13 Марта, 2012

Как посчитать потери от атак на медицинские системы?

Алексей Лукацкий
Считается, что здоровье не имеет цены и, следовательно, оценить ущерб от взлома медицинских систем очень сложно. Как оказалось это неверно. В презентациях по оценке ИБ я не раз приводил тезис о том, что самое важное в любом измерении - это определить объект измерения. Это половина успеха. В случае с ущербом медицинским системам ситуация аналогичная и Internet Security Alliance совместно с американским национальным институтом стандартов (ANSI) на днях выпустили замечательный отчет "The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security".

В работе над отчетом принимали участие около 100 экспертов из различных медицинских учреждений. Совместно с экспертами по ИБ они вместе разработали метод PHIve (Protected Health Information Value Estimator) для оценки риска медицинских систем, одним из этапов которого и является оцифровывание потенциальных потерь от атак на системы здравоохранения.

При этом документ интересен именно своей отраслевой спецификой. Например, там описаны все заинтересованные стороны (стейкхолдеры) в работе медицинских систем:


Спектр рассматриваемых угроз тоже обширен и включает, в т.ч. и облачных провайдеров, обрабатывающих медицинские данные:


Потери делятся в свою очередь на 5 категорий:
  • репутационные
  • финансовые
  • юридические
  • операционные
  • клинические.


Последняя категория интересна. Например, среди потерь числится задержка или ошибка в установлении диагноза. За этим пунктом может скрываться очень много специфических для здравоохранения проблем, которые могут транслироваться в деньги. Например, задержка в постановке диагноза - меньше пациентов можно принять - меньше денег можно заработать. Ну а к чему может привести ошибка в постановке диагноза и говорить не приходится. Преимущество указанного исследования в том, что оно не ограничивается просто констатацией статьи потерь, а предлагает формулы для их рассчета. Такие формулы есть для расчета таких показателей как "loss of patients", "loss of curent customers", "loss of staff" и т.д.

В общем документ достойный и рекомендуемый к прочтению.
или введите имя

CAPTCHA
14 Марта, 2012
Скачал данный отчет. Очень насыщенный. Правда много "своих" формулировок, жаль что нет подобного документа на русском.
0 |
  • Поделиться
  • Ссылка