Безопасность данных – один из самых щекотливых вопросов современности. В особенности, когда речь идёт о сфере здравоохранения. Кто же отвечает за сохранность медицинской информации пациента в наши дни?
Совсем другое
Если вы когда-либо обсуждали технологии, бизнес-стратегии или собственный опыт с другом, работающим в сфере здравоохранения, то, вероятно, слышали такую фразу: «Со здравоохранением всё обстоит иначе».
И это абсолютно обоснованное заявление, учитывая многочисленные проблемы, характерные для отрасли, и высокие ожидания пациентов (вопрос жизни и смерти, как-никак). Технологические и организационные требования сферы здравоохранения особенны. Теперь они выходят на первый план, поскольку индустрия здравоохранения вступает в захватывающий период роста – и неизбежно сталкивается с серьёзными проблемами.
Строгие нормативно-правовые требования, беспокойные условия для ведения бизнеса, деликатный характер управления и проявление гуманности во время оказания медицинских услуг пациенту – все эти экстраординарные переменные встречаются только в контексте здравоохранения. Они требуют, чтобы мы использовали специальный объектив для изучения различных проблем, с которыми индустрия сталкивается сегодня.
Безопасность обеспечена (не) легко
Эта перспектива перенаправляет нас к теме конфиденциальности и безопасности данных в здравоохранении. Медицинские данные пациента теперь широко распространены среди многочисленных компаний и быстро становится одной из самых ценных форм данных. В дополнение к данным, медицинские устройства, которым мы доверяем свою жизнь и здоровье, становятся всё более цифровыми, соответственно, подвергаясь угрозам в лице хакеров и вредоносных ПО.
В мире торговли кража персональных данных может причинить большие неудобства и стоить тысячи долларов, но что это в сравнении с потенциальным ущербом, вызванным скомпрометированным медицинским устройством? Ставки растут, когда благополучие пациента зависит от правильного функционирования монитора сердечного ритма. Медицинские устройства, используемые для лечения и диагностики пациентов, несут в себе огромный риск, так как могут стать целью для атаки хакеров-злоумышленников.
Помимо жизни и здоровья, в отношениях пациента с системой здравоохранения есть и другой важный компонент: «Защищённая информация о здоровье» (англ. – PHI). Передаваемая между пациентом, провайдером и плательщиком, PHI состоит из личной медицинской информации, которая генерируется на протяжении всего взаимодействия пациента со сферой здравоохранения. Как правило, эти данные обрабатываются медицинскими компаниями, с которыми связано наше медицинское обслуживание. Таким образом, бремя ответственности за конфиденциальность, доступность и неизменность информации о здоровье пациента, возлагается на эти компании.
Конечно, легче сказать, чем сделать, но время «говорить, но не действовать» прошло. Как уже поняли пациенты, медицинские компании и регуляторные государственные органы, нарушения, которые происходят в PHI, могут не просто стоить дорого, но и приносят колоссальные неудобства.
Ремарка: проблема безопасности медицинских устройств – это вопрос, который начинают изучать федеральные регулятивные органы. Недавно FDA объявила о своих усилиях по усилению кибербезопасности медицинских устройств. Прочесть об этом подробнее можно здесь.
Техническая революция, в некотором смысле
В течение последнего десятилетия мы наблюдали быструю и повсеместную миграцию данных и услуг от аналоговых технологий конца ХХ века к эфирным, техническим инфраструктурам «подключён сейчас». Эта революция проникла во все сферы нашей жизни и, более того, в отрасль здравоохранения, которая лежит в основе здоровья и благополучия каждого человека.
В частности, оцифровка здравоохранения проявилась в принятии надёжной системы медицинских электронных карт (англ. – EMR), что позволяет регистрировать медицинские записи и осуществлять контроль над пациентом. Платформы пациентов, доступные по интернету, теперь являются отраслевым стандартом подключения пациентов к их медицинской информации, диагностических отчётов, услуг по выписке рецептов и, конечно же, платежам.
Самые передовые примеры включают интеграцию с системами телездравоохранения, которые позволяют пациентам проконсультироваться со своими поставщиками медицинских услуг с помощью камеры, что полностью исключает необходимость посещения кабинет врача.
Хотя этот технологический прогресс и был впечатляющим, он не стал всеобъемлющим в отрасли здравоохранения. Еще есть достаточно организаций, где данные пациента всё ещё передаются посредством факса, а документы заполняются вручную. В результате, большая часть защищённой информации существует и в электронном, и в бумажном виде. Всё это способствует усилению циркуляции приватной информации – записи проходят через множество различных систем здравоохранения с различной степенью конфиденциальности и механизмов обеспечения безопасности.
В свете этого, неудивительно, почему безопасность PHI может стать головной болью. В дополнение к очевидным киберцентрическим проблемам безопасности (например, хакерам, утечкам данных, атакам с помощью передовых средств и т.д.), необходимо тщательно учитывать физическую безопасность медицинской информации. Многие практикующие врачи не полагаются на электронные медицинские системы записи в должной мере. В результате можно найти сотни и тысячи медицинских записей, хаотично сложенных на столах, засунутых в картотечные шкафы или по ошибке выкинутых в мусорные баки.
