Журнал "Information Security/ Информационная безопасность" #1, 2020

На сегодняшний день наибольшую опасность представляют умышленные или неумышленные дей- ствия сотрудников медуч- реждений, поэтому основное внимание необходимо направить на работу с пер- соналом. Как видно из статистики инцидентов, медицинские данные могут утекать либо по халатности сотрудников, либо для получения коммер- ческой выгоды. И если веро- ятность использования исто- рий болезни, оказавшихся на свалке, в преступных целях практически нулевая, то вариантов применения инсайдерских сведений име- ется достаточно. Риски, ущерб и последствия Утечка информации – не просто неприятное событие. Это целый набор рис- ков: репутационных, финансо- вых, коммерческих и пр. Потеря контроля за собранными дан- ными может повлиять на разви- тие компании и даже уничтожить ее репутацию. Понимая это, жертвы утечек, как правило, предпочитают скрыть обстоя- тельства, размер и сам факт произошедшего, всячески отри- цая саму возможность того, что кому-то мог быть нанесен ущерб. Медицинские данные вклю- чают в себя как стандартный набор персональной информа- ции в виде ФИО, возраста, адреса регистрации и телефона, так и более конфиденциальные сведения – результаты анали- зов, поставленные диагнозы, проведенное лечение и назна- ченные лекарства. Разглашение медицинской тайны Для кого-то утечка такой информации не является кри- тичной, но есть категории паци- ентов и заболеваний, для кото- рых огласка крайне нежела- тельна. Например, информация о тяжелой болезни известного человека может стать инфопо- водом для привлечения внима- ния зрителей и рекламодателей, а сведения о том, что сотрудник или студент вуза болен ВИЧ или СПИДом, – поводом для преследования, увольнения или исключения. В соответствии со ст. 13 Федерального закона № 323 "Об основах охраны здоровья граждан в Российской Федера- ции" врачи и медицинский пер- сонал обязаны соблюдать вра- чебную тайну. За нарушение закона предусмотрена ответ- ственность от дисциплинарной, гражданско-правовой и адми- нистративной 2 (разглашение информации с ограниченным доступом, ст. 13.14 КоАП РФ) до уголовной 3 (нарушение неприкосновенности частной жизни, ст. 137 УК РФ). В мини- мальном варианте наказанием может стать выговор или уволь- нение, а в худшем случае нару- шителя могут оштрафовать на 100–300 тыс. руб. или даже лишить свободы на срок до четырех лет, а также запретить заниматься профессиональной деятельностью. Репутационный ущерб Обнародование информации об утечке обычно приводит к сокращению потока новых клиентов и потере имеющихся, однако в случае с медицински- ми учреждениями эта тенденция существенна только для ком- мерческих клиник, поскольку в случае с ОМС и участковыми врачами перед пациентом вопрос выбора места лечения, как правило, не стоит. Коммерческий ущерб Утечка медицинских данных дает возможность конкурирую- щим клиникам проанализиро- вать клиентскую базу допустив- шего утечку учреждения и пред- ложить пациентам свои услуги. Сведения о диагнозах и прово- димом лечении позволят сфор- мулировать персональное пред- ложение и повысить вероятность успешного привлечения. Финансовый ущерб Финансовые последствия уте- чек связаны со штрафами, кото- рые могут быть наложены на учреждение за нарушение порядка работы с персональны- ми данными, а также с исполне- нием решения судов, в которые обратились пациенты. Так, штраф за несанкционированный доступ к персональным данным составляет от 25 до 40 тыс. руб. Как происходят утечки Утечки медицинских данных в России происходят в основном в бумажном виде или с помо- щью мессенджеров. Встречают- ся также случаи копирования информации в электронном виде на флешку или в облачный сервис. Кроме того, достаточно распространенной причиной утечки данных является халат- ность персонала, который выбрасывает медицинские карты и истории болезни либо повторно использует листы бумаги, на обратной стороне которых распечатаны конфи- денциальные сведения. Статистика инцидентов Приведем несколько случаев утечек медицинских данных, которые стали достоянием прессы: 18 • УПРАВЛЕНИЕ Утечки медицинских данных: как они происходят и как их предотвратить сследовав данные, похищенные из организаций, входящих в список Fortune 500, аналитики компании ImmuniWeb выяснили, что сфера здравоохранения заняла третье место по объему зафиксированных утечек личной информации 1 , и количество утечек постоянно растет. В России тоже собирают данные пациентов и тоже случаются утечки. Почему это происходит, какие риски возникают в связи с этим для медицинских учреждений и пациентов, что происходит с похищенными данными и есть ли возможность их защитить, – об этом пойдет речь в данной статье. И Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ 1 https://www.immuniweb.com/blog/stolen-credentials-dark-web-fortune-500.html 2 http://www.consultant.ru/document/cons_doc_LAW_34661/835dca84f369ce440288da07465dbbf24791784a/ 3 http://www.consultant.ru/document/cons_doc_LAW_10699/4234a27af714cc608ea71b7bae9400f3613c8f60/