическую защиту эксплуатируемых баз данных. Так, в минувшем году в Соединенных Штатах Америки злоумышленники похитили более 2 млн файлов, которые содержали персональную информацию жителей страны. Наиболее уязвимым перед лицом киберпреступников оказалось здравоохранение – общие потери составили почти полтора миллиарда долларов. 46 % из них пришлось на взломы, 18% - на физическую потерю, 33% - стали результатами непреднамеренного раскрытия информации. В минувшем году Commonwealth Health Organization пострадала в результате крупнейшего взлома, в результате которого было похищено 697 800 записей. Нацелена направленная атака была на похищение персональных данных, таких как платежная информация и номера социального страхования. Для киберпреступников подобные данные относятся к наиболее ценной информации.
Методики автоматизации и обеспечения информационной безопасности в учреждениях здравоохранения зависят не только от потенциального объема обрабатываемых сведений, но и от размера организации:
· крупные медицинские центры или клиники обладают собственными центрами обработки ПНД (персональных данных пользователя). Они несут повышенную ответственность за обмен сведениями, а также синхронизацию систем электронного учета и электронной почты.
· небольшие организации, как правило, ограничиваются региональными центрами сбора и обработки конфиденциальных данных. Требования к компьютерному обеспечению и технической оснащенности подобных учреждений значительно ниже.
Информационное сопровождение является неотъемлемой частью реализации как технологической, так и управленческой деятельности. Для того, чтобы облегчить процессы внедрения медицинских АИС и обеспечения информационной защиты требуются разработка и внедрение комплексных программ по защите критической информации в учреждениях медицинского профиля.
Данные, обрабатываемые в медицинских учреждениях, относятся к категории врачебной тайны. поэтому защита их обеспечивается на уровне белорусского законодательства. Защита медицинских информационных систем представляет собой комплекс мероприятий, которые включают в себя:
Защиту от несанкционированного доступа к базам данных