Витоку даних в сфері охорони здоров'я: нова чума

Служби ІТ-безпеки в галузі охорони здоров'я стикаються зі зростаючими труднощами. 2015 рік виявився настільки поганим з точки зору захисту даних пацієнтів, що Управління по цивільних прав при Міністерстві охорони здоров'я і соціального забезпечення США почало публікувати інформацію про втрату даних у галузі охорони здоров'я на так званій «Стіні ганьби». Тільки торік було зафіксовано 253 витоку в галузі охорони здоров'я, кожна з яких торкалася як мінімум 500 окремих осіб і в результаті яких було втрачено в загальній складності понад 112 мільйонів записів даних. Крім того, була зафіксована найбільша витік даних в галузі охорони здоров'я за всю історію – в результаті цієї витоку, медична страхова компанія Anthem втратила 78,8 мільйонів записів персональної інформації пацієнтів, і ще від 8,8 до 18,8 мільйонів записів, що не відносяться до пацієнтів.



Що стосується ситуації в 2016 році, то нам ще треба дочекатися її закінчення, але згідно з прогнозом підрозділу Health Insights дослідницької фірми IDC, в цьому році жертвою витоків даних може стати кожен третій пацієнт. В минулому році найбільшу кількість всіх витоків класифікувалося як «отримання несанкціонованого доступу або незаконне розголошення інформації», однак 90% з десяти найбільших витоків були визнані «зломом / інцидентом в області ІТ — безпеки». Поки що, у 2016 році ми спостерігаємо появу іншої тенденції – і в число основних загроз тепер входять інциденти, пов'язані з викраденими або втраченими пристроями і з неправильною утилізацією архівної документації. Ось три найбільших інциденту цього року, належать до цієї зростаючої категорії (станом на поточний момент):

  • Community Mercy Health Partners
    Що сталося: Паперова документація була знайдена в сміттєвому баку
    Кількість постраждалих користувачів: 113 000

  • Premier Healthcare, LLC
    Що сталося: Були викрадені ноутбуки із закритого, що охороняється адміністративного офісу (ноутбуки були захищені тільки паролями, а інформація зберігалася в незашифрованому вигляді).
    Кількість постраждалих користувачів: 205 000

  • Radiology Regional Center, PA
    Що сталося: Записи на паперових носіях були втрачені по шляху до сміттєспалювального заводу.
    Кількість постраждалих користувачів: 483 000
Оскільки такі великі витоку сьогодні відбуваються все частіше, а виявляти ці інциденти і протидіяти їм стає все складніше, організації охорони здоров'я заробляють собі погану репутацію через недостатньо оперативне впровадження технологій ІТ-безпеки. Як правило, це обумовлено тим, що організації в області охорони здоров'я не отримують достатнього фінансування на поліпшення інфраструктури безпеки, оскільки проблеми кібербезпеки, на жаль, не є основним пріоритетом у виконавчого керівництва цих організацій. З іншого боку, зловмисники прекрасно розуміють, що такі організації являють собою легкі мішені, а користувальницькі дані в них слабо захищені.

Однак, є і позитивні приклади. Так, служба охорони здоров'я Fraser Health Authority з Британської Колумбії (Канада) помітно відрізняється від традиційних організацій галузі охорони здоров'я. Завдяки далекоглядним діям керівництва тут була впроваджена система аутентифікації на базі сертифікатів. Всім 26000 співробітникам і 2500 лікарям були видані смарт-карти. За рахунок цього Fraser змогла не тільки значно підвищити рівень безпеки, але і добилася низки інших переваг, у тому числі, зниження операційних витрат, підвищення трудової дисципліни працівників та поліпшення якості обслуговування пацієнтів. Fraser є прекрасним прикладом того, як впровадження надійних протоколів безпеки не тільки не завадило роботі співробітників, але і дозволило оптимізувати роботу застарілих систем.



Уразливості при роботі з медичними картами пацієнтів
Медичні карти пацієнтів є одним з найбільш цінних і ліквідних товарів для хакерів. На чорному ринку кіберзлочинці можуть отримати близько сотні доларів навіть за фрагмент електронної медичної картки. Для порівняння, вкрадений номер соціального страхування або дані кредитної картки на чорному ринку оцінюються приблизно в один долар. Причина, по якій медичні карти є настільки цінним товаром, полягають у тому, що ці карти містять у собі всю найважливішу інформацію, у тому числі номер соціального страхування, дату народження і т. д. Це дає змогу викрадачам завести нову кредитну картку або навіть виставляти рахунки страховим компаніям або державі за фіктивні медичні послуги.

