Аналитики «СёрчИнформ»: цифровизация российской медицины – вызов для ИБ в отрасли

Аналитики «СёрчИнформ»: цифровизация российской медицины – вызов для ИБ в отрасли
Отдел аналитики «СёрчИнформ» исследовал ИБ-инциденты в медицинской сфере за полгода и пришёл к выводу, что цифровизация сулит российским врачам ИБ-проблемы западной медицины.  
Пока ИБ-инциденты в российской медицине случаются точечно и имеют особый колорит. Медицинская документация в основном ведется в бумажном виде. Поэтому, в отличие от зарубежных стран, данные пациентов почти не появляются в сети, отмечают эксперты.
Так, среди всех громких ИБ-инцидентов в медицине за полгода только один связан с утечкой базы данных. Хотя в ЕС и США – это «классика жанра». На одном из файлообменников выложило на сайт госзакупок тендерные документы с конфиденциальными сведениями о пациентах – ФИО, адреса, диагнозы. Трое виновных сотрудников получили разные наказания – от предупреждения до увольнения.

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев прогнозирует, что цифровизация российской медицины станет вызовом информационной безопасности во всей отрасли:
– Большинство медицинских утечек в России связано именно с бумагой, потому что цифровизация в отрасли только началась. В западноевропейских странах и США она идет давно, и создает проблемы, которые нам только предстоят. Утечки баз данных пациентов – обычная история для зарубежных медорганизаций.
Слабое финансирование заставляет медиков использовать для хранения оцифрованных данных бесплатные сервисы. Популярные облачные сервисы имеют достаточный уровень защиты, который хорошо работает только при должной настройке. Однако хранение данных на многих популярных сервисах даже при грамотной настройке идет вразрез с российским законодательством: 152-й ФЗ требует хранить персданные россиян исключительно на территории РФ.
Многие учреждения создают собственные хранилища и веб-сервисы, однако недостаток финансирования приводит к построению таких сервисов на базе свободно распространяемых компонентов. Они бесплатны, но и безопасность данных никто не гарантирует – решение поставляется «как есть» без какой-либо поддержки. Одним из таких популярных компонентов является ElasticSearch (движок контентного поиска для веб-сайтов). Но его использование небезопасно, как можно судить по новостям. Например, одна из крупных утечек случилась в ноябре прошлого года, когда на открытом сервере ElasticSearch нашли персданные 57 млн американцев.
Подход «бесплатно или почти бесплатно» для медучреждений России противопоказан. Если пустить ситуацию на самотек, то потенциально после цифровизации мы получим такую же картину, как на Западе или даже хуже. Уже сейчас мы видим, что инциденты в информационной безопасности зависят в первую очередь от людей, а не от технологий. Технологии сделают утечки масштабнее. Поэтому в бюджет на цифровизацию важно заложить закрытие человеческих рисков.
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.