30 июня 2015, 11:18 X 4457 K 0

«Кража личности» — словосочетание непривычное для российского уха. Это в других странах, раньше имплементировавших многочисленные ИТ-системы в повседневную жизнь государственных и частных учреждений, кража личности является одним из наиболее распространенных преступлений. Однако с развитием информационного общества все чаще с кражей личности сталкиваются и граждане России. А сведения о пациентах все чаще утекают из лечебно-профилактических учреждний (ЛПУ). Сергей Кораблев, независимый эксперт по информационной безопасности, рассказывает, почему медицинские организации на протяжении последних лет находятся в числе лидеров по утечкам персональных данных, и чем это чревато для пациентов.

Удручающая статистика

Согласно исследованию, проведенному Medical Identity Fraud Alliance и Ponemon Institute, 68% пациентов считают, что ЛПУ не защищают их персональные данные должным образом. И не зря — по статистике российского аналитического центра Zecurion Analytics, медучреждения по итогам 2014 года вошли в тройку самых уязвимых с точки зрения утечек информации отраслей. Больше только у традиционно «текучих» госструктур и в розничной торговле.

Чтобы понять масштаб проблемы, приведем другие статистические данные. В США в 2014 году от кражи личности пострадали 12,7 млн человек, а общий ущерб составил около $16 млрд. Это данные Javelin Strategy & Research, опубликованные в исследовании 2015 Identity Fraud Study.

Здесь следует пояснить, что кража личности — это когда человек выдает себя за другого с целью получения финансовой выгоды или каких-либо благ (товаров или услуг). При этом информация, которая утекает из медучреждений, не всегда приводит к краже личности. Для полноценной кражи личности часто нужны достаточно подробные сведения о человеке, за которого себя будет выдавать мошенник. Однако современные киберпреступники научились максимально полно использовать имеющуюся в их распоряжении информацию. В ход идут не только технические средства (специальные сервисы, вредоносный код, хакерские программы), но и психологические приемы, инструменты социальной инженерии. Вкупе с информацией, которую сами люди публикуют в открытых источниках (например, в социальных сетях), этого бывает достаточно для кражи личности.

«Медучреждения по итогам 2014 года вошли в тройку самых уязвимых с точки зрения утечек информации отраслей».

В свою очередь последствия кражи личности не всегда ограничиваются лишь финансовым ущербом. Так, респонденты исследования Medical Identity Theft Alliance указывают, что среди наиболее серьезных последствий — негативное влияние на репутацию людей, чья информация оказалась скомпрометированной. Сразу 89% пострадавших от кражи личности отметили дискомфорт из-за того, что публикуются деликатные подробности об их здоровье, 19% респондентов считает, что раскрытие информации негативно скажется на их карьерных перспективах, а 3% и вовсе опасаются, что им придется уйти с текущего места работы.

Удар по ЛПУ

Чревата утечка и для самих ЛПУ. 48% респондентов уже упомянутого исследования Medical Identity Fraud Alliance и Ponemon Institute готовы сменить ЛПУ, если оно допустит утечку медицинских сведений. Хотя эта статистика собрана в США, проблем со сменой ЛПУ не должно возникнуть и у российских пациентов.

Безусловно, есть объективные сложности, связанные с оказанием медицинских услуг не по месту жительства, и большинство россиян предпочитает обслуживаться в привычных поликлиниках по месту регистрации или по месту фактического жительства, если оно достаточно удалено. Очень редко выбор определяется другими соображениями.

Тем не менее, российским ЛПУ, особенно работающим в сфере ДМС, необходимо держать упомянутую американскую статистику в уме. Испорченная репутация и отток пациентов — вряд ли тот эффект, к которому они стремятся.

Несмотря на то, что за информацией охотятся и профессиональные киберпреступники (на черном рынке стоимость медицинских сведений примерно в 10 раз выше цены за финансовую информацию (номера счетов, кредитных карт, проводки и так далее)), в большинстве случаев в утечки происходят при непосредственном участии сотрудников ЛПУ, по злому умыслу или халатности. Из громких инцидентов можно вспомнить историю лета 2014 года, когда сотрудник швейцарской скорой помощи пытался продать СМИ информацию из медицинской карты известного автогонщика Михаэля Шумахера за 50 тыс. евро.