Ще однією привабливою особливістю медичних карт, поряд з їх високої вуличної вартістю, є те, що вони не втрачають свою цінність і актуальність протягом дуже тривалого періоду часу. Якщо у випадку з фінансовою інформацією можливості по її використання закінчуються в той момент, коли жертві стає відомо про шахрайство, і відбувається анулювання кредитної карти або закриття банківського рахунку, то у випадку медичних записів інформація може бути доступною на чорному ринку протягом тривалого часу. І цю інформацію можна продати чи монетизувати різними способами, в тому числі за допомогою купівлі або продажу медичних препаратів суворої звітності або через шахрайські дії зі страховкою – і все це дійсно об'ємні ринки.

Висока цінність медичних карт пацієнтів є основною причиною, чому в галузі охорони здоров'я з'являється стільки шкідливих програм, що вимагають викупу (ransomware). Програми-викрадачі, що кодують мережеві дані і вимагають готівку за ключі для їх розкодування, володіють вираженим деструктивним характером, особливо у сфері охорони здоров'я, де час, часом, відіграє особливе значення. Згідно з недавнім опитуванням Quick HIT Survey, проведеного агентствами Healthcare IT News і HIMSS Analytics, близько 75% всіх американських лікарень, які брали участь в опитуванні, могли постраждати від таких шкідливих програм в 2015 році.

Проблеми забезпечення безпеки в галузі охорони здоров'я викликають все більше занепокоєння, особливо з урахуванням того, що в найближчі роки очікується збільшення числа витоків даних. Вже давно вважається, що з точки зору питань безпеки галузь охорони здоров'я залишається позаду решти світу. Фактично, багато організації у сфері охорони здоров'я обмежуються лише тим, що виконують вимоги деколи застарілих нормативних актів.

Згідно з дослідженням проблем ІТ-безпеки та управління ризиками, проведеним HIMSS Analytics в 2016 році, лише чверть респондентів реалізують у своїх організаціях узгоджену й однакову програму для активного управління ризиками, і найчастіше компанії Старого світу випереджають у цьому своїх заокеанських візаві.

Зокрема, нідерландський госпіталь Albert Schweitzer Ziekenhuis (ASZ) кожен рік обслуговує більше 500 тисяч пацієнтів в своїй головній лікарні і системі поліклінік. Ця лікарня є хорошим прикладом організації, в якій успішно поєднується високий рівень безпеки та зручність для пацієнтів. В лікарні працює понад 4000 співробітників, і ASZ використовує систему одноразових токенів і хмарний сервер аутентифікації. Це гарантує високий рівень безпеки інформації про пацієнтів, але при цьому забезпечує лікуючим лікарям і середньому медичному персоналу доступ до необхідної медичної інформації, де б вони не знаходилися – в будівлі лікарні, або за його межами.

Швеція – ще одна країна з досить прогресивними технологіями, що забезпечують безпеку та збереження конфіденційності медичних карт пацієнтів. Тут діє ініціатива SITHS, в рамках якої для ідентифікації працівників системи охорони здоров'я і соціальних служб використовуються смарт-картки, а належний рівень безпеки досягається за рахунок використання логінів і цифрових підписів. Ключова вимога системи полягає в тому, щоб забезпечити високий рівень захисту цифрових облікових записів практикуючих лікарів за рахунок технологій двофакторної аутентифікації на базі смарт-карт, завдяки чому підвищується безпека пацієнтів і забезпечується захист їхніх персональних даних. Співробітники організацій зі сфери охорони здоров'я використовують свої карти SITHS для доступу до загальнонаціонального порталу National Patient Overview, в якому в онлайн-режимі зберігається вся інформація про пацієнтів. В даний час 100% всієї документації при здійсненні первинної медичної допомоги зберігається у вигляді електронних медичних карт (Electronic Healthcare Records, EHR). Крім того, понад 95% усіх виписаних в Швеції рецептів передаються в електронному вигляді (ePrescriptions). Ознайомтеся з цифровими рішеннями, які використовуються у сфері охорони здоров'я у Швеції.



