Медицинские государственные структуры и коммерческие организации ежедневно имеют доступ к большому объему персональных данных, включая дату рождения, имя и фамилию пациентов и персонала, семейное положение. Вопрос информационной безопасности стоит особенно остро в текущих условиях, когда важно обеспечить хранение данных на территории РФ, а значит выбирать российские программные решения, независимые от зарубежных поставщиков.
Внедрение новых технологий в области здравоохранения повышает вероятность утечки и кражи информации. Как защитить данные, перспективы информационной безопасности и методы ее усиления будут рассмотрены в этой статье.
Специфика информационной защиты в медицинских учреждениях
Многие данные в медицинских организациях попадают в категорию врачебной тайны. В их числе личные сведения о сотрудниках и клиентах. Разглашение информации о состоянии здоровья может вызвать последствия. Хакеры используют украденные данные в мошеннических целях, продают на черном рынке или шантажируют организации, которые допустили утечку.
Специфика работы с медицинской информацией определяет объем работ в части обеспечения информационной безопасности:
- все сведения находятся в полном распоряжении пациента;
- обработка документов должна выполняться оперативно;
- разные части медицинской информации обрабатываются разными специалистами, включая лаборантов, медицинских сестер, врачей, регистраторов;
- деление информации на персональные и статистические данные, сведения о ходе лечения;
- регламент взаимодействия медицинских сотрудников, пациентов и доверенных лиц не установлен.
Количество инструментов, позволяющих отслеживать данные о состоянии пациентов, резко увеличилось за последние несколько лет. Это стало возможным благодаря развитию облачных технологий, мобильных устройств и возможности хранения массивов данных онлайн.
Существенно повысили качество обслуживания пациентов и мобильные медицинские технологии. Пользователи получили возможность узнавать больше информации о своем организме, и, соответственно, лучше заботиться о здоровье. При этом затраты со стороны медицинских организаций сокращаются. Но в медучреждениях должны понимать, как и где хранится информация, генерируемая гаджетами.
Развитие перечисленных технологий стимулирует также обмен медицинскими данными для проведения клинических исследований. Пациенты могут дать согласие на отправку информации для последующих анализов, врачи – обмениваться данными, например, генетическими исследованиями. Но отрасли здравоохранении еще предстоит заслужить доверие пациентов.
Врачи констатируют необходимость интеграции медицинского оборудования в единую компьютеризированную сеть. Существует несколько запатентованных систем от разных поставщиков, но они не могут взаимодействовать друг с другом, а это создает сложности в уходе за пациентами. Если медицинские приборы не обмениваются измерениями, персонал медучреждения не может оценить состояние пациента комплексно, что создает значительные неудобства. Интеграция и поддержка локальной сети дадут возможность скоординировать работу медицинских приборов и информационных систем, в особенности, при взаимодействии с электронной медицинской карточкой.
Вероятные угрозы
Если произойдет утечка медицинских данных, то клиника, как оператор, обязана возместить нанесенный пациенту ущерб и оплатить штраф от 60 тыс. руб. до 100 тыс. руб. согласно ст. 13.11 КоАП РФ. Наказание за повторную утечку достигает 300 тыс. руб. Сотрудника ждет выговор или увольнение за разглашение персональной информации, а в серьезных случаях – запрет на занятие профессиональной деятельностью до 5 лет или лишение свободы на срок до 4 лет.
Уязвимость информационных систем в медучреждениях
Существует вероятность возникновения следующих нарушений информационной безопасности:
- получение неправомерного доступа к информации, другими словами, нарушение конфиденциальности;
- утрата сведений, вызванная разрушением носителя информации или стиранием данных;
- внесение изменений при прямом доступе к базе данных или через интерфейс системы;
- отказ функционала, связанный с получением доступа к информации;
- получение доступа к базе данных – полное или частичное;
- некорректное функционирование информационной системы вследствие несанкционированного изменения модулей.
Способы усиления защиты сведений в информационных системах медицинских организаций
Построение системы защиты может выполняться в несколько этапов:
- собираются сведения о существующих информационных системах персональных сведений;
- моделируются угрозы безопасности;
- разрабатываются технические задания;
- проектируется система защиты информации;
- разрабатывается организационно-распорядительная документация, которая регламентирует процессы обработки и защиты сведений;
- поставляются, устанавливаются и настраиваются средства защиты информации;
- проводится аттестация информационных систем сведений, согласно требованиям безопасности.
