На страже данных: безопасность в здравоохранении

Безопасность данных – один из самых щекотливых вопросов современности. В особенности, когда речь идёт о сфере здравоохранения. Кто же отвечает за сохранность медицинской информации пациента в наши дни?

Совсем другое

Если вы когда-либо обсуждали технологии, бизнес-стратегии или собственный опыт с другом, работающим в сфере здравоохранения, то, вероятно, слышали такую фразу: «Со здравоохранением всё обстоит иначе».

И это абсолютно обоснованное заявление, учитывая многочисленные проблемы, характерные для отрасли, и высокие ожидания пациентов (вопрос жизни и смерти, как-никак). Технологические и организационные требования сферы здравоохранения особенны. Теперь они выходят на первый план, поскольку индустрия здравоохранения вступает в захватывающий период роста – и неизбежно сталкивается с серьёзными проблемами.

Строгие нормативно-правовые требования, беспокойные условия для ведения бизнеса, деликатный характер управления и проявление гуманности во время оказания медицинских услуг пациенту – все эти экстраординарные переменные встречаются только в контексте здравоохранения. Они требуют, чтобы мы использовали специальный объектив для изучения различных проблем, с которыми индустрия сталкивается сегодня.

Безопасность обеспечена (не) легко

Эта перспектива перенаправляет нас к теме конфиденциальности и безопасности данных в здравоохранении. Медицинские данные пациента теперь широко распространены среди многочисленных компаний и быстро становится одной из самых ценных форм данных. В дополнение к данным, медицинские устройства, которым мы доверяем свою жизнь и здоровье, становятся всё более цифровыми, соответственно, подвергаясь угрозам в лице хакеров и вредоносных ПО.

В мире торговли кража персональных данных может причинить большие неудобства и стоить тысячи долларов, но что это в сравнении с потенциальным ущербом, вызванным скомпрометированным медицинским устройством? Ставки растут, когда благополучие пациента зависит от правильного функционирования монитора сердечного ритма. Медицинские устройства, используемые для лечения и диагностики пациентов, несут в себе огромный риск, так как могут стать целью для атаки хакеров-злоумышленников.

Помимо жизни и здоровья, в отношениях пациента с системой здравоохранения есть и другой важный компонент: «Защищённая информация о здоровье» (англ. – PHI). Передаваемая между пациентом, провайдером и плательщиком, PHI состоит из личной медицинской информации, которая генерируется на протяжении всего взаимодействия пациента со сферой здравоохранения. Как правило, эти данные обрабатываются медицинскими компаниями, с которыми связано наше медицинское обслуживание. Таким образом, бремя ответственности за конфиденциальность, доступность и неизменность информации о здоровье пациента, возлагается на эти компании.

Конечно, легче сказать, чем сделать, но время «говорить, но не действовать» прошло. Как уже поняли пациенты, медицинские компании и регуляторные государственные органы, нарушения, которые происходят в PHI, могут не просто стоить дорого, но и приносят колоссальные неудобства.

Ремарка: проблема безопасности медицинских устройств – это вопрос, который начинают изучать федеральные регулятивные органы. Недавно FDA объявила о своих усилиях по усилению кибербезопасности медицинских устройств. Прочесть об этом подробнее можно здесь.

Техническая революция, в некотором смысле

В течение последнего десятилетия мы наблюдали быструю и повсеместную миграцию данных и услуг от аналоговых технологий конца ХХ века к эфирным, техническим инфраструктурам «подключён сейчас». Эта революция проникла во все сферы нашей жизни и, более того, в отрасль здравоохранения, которая лежит в основе здоровья и благополучия каждого человека.

В частности, оцифровка здравоохранения проявилась в принятии надёжной системы медицинских электронных карт (англ. – EMR), что позволяет регистрировать медицинские записи и осуществлять контроль над пациентом. Платформы пациентов, доступные по интернету, теперь являются отраслевым стандартом подключения пациентов к их медицинской информации, диагностических отчётов, услуг по выписке рецептов и, конечно же, платежам.

Самые передовые примеры включают интеграцию с системами телездравоохранения, которые позволяют пациентам проконсультироваться со своими поставщиками медицинских услуг с помощью камеры, что полностью исключает необходимость посещения кабинет врача.

Хотя этот технологический прогресс и был впечатляющим, он не стал всеобъемлющим в отрасли здравоохранения. Еще есть достаточно организаций, где данные пациента всё ещё передаются посредством факса, а документы заполняются вручную. В результате, большая часть защищённой информации существует и в электронном, и в бумажном виде. Всё это способствует усилению циркуляции приватной информации – записи проходят через множество различных систем здравоохранения с различной степенью конфиденциальности и механизмов обеспечения безопасности.

В свете этого, неудивительно, почему безопасность PHI может стать головной болью. В дополнение к очевидным киберцентрическим проблемам безопасности (например, хакерам, утечкам данных, атакам с помощью передовых средств и т.д.), необходимо тщательно учитывать физическую безопасность медицинской информации. Многие практикующие врачи не полагаются на электронные медицинские системы записи в должной мере. В результате можно найти сотни и тысячи медицинских записей, хаотично сложенных на столах, засунутых в картотечные шкафы или по ошибке выкинутых в мусорные баки.

