На страже данных: безопасность в здравоохранении

Безопасность данных – один из самых щекотливых вопросов современности. В особенности, когда речь идёт о сфере здравоохранения. Кто же отвечает за сохранность медицинской информации пациента в наши дни?

Совсем другое

Если вы когда-либо обсуждали технологии, бизнес-стратегии или собственный опыт с другом, работающим в сфере здравоохранения, то, вероятно, слышали такую фразу: «Со здравоохранением всё обстоит иначе».

И это абсолютно обоснованное заявление, учитывая многочисленные проблемы, характерные для отрасли, и высокие ожидания пациентов (вопрос жизни и смерти, как-никак). Технологические и организационные требования сферы здравоохранения особенны. Теперь они выходят на первый план, поскольку индустрия здравоохранения вступает в захватывающий период роста – и неизбежно сталкивается с серьёзными проблемами.

Строгие нормативно-правовые требования, беспокойные условия для ведения бизнеса, деликатный характер управления и проявление гуманности во время оказания медицинских услуг пациенту – все эти экстраординарные переменные встречаются только в контексте здравоохранения. Они требуют, чтобы мы использовали специальный объектив для изучения различных проблем, с которыми индустрия сталкивается сегодня.

Безопасность обеспечена (не) легко

Эта перспектива перенаправляет нас к теме конфиденциальности и безопасности данных в здравоохранении. Медицинские данные пациента теперь широко распространены среди многочисленных компаний и быстро становится одной из самых ценных форм данных. В дополнение к данным, медицинские устройства, которым мы доверяем свою жизнь и здоровье, становятся всё более цифровыми, соответственно, подвергаясь угрозам в лице хакеров и вредоносных ПО.

В мире торговли кража персональных данных может причинить большие неудобства и стоить тысячи долларов, но что это в сравнении с потенциальным ущербом, вызванным скомпрометированным медицинским устройством? Ставки растут, когда благополучие пациента зависит от правильного функционирования монитора сердечного ритма. Медицинские устройства, используемые для лечения и диагностики пациентов, несут в себе огромный риск, так как могут стать целью для атаки хакеров-злоумышленников.

Помимо жизни и здоровья, в отношениях пациента с системой здравоохранения есть и другой важный компонент: «Защищённая информация о здоровье» (англ. – PHI). Передаваемая между пациентом, провайдером и плательщиком, PHI состоит из личной медицинской информации, которая генерируется на протяжении всего взаимодействия пациента со сферой здравоохранения. Как правило, эти данные обрабатываются медицинскими компаниями, с которыми связано наше медицинское обслуживание. Таким образом, бремя ответственности за конфиденциальность, доступность и неизменность информации о здоровье пациента, возлагается на эти компании.

Конечно, легче сказать, чем сделать, но время «говорить, но не действовать» прошло. Как уже поняли пациенты, медицинские компании и регуляторные государственные органы, нарушения, которые происходят в PHI, могут не просто стоить дорого, но и приносят колоссальные неудобства.

Ремарка: проблема безопасности медицинских устройств – это вопрос, который начинают изучать федеральные регулятивные органы. Недавно FDA объявила о своих усилиях по усилению кибербезопасности медицинских устройств. Прочесть об этом подробнее можно здесь.

Техническая революция, в некотором смысле

В течение последнего десятилетия мы наблюдали быструю и повсеместную миграцию данных и услуг от аналоговых технологий конца ХХ века к эфирным, техническим инфраструктурам «подключён сейчас». Эта революция проникла во все сферы нашей жизни и, более того, в отрасль здравоохранения, которая лежит в основе здоровья и благополучия каждого человека.

В частности, оцифровка здравоохранения проявилась в принятии надёжной системы медицинских электронных карт (англ. – EMR), что позволяет регистрировать медицинские записи и осуществлять контроль над пациентом. Платформы пациентов, доступные по интернету, теперь являются отраслевым стандартом подключения пациентов к их медицинской информации, диагностических отчётов, услуг по выписке рецептов и, конечно же, платежам.

Самые передовые примеры включают интеграцию с системами телездравоохранения, которые позволяют пациентам проконсультироваться со своими поставщиками медицинских услуг с помощью камеры, что полностью исключает необходимость посещения кабинет врача.

Хотя этот технологический прогресс и был впечатляющим, он не стал всеобъемлющим в отрасли здравоохранения. Еще есть достаточно организаций, где данные пациента всё ещё передаются посредством факса, а документы заполняются вручную. В результате, большая часть защищённой информации существует и в электронном, и в бумажном виде. Всё это способствует усилению циркуляции приватной информации – записи проходят через множество различных систем здравоохранения с различной степенью конфиденциальности и механизмов обеспечения безопасности.

В свете этого, неудивительно, почему безопасность PHI может стать головной болью. В дополнение к очевидным киберцентрическим проблемам безопасности (например, хакерам, утечкам данных, атакам с помощью передовых средств и т.д.), необходимо тщательно учитывать физическую безопасность медицинской информации. Многие практикующие врачи не полагаются на электронные медицинские системы записи в должной мере. В результате можно найти сотни и тысячи медицинских записей, хаотично сложенных на столах, засунутых в картотечные шкафы или по ошибке выкинутых в мусорные баки.

Система электронных медицинских карт получила широкое распространение, но не используются в полной мере.

