Журнал "Information Security/ Информационная безопасность" #1, 2020

Потеря контроля за собранными данными может повлиять на развитие ком- пании и даже уничтожить ее репутацию. Утечки медицинских дан- ных в России происходят в бумажном виде и с помо- щью мессенджеров, также встречаются случаи копиро- вания информации в элек- тронном виде на флешку или в облачный сервис. 1. В марте 2019 г. участники акции по сбору макулатуры обнаружили среди собранного вторсырья 69 медицинских карт 4 пациентов районной боль- ницы за 2012–2013 гг. Карты были выброшены сотрудниками больницы. За нарушение глав- врача оштрафовали на 4 тыс. руб. по ст. 13.14 КоАП. 2. В феврале 2019 г. мурман- скую поликлинику оштрафова- ли на 25 тыс. руб. 5 за выбро- шенные в мусорные баки меди- цинские карты пациентов. 3. В марте 2019 г. десятки медицинских карт пациентов больницы в г. Маркс выбросили на улицу 6 . 4. В апреле 2019 г. около 100 историй болезни выбросили на перекрестке у больницы 7 в Ижевске. 5. В мае 2019 г. более 100 выброшенных медкарт обнаружили в Альметьевском районе Татарстана 8 . 6. Предприятие "Новосибобл- фарм" опубликовало на своем сайте персональные данные тяжелобольных людей 9 , обра- тившихся к ним через интер- нет-приемную за льготными лекарствами. 7. Фельдшер саратовской ско- рой помощи передавала данные об умерших и тяжелобольных пациентах 10 представителям заинтересованных организаций. Что происходит с утекшими данными Как видно из статистики инци- дентов, медицинские данные могут утекать либо по халатности сотрудников, либо для получения коммерческой выгоды. И если вероятность использования исто- рий болезни, оказавшихся на свалке, в преступных целях практически нулевая, то вари- антов применения инсайдерских сведений имеется достаточно. Вот несколько примеров. История с опубликованными на сайте "Новосибоблфарм" дан- ными тяжелобольных пациентов получила широкую огласку не только в связи с нарушением законодательства, но и из-за того, что к больным и их род- ственникам стали поступать звон- ки от распространителей БАДов, представителей альтернативной медицины и "целителей". Фельдшер скорой помощи в Саратовской области получала гонорар от ритуальных агентств за сведения об умерших и тяже- лобольных людях. Это привело к тому, что в некоторых случаях ритуальные агентства прибыва- ли к умершим без вызова и едва ли не раньше, чем медицинские работники 11 . В мае 2019 г. МВД сообщило о раскрытии деятельности межре- гиональной группы мошенников, организовавших в регионах Рос- сии сеть медицинских клиник ¹² . Используя персональные и меди- цинские данные, работники этих учреждений обзванивали пожи- лых людей и убеждали их в нали- чии тяжелых заболеваний, кото- рые требуют неотложного и доро- гостоящего лечения. По оценке МВД, ущерб от деятельности преступников составил не менее миллиарда рублей. Еще одно направление, в кото- ром сливают медицинские дан- ные, – это агентства недвижи- мости и недобросовестные работники социальных служб. Получив сведения об одиноких пожилых людях, они "обрабаты- вают" их, предлагая заключить договор пожизненного содержа- ния, чтобы впоследствии стать собственниками их квартир. Сотрудники государственных поликлиник, подрабатывающие в частных медучреждениях, сли- вая данные пациентов, обес- печивают частной клинике поток клиентов, которых пере- направляют туда для "получения более качественных услуг". Кто виноват и что делать? На сегодняшний день наи- большую опасность представ- ляют умышленные или неумыш- ленные действия сотрудников медучреждений, поэтому основ- ное внимание необходимо направить на работу с персона- лом. К сожалению, уровень финансирования государствен- ных поликлиник и больниц в большинстве случаев не позво- ляет приобрести систему обна- ружения и предотвращения уте- чек (DLP) – ее стоимость может превышать годовой бюджет учреждения. Кроме того, авто- матизация медучреждений далеко не всегда позволяет сде- лать применение таких систем эффективным: если медицин- ские карты пациентов ведутся на бумаге, система DLP не оста- новит сотрудника, который тай- ком отправляет фото истории болезни в ритуальное агентство через Viber. Более действенными могут оказаться организационные мероприятия в сочетании с зако- нодательной поддержкой: если наказание за слив данных будет неотвратимым и более серьез- ным, чем возможная выгода, а сотрудник будет дорожить рабо- чим местом, количество утечек станет значительно меньше. Именно так выглядит ситуа- ция с утечками в Европе и США, где законодательство пред- усматривает серьезные штра- фы за нарушения, связанные с персональными данными. Например, в июне 2018 г. Онко- логический центр им. Андерсо- на при Техасском университете был оштрафован на $4,3 млн за утечки 13 , случившиеся в 2012–2013 гг. Их причинами были кража ноутбука с неза- шифрованными конфиденци- альными данными пациентов и утеря двух USB-флешек с открытой медицинской информацией. В ноябре 2018 г. отделение Аллергической ассоциации в Хартфорде, штат Коннектикут, было оштрафовано на $125 тыс. 14 за то, что врач, у которого слу- чился конфликт с пациенткой, объясняя произошедшее журна- листам, сообщил подробности состояния ее здоровья. Именно строгость и неотвра- тимость наказания за утечки привели к тому, что, несмотря на большее количество инци- дентов, доля инсайдерских эпи- зодов в мировой медицинской практике значительно ниже, чем в России. l • 19 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 4 https://www.garant.ru/news/1262117/ 5 https://www.interfax.ru/russia/650358 6 https://www.interfax.ru/russia/655888 7 https://www.interfax.ru/russia/657202 8 https://www.interfax.ru/russia/662780 9 http://nsknews.info/materials/novosiboblfarm-ne-skryvaet- lichnye-dannye-poluchateley-lekarstv-163917/ 10 https://medvestnik.ru/content/news/V-Saratove-vozbujde- no-ugolovnoe-delo-v-otnoshenii-feldshera-skoroi.html 11 https://www.kommersant.ru/doc/3351993 12 https://xn –b1aew.xn –p1ai/news/item/16952024 13 https://www.chron.com/news/houston-texas/houston/article/ MD-Anderson-to-pay-4-3-million-penalty-for-data-13007475.php 14 https://healthitsecurity.com/news/allergy-associates-settles- with-ocr-for-125k-for-hipaa-violation