Система электронных медицинских карт получила широкое распространение, но не используются в полной мере.

Ценный груз

За последнее время отмечались многочисленные инциденты, связанные с безопасностью и затронувшие потребителей. В результате взлома Equifax в 2017 информация миллионов пользователей была скомпрометирована.

На первый взгляд, самой важной и «драгоценной» кажется именно финансовая информация. Возможно, так было в прошлом, но поскольку мы генерируем всё больше PHI через наши отношения с медицинскими компаниями и поставщиками, баланс, несомненно, изменится.

К слову, истинная стоимость медицинских данных уже проиллюстрирована на примере финансовых убытков, которые понесли компании после проблем с безопасностью.
Интересно и то, что хакеры и похитители данных осознают это ценность в сравнении с межотраслевыми альтернативами. В этой статье можно подробно узнать о запрашиваемой цене на 3 украденные базы данных, доступные для покупки на торговой площадке дарк-нета. Например, за 396 459 медицинских записей, составляющих одну из продаваемых баз данных, запросили $405 тыс.

Что делает эти записи настолько ценными на незаконных чёрных рынках? Начнём с того, что медицинские документы могут быть использованы для совершения страхового мошенничества. А когда они используются таким образом, похитителям очень просто их видоизменять.

Эти некорректные изменения серьёзно влияют на настоящего владельца, которому принадлежат медицинские записи. Получение нерелевантной и несвоевременной медицинской помощи в чрезвычайной ситуации является одним из наиболее тяжёлых гипотетических последствий – влияние на право медицинского страхования является более «безобидным» примером.

Другим фактором, который придаёт им значение на чёрном рынке, является тот факт, что в этих медицинских документах часто содержится другая личная информация: номера социального страхования или контактная информация. Конечно, здравоохранение, как правило, связано со стоимостью, поэтому финансовая информация также входит в этот пакет. Обнаружение всей этой информации в одном месте экономит предприимчивому хакеру много времени и сил, и, если текущая позиция по безопасности в сфере здравоохранения не соответствует задаче – это просто ещё один бонус.

Правительству приготовиться

В настоящее время существует некоторая доктрина безопасности, которая касается требований информационной безопасности здравоохранения. В частности, в формах HITECH и HIPAA – двух федеральных законов, призванных защищать конфиденциальную информацию и благосостояние пациентов путём введения нормативных стандартов в любую организацию, предоставляющую услуги здравоохранения.

Эти федеральные стандарты, хотя и написаны с учётом специфики отрасли здравоохранения, не могут модернизироваться достаточно быстро для того, чтобы идти в ногу с нововведениями. В то же время более современные инфраструктуры безопасности, например, опубликованные NIST (Национальный институт стандартов и технологий США) являются очень общими по своему охвату, не говоря уж об отделах информационной безопасности в сфере здравоохранения.

При этом темпы инноваций, касающихся решения проблем конфиденциальности и безопасности в здравоохранении также не впечатляют. Особенно по сравнению с внедрением роботизированной руки (надеемся, что в будущем её не взломают и не прикажут задушить пациента).

К счастью для пациентов, санкции, введённые федеральными организациями, нацелены на компании, которые не обеспечивают безопасность данных пациентов. Они оштрафованы по фиксированной ставке за каждую приватную зарегистрированную запись, а на повторных нарушителей налагаются более суровые и крупные штрафы.

Очевидно, что безопасность данных пациентов представляет огромную оперативную и финансовую ответственность для организаций здравоохранения. У последних есть все стимулы для совершенствования своей среды здравоохранения, чтобы обеспечить больше приватности и безопасности людям, которым они предоставляют услуги. Как ни крути, пациенты, провайдеры и плательщики одинаково страдают от уязвимости данных.

Спасибо за диагноз, но какое лечение?

Конечно, предстоит проделать работу по улучшению ситуации с конфиденциальностью данных пациентов. Вполне возможно, что стремительное развитие технологий здравоохранения в конечном итоге оставят безопасность где-то на обочине. В связи с тем, что PHI постепенно превращается в «цифровое золото», внимание к конфиденциальности информации будет только возрастать в ближайшие годы. Остаётся один вопрос: делаем ли мы достаточно, чтобы идти в ногу со временем?

Усилия, предпринимаемые федеральными и приватизированными учреждениями здравоохранения, дают свои плоды, поэтому вполне вероятно, что практика обеспечения безопасности данных будет продолжать развиваться и совершенствоваться. Важно отметить, что организации должны стараться привлекать внимание не только сотрудников, но и пациентов – это важно для всех сторон.

Помните о том, что мы все несём ответственность за свою просвещённость в области безопасности здравоохранения. Получая соответствующие услуги, мы должны понимать то, как наши данные будут использоваться (и что с ними может произойти в следствие утечки), а также критически и тщательно оценивать деятельность провайдеров услуг в здравоохранении. Затрагивая тему приватности, мы начинаем культивировать уважение к нашим данным и убеждаемся в том, что здравоохранение – это не только уход, но и доверие.

В общем, есть и хорошие новости: диагноз не является смертельным.

ЧИТАЙТЕ ТАКЖЕ:

Источник: Hackernoon