К объектам защиты медицинской информационной системы относят:
- сведения в базе данных;
- резервные и архивные копии сервера;
- целевые данные администратора и начальника;
- средства обеспечения функционирования медицинской информационной системы;
- обработка информации в медучреждении – сбор, хранение, передача;
- производительность файлового сервера.
С целью защиты данных пациента применяются несколько программных компонентов и механизмов. Для предотвращения несанкционированного доступа развертываются средства авторизации, внедряются системы обнаружения и предотвращения вторжений, а также утечек информации. Может устанавливаться антивирусное программное обеспечение. Существует успешная практика использования файерволов.
К криптографическим средствам защиты относят алгоритмы шифрования данных и внедрение электронной цифровой подписи. Системы аутентификации предполагают внедрение защиты с паролем, подпись сертификатами и открытие доступа по биометрическим данным.
Инструментальные средства анализа предполагают внедрение программного обеспечения для проведения мониторинга. К техническим относят комплексное внедрение технических средств защиты. Система бесперебойного питания предполагает установку, обслуживание источников бесперебойного питания, установку генераторов напряжения и резервирование нагрузки.
С целью предотвращения взлома и краж используются специальные средства, включая электронные ключи и смарт-карты. Эти технологии позволяют повысить уровень защиты информационной системы на этапе аутентификации.
Перечень технических мер защиты
Есть и другие способы обеспечения безопасности, которые не относятся к медицинской информационной системе напрямую. Такие меры предполагают выполнение персоналом некоторых регламентов по работе с системой:
- организация охраны помещения, работы с документацией, сотрудниками. Использование технических средств и информационно-аналитической деятельности с целью выявления угроз – внутренних и внешних;
- исключение проникновения на территорию и в здание злоумышленников;
- организация работы с сотрудниками в части доступа к информации;
- обеспечение правильной работы с документами и документированными сведениями;
- задействование технических средств по сбору, накоплению, обработке и хранению конфиденциальных данных;
- организация работы по анализу угроз конфиденциальных сведений – внутренних и внешних;
- организация работы по выполнению контроля над работой сотрудников с информацией.
Также внедряются и специализированные средства контроля доступа в помещение. Это могут быть:
- исполнительные устройства, включая кабины, турникеты, шлагбаумы;
- кардридеры, считывающие информацию;
- панели для введения кода с помощью клавиатуры;
- концентраторы и контроллеры;
- средства идентификации, включая брелоки, карты и биометрию;
- индивидуальное программное обеспечение.
Делимся экспертными советами в управлении медицинским центром в нашем Telegram-канале. Подписывайтесь, чтобы оставаться в курсе новостей и получать актуальную информацию.
Подведение итогов
Безопасность данных должны быть реализована на всех уровнях работы медицинской информационной системы:
- сведения о пациентах;
- данные о персонале;
- информация о медучреждении;
- сведения о системе здравоохранения, как в государственных, так и в частных организациях.
Привлекательность медицинских центров для киберпреступников объясняется тем, что их информационные системы содержат различную конфиденциальную информацию, включая личные данные пациентов, номера банковских карт (кредитных, дебетовых), медицинские сведения.
Если система безопасности функционирует правильно, можно говорить о выполнении в полной мере всех ее функций. Медицинские учреждения выступают операторами персональных данных, а это означает, что обеспечение безопасности входит в зону их ответственности. Процесс перехода от бумажных носителей к электронным показывает, что далеко не все организации могут уделять должное внимание информационной безопасности, так как требуется увеличение расходов. Денежные средства должны быть направлены на установку и обслуживание систем защиты информации, обучение персонала, наем квалифицированных специалистов.
Организация безопасной обработки и хранения медицинских данных пациентов всегда стоит перед главным врачом и входит в его зону ответственности. Для этого он обязан:
- Выбрать единую медицинскую информационную систему
- Обеспечить контроль уровня защиты персональных данных
- Регулярно знакомить сотрудников клиник с положениями законодательства РФ о сохранении врачебной тайны
- Проводить обучающие мероприятия для сотрудников по работе клиентами и их персональными данными.