Система электронных медицинских карт получила широкое распространение, но не используются в полной мере.
Ценный груз
За последнее время отмечались многочисленные инциденты, связанные с безопасностью и затронувшие потребителей. В результате взлома Equifax в 2017 информация миллионов пользователей была скомпрометирована.
На первый взгляд, самой важной и «драгоценной» кажется именно финансовая информация. Возможно, так было в прошлом, но поскольку мы генерируем всё больше PHI через наши отношения с медицинскими компаниями и поставщиками, баланс, несомненно, изменится.
К слову, истинная стоимость медицинских данных уже проиллюстрирована на примере финансовых убытков, которые понесли компании после проблем с безопасностью.
Интересно и то, что хакеры и похитители данных осознают это ценность в сравнении с межотраслевыми альтернативами. В этой статье можно подробно узнать о запрашиваемой цене на 3 украденные базы данных, доступные для покупки на торговой площадке дарк-нета. Например, за 396 459 медицинских записей, составляющих одну из продаваемых баз данных, запросили $405 тыс.
Что делает эти записи настолько ценными на незаконных чёрных рынках? Начнём с того, что медицинские документы могут быть использованы для совершения страхового мошенничества. А когда они используются таким образом, похитителям очень просто их видоизменять.
Эти некорректные изменения серьёзно влияют на настоящего владельца, которому принадлежат медицинские записи. Получение нерелевантной и несвоевременной медицинской помощи в чрезвычайной ситуации является одним из наиболее тяжёлых гипотетических последствий – влияние на право медицинского страхования является более «безобидным» примером.
Другим фактором, который придаёт им значение на чёрном рынке, является тот факт, что в этих медицинских документах часто содержится другая личная информация: номера социального страхования или контактная информация. Конечно, здравоохранение, как правило, связано со стоимостью, поэтому финансовая информация также входит в этот пакет. Обнаружение всей этой информации в одном месте экономит предприимчивому хакеру много времени и сил, и, если текущая позиция по безопасности в сфере здравоохранения не соответствует задаче – это просто ещё один бонус.
Правительству приготовиться
В настоящее время существует некоторая доктрина безопасности, которая касается требований информационной безопасности здравоохранения. В частности, в формах HITECH и HIPAA – двух федеральных законов, призванных защищать конфиденциальную информацию и благосостояние пациентов путём введения нормативных стандартов в любую организацию, предоставляющую услуги здравоохранения.
Эти федеральные стандарты, хотя и написаны с учётом специфики отрасли здравоохранения, не могут модернизироваться достаточно быстро для того, чтобы идти в ногу с нововведениями. В то же время более современные инфраструктуры безопасности, например, опубликованные NIST (Национальный институт стандартов и технологий США) являются очень общими по своему охвату, не говоря уж об отделах информационной безопасности в сфере здравоохранения.
При этом темпы инноваций, касающихся решения проблем конфиденциальности и безопасности в здравоохранении также не впечатляют. Особенно по сравнению с внедрением роботизированной руки (надеемся, что в будущем её не взломают и не прикажут задушить пациента).
К счастью для пациентов, санкции, введённые федеральными организациями, нацелены на компании, которые не обеспечивают безопасность данных пациентов. Они оштрафованы по фиксированной ставке за каждую приватную зарегистрированную запись, а на повторных нарушителей налагаются более суровые и крупные штрафы.
Очевидно, что безопасность данных пациентов представляет огромную оперативную и финансовую ответственность для организаций здравоохранения. У последних есть все стимулы для совершенствования своей среды здравоохранения, чтобы обеспечить больше приватности и безопасности людям, которым они предоставляют услуги. Как ни крути, пациенты, провайдеры и плательщики одинаково страдают от уязвимости данных.
Спасибо за диагноз, но какое лечение?
Конечно, предстоит проделать работу по улучшению ситуации с конфиденциальностью данных пациентов. Вполне возможно, что стремительное развитие технологий здравоохранения в конечном итоге оставят безопасность где-то на обочине. В связи с тем, что PHI постепенно превращается в «цифровое золото», внимание к конфиденциальности информации будет только возрастать в ближайшие годы. Остаётся один вопрос: делаем ли мы достаточно, чтобы идти в ногу со временем?
Усилия, предпринимаемые федеральными и приватизированными учреждениями здравоохранения, дают свои плоды, поэтому вполне вероятно, что практика обеспечения безопасности данных будет продолжать развиваться и совершенствоваться. Важно отметить, что организации должны стараться привлекать внимание не только сотрудников, но и пациентов – это важно для всех сторон.
Помните о том, что мы все несём ответственность за свою просвещённость в области безопасности здравоохранения. Получая соответствующие услуги, мы должны понимать то, как наши данные будут использоваться (и что с ними может произойти в следствие утечки), а также критически и тщательно оценивать деятельность провайдеров услуг в здравоохранении. Затрагивая тему приватности, мы начинаем культивировать уважение к нашим данным и убеждаемся в том, что здравоохранение – это не только уход, но и доверие.
В общем, есть и хорошие новости: диагноз не является смертельным.
ЧИТАЙТЕ ТАКЖЕ:
Источник: Hackernoon