Пока инциденты безопасности в российской медицине случаются точечно и имеют особый колорит. Медицинская документация в основном ведется в бумажном виде. Поэтому, в отличие от зарубежных стран, данные пациентов почти не появляются в сети, отмечают эксперты.
Так, среди всех громких ИБ-инцидентов в медицине за полгода только один связан с утечкой базы данных, хотя в ЕС и США – это «классика жанра». На одном из файлообменников нашлась база данных скорых в Мытищах, Дмитрове, Долгопрудном, Королеве и Балашихе. Документ содержал имена, адреса, телефоны пациентов и сведения об их здоровье. Утечку расследует Роскомнадзор.
В то же время, с января по июнь в разных частях страны обнаружили сразу несколько свалок с документами из медучреждений. На свалке в Ростовской области нашли тысячи копий медицинских и личных документов из Багаевской ЦРБ – внутренних распоряжений, приказов местного минздрава, паспортов, СНИЛС и страховых полисов. Из сканов можно было узнать диагнозы пациентов больницы и обстоятельства, при которых они получили травмы. За инцидент ответила статистик ЦРБ – она признала вину и уволилась.
В Татарстане нарушили сразу две нормы закона – в неположенном месте выбросили строительный мусор, среди которого были и медицинские карточки с историями болезней. Предположительно, документы вынесли из лечебно-профилактического учреждения Альметьевска, где шел капитальный ремонт. О том, ответил ли кто-нибудь за утечку ПДн, медиа не писали.
Вторая категория утечек связана с медиками из группы риска «Болтуны». Заместителя главврача Можгинской районной больницы в Удмуртии наказали штрафом в 4 тыс. рублей за разглашение диагноза пациентки ее работодателю. Такую же сумму за передачу данных о пациенте судебным приставам заплатит руководитель поликлиники в Санкт-Петербурге.
Более серьезное наказание получила практикантка Красноярской больницы скорой медпомощи. За публикацию чужой истории болезни в сети ей пришлось заплатить 50 тыс. рублей. Такую сумму запросил потерпевший в качестве компенсации морального вреда.
Промахи в деле защиты медицинской информации допускали не только врачи, но и чиновники. Управление здравоохранения Липецкой области выложило на сайт госзакупок тендерные документы с конфиденциальными сведениями о пациентах – ФИО, адреса, диагнозы. Трое виновных сотрудников получили разные наказания – от предупреждения до увольнения.
По мнению руководителя отдела аналитики «СёрчИнформ» Алексея Парфентьева, цифровизация российской медицины станет вызовом информационной безопасности во всей отрасли. Большинство медицинских утечек в России связано именно с бумагой, потому что цифровизация в отрасли только началась. В западноевропейских странах и США она идет давно, и создает проблемы, которые нам только предстоят. Утечки баз данных пациентов – обычная история для зарубежных медорганизаций.
Слабое финансирование заставляет медиков использовать для хранения оцифрованных данных бесплатные сервисы. Популярные облачные сервисы имеют достаточный уровень защиты, который хорошо работает только при должной настройке. Однако хранение данных на многих популярных сервисах даже при грамотной настройке идет вразрез с российским законодательством: 152-й ФЗ требует хранить персданные россиян исключительно на территории РФ.
Многие учреждения создают собственные хранилища и веб-сервисы, однако недостаток финансирования приводит к построению таких сервисов на базе свободно распространяемых компонентов. Они бесплатны, но и безопасность данных никто не гарантирует – решение поставляется «как есть» без какой-либо поддержки. Одним из таких популярных компонентов является ElasticSearch (движок контентного поиска для веб-сайтов). Но его использование небезопасно, как можно судить по новостям. Например, одна из крупных утечек случилась в ноябре прошлого года, когда на открытом сервере ElasticSearch нашли персданные 57 млн американцев.
Подход «бесплатно или почти бесплатно» для медучреждений России противопоказан. Если пустить ситуацию на самотек, то потенциально после цифровизации есть риск получить такую же картину, как на Западе или даже хуже. Уже сейчас можно видеть, что инциденты в информационной безопасности зависят в первую очередь от людей, а не от технологий. Технологии сделают утечки масштабнее. Поэтому в бюджет на цифровизацию важно заложить закрытие человеческих рисков.