Известны и случаи халатного отношения. Так, из личного блога одного из пациентов сыктывкарской больницы выяснилось, что в ЛПУ повторно использовались больничные бланки с персональными данными пациентов, датами рождения, номерами паспортов, СНИЛС, домашними адресами и прочей чувствительной информацией. Это тот случай, когда по сути копеечная экономия может привести к серьезным неприятным последствиям, в том числе и для ЛПУ (включая проверки, штрафы и предписания).

Главные жертвы хакеров и утечек

Для мошенников ценность любой информации определяется тем, сколько за нее можно выручить денег. А схем монетизации данных о пациентах существует немало. Во-первых, информацию можно перепродать, как в исходном виде, так и собранные в базы. Во-вторых, пациентов (прежде всего тех, кто застрахован по программе ДМС) можно переманить на обслуживание у другие ЛПУ. В-третьих, можно получать деньги непосредственно с самих пациентов.

«На черном рынке стоимость медицинских сведений примерно в 10 раз выше цены за финансовую информацию (номера счетов, кредитных карт, проводки и так далее)».

«К сожалению, используемые схемы максимально просты и циничны, — рассказывает Владимир Ульянов, руководитель Zecurion Analytics. — Если говорить языком информационной безопасности, злоумышленники прибегают к помощи социальной инженерии, но по сути это мошенничество в чистом виде. Приходят домой к пожилым пациентам и продают различные препараты (хорошо, если безвредные пустышки) до тех пор, пока бабушки и дедушки не снимут „со сберкнижки“ последние сбережения. Продавая „лекарства“ и чудо-приборы за огромные деньги (тысячи и десятки тысяч рублей — в зависимости от финансовых возможностей жертвы), мошенники непременно обещают излечение от всех болезней. Параллельно в ход пускаются незатейливые методы манипулирования. Например, описывают последствия, что будет, если не купить лекарство — на пожилых людях такие уловки работают „на ура“. Соответственно, для реализации подобных схем достаточно общей информации, адреса проживания и имени-отчества. Остальную информацию можно выведать у самой жертвы. Если при этом еще известна история болезни (а конкретно хронические заболевания и последние обращения), имеется любая дополнительная информация — задача мошенников упрощается».

Неужели медучреждения и их пациенты беззащитны перед современными информационными угрозами? С одной стороны, методы хакеров и злоумышленников постоянно совершенствуются и, к сожалению, в большинстве случае, опережают средства защиты. С другой стороны, осознавая стоящую перед ними проблему, ЛПУ стремятся ее решить. Так, по данным исследования ABI Research, к 2020 году ежегодные расходы на защиту медицинской информации должны составить около $10 млрд. Но в настоящий момент учреждения сферы здравоохранения остаются уязвимыми перед кибератаками и утечками данных.

В России Минздравсоцразвития еще в 2009 году издало приказ № 205 «Об утверждении Единого квалификационного справочника должностей руководителей», в котором появились квалификационные характеристики для должностей руководителей и специалистов по обеспечению безопасности информации, что создало условия для привлечения квалифицированных кадров и решения важных вопросов защиты информации.

Вместо заключения

Тем не менее, до сих пор более актуальными задачами, применительно к новым ИТ-системам в здравоохранении в России, являются обеспечение необходимого функционала и обучение персонала работе с новыми системами. В результате сами системы оказываются крайне уязвимы. Вопросам защиты данных в них не уделяется ровно никакого внимания. Как отмечают эксперты Zecurion Analytics, ситуация вряд ли могла быть иной на данном этапе развития медицинских информационных систем. «В условиях, когда необходимо автоматизировать деятельность учреждений, большинство сотрудников которых отродясь не видело компьютеров, задача упрощается максимально, — считает Владимир Ульянов, руководитель аналитического центра Zecurion. — Те же тренинги по вопросам информационной безопасности надо проводить с более или менее квалифицированными (умеющими работать за компьютером) сотрудниками. Но сегодня важнее просто научить персонал работать с мышью и клавиатурой, познакомить с интерфейсом программ, показать, как выполнять основные функции. Соответственно, фокус делается на ликвидации компьютерной безграмотности, но не вопросах защиты информации».

«Продавая „лекарства“ и чудо-приборы за огромные деньги, мошенники непременно обещают излечение от всех болезней».

Да и сами ИТ-системы все еще относительно сыры и оторваны от задач информационной безопасности. Вряд ли аспекты информационной безопасности, разграничения доступа учитывались при разработке систем. И вопросы защиты информации, персональных данных в используемых ИТ-системах в лучшем случае станут актуальны спустя пару лет после успешного освоения этих самых систем.

Фото с сайта muz4in.net