Ценный груз

За последнее время отмечались многочисленные инциденты, связанные с безопасностью и затронувшие потребителей. В результате взлома Equifax в 2017 информация миллионов пользователей была скомпрометирована.

На первый взгляд, самой важной и «драгоценной» кажется именно финансовая информация. Возможно, так было в прошлом, но поскольку мы генерируем всё больше PHI через наши отношения с медицинскими компаниями и поставщиками, баланс, несомненно, изменится.

К слову, истинная стоимость медицинских данных уже проиллюстрирована на примере финансовых убытков, которые понесли компании после проблем с безопасностью.
Интересно и то, что хакеры и похитители данных осознают это ценность в сравнении с межотраслевыми альтернативами. В этой статье можно подробно узнать о запрашиваемой цене на 3 украденные базы данных, доступные для покупки на торговой площадке дарк-нета. Например, за 396 459 медицинских записей, составляющих одну из продаваемых баз данных, запросили $405 тыс.

Что делает эти записи настолько ценными на незаконных чёрных рынках? Начнём с того, что медицинские документы могут быть использованы для совершения страхового мошенничества. А когда они используются таким образом, похитителям очень просто их видоизменять.

Эти некорректные изменения серьёзно влияют на настоящего владельца, которому принадлежат медицинские записи. Получение нерелевантной и несвоевременной медицинской помощи в чрезвычайной ситуации является одним из наиболее тяжёлых гипотетических последствий – влияние на право медицинского страхования является более «безобидным» примером.

Другим фактором, который придаёт им значение на чёрном рынке, является тот факт, что в этих медицинских документах часто содержится другая личная информация: номера социального страхования или контактная информация. Конечно, здравоохранение, как правило, связано со стоимостью, поэтому финансовая информация также входит в этот пакет. Обнаружение всей этой информации в одном месте экономит предприимчивому хакеру много времени и сил, и, если текущая позиция по безопасности в сфере здравоохранения не соответствует задаче – это просто ещё один бонус.

Правительству приготовиться

В настоящее время существует некоторая доктрина безопасности, которая касается требований информационной безопасности здравоохранения. В частности, в формах HITECH и HIPAA – двух федеральных законов, призванных защищать конфиденциальную информацию и благосостояние пациентов путём введения нормативных стандартов в любую организацию, предоставляющую услуги здравоохранения.

Эти федеральные стандарты, хотя и написаны с учётом специфики отрасли здравоохранения, не могут модернизироваться достаточно быстро для того, чтобы идти в ногу с нововведениями. В то же время более современные инфраструктуры безопасности, например, опубликованные NIST (Национальный институт стандартов и технологий США) являются очень общими по своему охвату, не говоря уж об отделах информационной безопасности в сфере здравоохранения.

При этом темпы инноваций, касающихся решения проблем конфиденциальности и безопасности в здравоохранении также не впечатляют. Особенно по сравнению с внедрением роботизированной руки (надеемся, что в будущем её не взломают и не прикажут задушить пациента).

К счастью для пациентов, санкции, введённые федеральными организациями, нацелены на компании, которые не обеспечивают безопасность данных пациентов. Они оштрафованы по фиксированной ставке за каждую приватную зарегистрированную запись, а на повторных нарушителей налагаются более суровые и крупные штрафы.

Очевидно, что безопасность данных пациентов представляет огромную оперативную и финансовую ответственность для организаций здравоохранения. У последних есть все стимулы для совершенствования своей среды здравоохранения, чтобы обеспечить больше приватности и безопасности людям, которым они предоставляют услуги. Как ни крути, пациенты, провайдеры и плательщики одинаково страдают от уязвимости данных.

Спасибо за диагноз, но какое лечение?

Конечно, предстоит проделать работу по улучшению ситуации с конфиденциальностью данных пациентов. Вполне возможно, что стремительное развитие технологий здравоохранения в конечном итоге оставят безопасность где-то на обочине. В связи с тем, что PHI постепенно превращается в «цифровое золото», внимание к конфиденциальности информации будет только возрастать в ближайшие годы. Остаётся один вопрос: делаем ли мы достаточно, чтобы идти в ногу со временем?

Усилия, предпринимаемые федеральными и приватизированными учреждениями здравоохранения, дают свои плоды, поэтому вполне вероятно, что практика обеспечения безопасности данных будет продолжать развиваться и совершенствоваться. Важно отметить, что организации должны стараться привлекать внимание не только сотрудников, но и пациентов – это важно для всех сторон.

Помните о том, что мы все несём ответственность за свою просвещённость в области безопасности здравоохранения. Получая соответствующие услуги, мы должны понимать то, как наши данные будут использоваться (и что с ними может произойти в следствие утечки), а также критически и тщательно оценивать деятельность провайдеров услуг в здравоохранении. Затрагивая тему приватности, мы начинаем культивировать уважение к нашим данным и убеждаемся в том, что здравоохранение – это не только уход, но и доверие.

В общем, есть и хорошие новости: диагноз не является смертельным.

ЧИТАЙТЕ ТАКЖЕ:

Источник: Hackernoon

Читайте также:

Від Facebook до Tesla — менш відомі співзасновники найбільших технологічних компаній у світі

Що таке Zero Waste та як змінити свої звички, щоб зменшити кількість відходів

Інтер’єр космічного корабля для комерційних польотів VSS Unity від Virgin Galactic

Як буде виглядати наша планета через 250 мільйонів років. Відео