Медданные: прослушки и утечки

С конца 2023 года московские поликлиники обязаны записывать разговоры врачей и пациентов. Правительство заявило, что это поможет контролировать качество приема и избегать конфликтов, а данные будут храниться в обезличенном виде без привязки к медкарте. Но аудиозапись не только нарушает врачебную тайну и формализует общение. Приказ Депздрава рекомендует обращаться к пациенту по имени-отчеству, что не совместимо с заявленной обезличенностью записей. Если доступ к образцам голоса и деликатной информации получит человек извне, масштабы и болезненность скама будет трудно переоценить. А утечек становится все больше.

Риски утечек

В 2022–2023 годах сфера медицины входила в топ-3 по числу успешных кибератак в мире. Почти в половине случаев это приводило к нарушению работы компаний. В России в 2022 году каждая пятая организация сферы здравоохранения пострадала от утечки информации. В 2023 году были атакованы крупные медицинские лаборатории: «‎Гемотест», «‎Ситилаб», «‎Хеликс», «‎ЛабКвест». Объем утечек превысил 38 млн строк, также в открытый доступ попали сканы анализов и договоров. В конце марта 2024 года в открытый доступ выложили данные полумиллиона клиентов «‎СитиМед».

Хакеры ломают все, что плохо лежит, чтобы вымогать деньги, а содержание базы их может вообще не интересовать. Как правило, охотятся на обычные персональные данные — ФИО, номер телефона, серия и номер паспорта, а не специальные, как история болезни и результаты анализов. Тем не менее, тема здоровья для многих людей очень чувствительная, и обнародование таких показателей имеет несколько серьезных последствий:

— доксинг людей из утекшей базы. Сталкеры могут воспользоваться случаем и отыскать жертву в выложенных файлах, чтобы потом распространить информацию о ее заболеваниях в соцсетях или по знакомым.

— навязчивая реклама препаратов, оборудования и тд. Недобросовестные производители пользуются сливами для рассылки маркетинговых предложений.

— риск последующих мошенничеств с использованием утекших данных. Например, фишинговые письма с предложением пройти обследование.

— неэтичные исследования. Компании-конкуренты или исследовательские центры могут анализировать неправомерно полученные данные для своих коммерческий целей.

Заодно хакеры похищают данные автоматизированных информационных систем для нанесения экономического ущерба и последующего контроля организации.

Почему медданные утекают

С марта 2022 года 15% всех кибер-инцидентов пришлось на сферу здравоохранения — больше пришлось только на госсектор. Большинство взломов случались из-за вредоносного программного обеспечения, в частности, шифровальщиков, и методов социальной инженерии. Уровень защиты медицинских организаций часто ниже, чем у банков и корпораций, и взломать их проще. При этом по отношению к учреждениям здравоохранения государство устанавливает не менее жесткие требования по безопасности. Иногда злоумышленники прицельно атакуют больницы и лаборатории: это производит более сильный эффект на общество и власти, чем атака на те же банки.

Две трети российских компаний испытывают нехватку специалистов по кибербезопасности, а в сфере здравоохранения эта проблема стоит еще более остро. Дефицит айтишников связан, в том числе, с отъездом квалифицированных кадров из-за полномасштабной войны и мобилизации. Кроме этого, влияет и уход иностранных разработчиков ПО. Качество российских систем защиты информации, как правило, ниже. Однако, в сфере здравоохранения все равно разрешено использовать только отечественные решения.

Операторами информационных систем здравоохранения являются органы исполнительной власти субъекта. Обычно это региональные минздравы. Кроме того, собирать, хранить и обрабатывать данные могут организации, назначенные этими органами и аккредитованные ФСБ. Так, одна из самых распространенных медицинских систем разработана «‎РТ МИС», дочкой «‎Ростелекома». Есть предложения для частных клиник, но в любом случае средства для защиты информации в системах должны пройти сертификацию ФСБ или ФСТЭК (Федеральной службы по техническому и экспортному контролю).

Ужесточение законов

«Идея ЕГИСЗ (Единой государственной информационной системы в сфере здравоохранения — прим. ред.) — создание единой электронной медицинской карты пациентов, в которой будут отмечены все посещения государственных мед.учреждений» — делится сотрудник компании-дистрибьютора лекарственных средств, пожелавший сохранить анонимность. — «А основная идея бесшовной интеграции данных между ЕГИСЗ и органами исполнительной власти — это связать социалку и здравоохранение. Например, чтобы человек, которому выставили категорию инвалидности, без всяких справок мог попасть в Пенсионный фонд, куда его медицинские данные уже упали. Естественно, с Реестром военнообязанных государство решило подтягивать из ЕГИСЗ данные о здоровье призывников».

По закону, медицинские организации являются операторами персональных данных. Также они являются субъектами критической информационной инфраструктуры, то есть, государство уделяет особое внимание их безопасности в случае хакерских атак. Все медорганизации должны исполнять требования РКН, ФСТЭК, ФСБ и Минздрава.

В 2022 году государственные органы резко озаботились вопросами персональных данных и информационной безопасности. Было принято сразу несколько новых правовых актов и внесены изменения в старые. Хотя на данный момент нет единого закона, который бы регламентировал политику инфобезопасности медорганизаций от начала и до конца, основными документами можно считать Концепцию информационной безопасности в сфере здравоохранения 2022 года, Указ президента № 250 и Постановление о единой государственной информационной системе в сфере здравоохранения. В числе их требований — создание подразделений по информационной безопасности, сотрудничество с системой обнаружения компьютерных атак (ГосСОПКОЙ), предоставление сведений о врачах и пациентах федеральным органам исполнительной власти через единые регистры. Правда, сведения о медработниках, связанных с военной службой, запрещено размещать в подобных регистрах.

Альтернативные решения

Даже если сконцентрировать все ресурсы на безопасности медицинских данных, это не будет гарантировать эффективное обращение с ними. Amazon HealthLake, сервис для поставщиков медуслуг, страховых и фармкомпаний, предназначен, в первую очередь, для преобразования и анализа данных. Он использует обработку естественного языка (NLP), чтобы извлечь содержательную информацию из записок врача, рецептов и лабораторных анализов. Получив данные, система структурирует их и запускает модели машинного обучения, так что разработчики могут анализировать их на глубоком уровне и прогнозировать динамику заболевания. HealthLake шифрует данные с помощью ключей, управляемых клиентом (это дополнительный уровень защиты), соответствует требованиям GDPR и национального регулятора.

К сожалению, мало что можно посоветовать, кроме как не оставлять лабораториям и поликлиникам свои номер телефона и почту, которые регулярно используете. Если после взлома банковской системы можно заказать перевыпуск карты и сменить пароли в приложении, то после взлома медицинского учреждения заказать новые сведения о здоровье нельзя.