Захист мобільного доступу до медичних даними
Тепер, коли ми познайомилися з тим, яким чином можна електронними засобами захистити медичні карти пацієнтів, настав час розібратися з мобільними технологіями. Очікується, що до 2020 року смартфонами буде користуватися близько 70% населення світу, крім того, в експлуатації перебуватиме понад 1,2 млрд. планшетних пристроїв. Світ стає все більш взаємозалежним, в результаті чого все більше число важливих транзакцій і все більша частка інформаційного взаємодії тепер припадають вже не на традиційний паперовий документообіг, а на електронні транзакції. Все це справедливо і для галузі охорони здоров'я. Медичні карти пацієнтів зберігатимуться в електронному вигляді, і медичний персонал зможе використовувати планшетні пристрої для доступу до них. Такі рішення повинні будуть полегшити обхід пацієнтів у лікарняних палатах або надання медичної допомоги на дому.

Електронні посвідчення особи з аутентифікацією на базі сертифікатів відкритих ключів (PKI) як і раніше є одним з найбільш надійних методів забезпечити безпеку працівників сфери охорони здоров'я. Ці посвідчення дозволяють здійснювати логічну, фізичну і візуальну ідентифікацію особистості і гарантують захист конфіденційних даних пацієнтів від неавторизованого доступу. Крім того, фізично ці посвідчення можуть бути виконані таким чином, щоб реалізувати модель «follow me desktop» (інформація завжди зі мною), наприклад, медична організація Sunrise Health Region в Саскачевані (Канада) з успіхом впровадила подібне рішення. Тепер співробітникові досить вставити посвідчення в кард-рідер, щоб почати сесію і отримати можливість переглядати медичні записи пацієнта на екрані терміналу. Як тільки посвідчення виймається з рідера, сесія закривається, і інформація про пацієнта стає недоступною – у відповідності з міжнародними стандартами HIPAA, за яким залишення незахищеного паролем робочої станції без нагляду є порушенням.

Що ж відбувається у випадку мобільних пристроїв? Впровадження того ж самого рішення безпеки на планшетних пристроях і смартфонах, не володіють портом USB або слотами для читання смарт-карт, може виявитися вельми непростим завданням. Найчастіше щодо мобільних користувачів застосовувані стандарти безпеки не такі суворі, а деколи ними нехтують зовсім. Це пов'язано з тим, що на багатьох пристроях подібні рішення просто не працюють, а адже саме цього і не слід допускати, коли мова йде про конфіденційних медичних картах і про захист персональної інформації про стан здоров'я приватних осіб.

Технологія Bluetooth є єдиним комунікаційним каналом, який реалізований в самих різних кінцевих пристроях, тому дана технологія може використовуватися для аутентифікації майже на будь-якому пристрої. Наприклад, медпрацівник зможе просто «прив'язати» адаптер електронного посвідчення (badge holder) до свого мобільного пристрою – подібно до того, як ми прив'язуємо мобільний телефон до автомобіля. Завдяки MobilePKI, після встановлення такої прив'язки смарт-карта буде розпізнана і оброблена, як якщо б вона була вставлена в кард-рідер на ноутбуці.

Впровадивши Bluetooth рішення, організації сфери охорони здоров'я зможуть розширити можливості інструментів захисту на базі PKI, забезпечуючи лікуючим лікарям і середньому медичному персоналу додатковий ступінь свободи і можливість використовувати мобільні пристрої в будь-який час і в будь-якому місці. Крім додаткового, другого фактора аутентифікації PKI, Bluetooth дозволяє співробітникам цифровим способом підписувати важливі документи, наприклад, електронні рецепти ePrescriptions.

Адаптери електронних посвідчень і токени з використанням технології Bluetooth Low Energy являють собою цілком життєздатне рішення. Воно може бути з легкістю реалізовано організаціями охорони здоров'я та впроваджено в існуючу екосистему електронних посвідчень для досягнення необхідного балансу між забезпеченням безпеки і мобільності.

Таким чином, «вакцина» від «нової чуми», якої в останні роки став витік даних в галузі охорони здоров'я, близька до широкого використання.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.