Выжать любой ценой: медицинская отрасль лидирует по утечкам данных
Почти две трети медицинских организаций столкнулись с утечкой данных. Половина из них скрывает факт происшествия. Это показали результаты исследования, проведенного специалистами по кибербезопасности компании «СёрчИнформ». Эксперты считают, что проблема заключается в нехватке квалифицированных кадров и слабой цифровой грамотности персонала. В Минздраве «Известиям» заявили, что не готовы прокомментировать результаты опроса, но сообщили, что в сфере здравоохранения применяются сертифицированные средства защиты электронных данных. Однако большинство опрошенных представителей медучреждений сообщили, что виновниками инцидентов стали собственные сотрудники. Ситуация усугубляется нежеланием руководителей организаций обращаться в суд.
Здоровье в цене
Компания «СёрчИнформ» подвела итоги ежегодного исследования информационной безопасности в российских организациях. В анонимном опросе участвовали более тысячи руководителей и сотрудников подразделений, которые отвечают за защиту от утечек данных.
Работа затронула область IT, нефтегазовый сектор, промышленность и транспорт, кредитно-финансовую сферу, ритейл, здравоохранение и другие отрасли. Выяснилось, что больше всего проблем с утечками информации в 2019 году испытывали медицинские учреждения: 69% организаций. К иным инцидентам относились саботаж, промышленный шпионаж в пользу конкурентов и попытки заработать на откатах.
Личную информацию потеряли 42% компаний, столкнувшихся с происшествиями в области информационной безопасности. Примечательно также, что 57% участников исследования — представители госсектора. Круг злоумышленников, которым интересны данные из медицинских компаний, очень широк — от маркетологов до страховщиков.
— Медицинские данные могут использоваться для шантажа и манипуляций больными людьми, покупки лекарств третьими лицами или рекламы низкокачественных препаратов, — отметил заведующий кафедрой «Интеллектуальные системы информационной безопасности» МИРЭА, доцент Шамиль Магомедов. — К тому же информация может быть не только украдена, но и утеряна. Так часто бывает в случае атак «вирусов-вымогателей», зачастую нацеленных именно на медицинские учреждения, которые не могут функционировать без доступа к картотеке пациентов.
Враг среди нас
Больницы и поликлиники часто становятся легкой мишенью для хакеров. Причем происходит это не из-за плохой технической оснащенности. Главная проблема заключается в подготовке кадров. Эксплуатируют сложное техническое ПО, как правило, не специалисты по информационной безопасности, а обычные врачи. 64% опрошенных были уверены, что к инцидентам чаще приводят действия собственных сотрудников.
— В любой больнице можно встретить медсестринский пост с незаблокированным компьютером и открытой картой пациента на экране, — рассказал председатель совета директоров «СёрчИнформ» Лев Матвеев. — Медицинских работников винить сложно, проблема в том, что никто не объясняет им, как опасна может быть халатность, когда речь идет о важных данных. Пока ситуацию во многих российских медицинских организациях, как это ни парадоксально, спасает низкий уровень цифровизации.
По словам руководителя направления аналитики и спецпроектов ГК InfoWatch Андрея Арсетьева, в российской медицине уровень информатизации пока не очень высок — значительная часть данных до сих пор передается на бумажных носителях.
— Отсюда особая структура утечек из системы здравоохранения — пояснил он. — По нашим сведениям, более 35% зарегистрированных утечек произошло именно через бумажные документы. И, на мой взгляд, низкий уровень информатизации в медицине можно считать скорее плюсом в сложившихся условиях — потому что развитие цифровых хранилищ потребует эволюции информационной безопасности.
В качестве примера такой халатности можно привести случай, произошедший весной прошлого года. На свалке в Ростовской области нашли тысячи копий медицинских и личных документов из Багаевской ЦРБ — внутренних распоряжений, приказов местного минздрава, паспортов, СНИЛС и страховых полисов. Из сканов можно было узнать диагнозы пациентов и подробности их заболевания.
Преступление без наказания
В других случаях слив данных происходит намеренно. Так, в конце 2018 года в Башкирии чиновницу минздрава уличили в продаже персональной информации пациентов. Предположительно, она передавала информацию фармкомпаниям, интересы которых лоббировала. Эти сведения помогали им выигрывать госконтракты на поставку дорогостоящих препаратов.
В марте 2019 года в открытом доступе была обнаружена медицинская база данных пациентов скорой помощи нескольких подмосковных городов. Из нее можно было узнать имена, адреса и телефоны, а также состояние здоровья обратившихся к врачам людей. База находилась практически в открытом доступе на серверах MongoDB (система управления базами данных) и не требовала авторизации или других настроек безопасности. Ее распространение приписывают группе украинских хактивистов.
— Мы не ведем статистику по утечкам, но можем подтвердить, что взлом компьютерных систем медицинских учреждений чреват довольно серьезной угрозой — потерей персональных данных, включая диагноз пациента, — сообщил руководитель департамента системных решений Group-IB Антон Фишман. — Они представляют собой наиболее критичный тип персональных сведений. Факт использования системы, в которой все данные открыты и хранятся не в России, показывает, что и ее разработка, и приемка не учитывала требования законодательства.
Лишь 12% компаний обращаются в суд, чтобы наказать сотрудников, уличенных в сливе информации. Однако в здравоохранении ситуация выглядит еще хуже: никто из опрошенных с исками на нарушителей не обращался. Более того, в четверти случаев никаких санкций к преступникам не применялось, а в половине организаций сообщили, что вообще скрывают факт инцидента.
— Если данные по сливам из банков попадают в СМИ и получают общественную оценку, то медицинские утечки, как правило, остаются в тени, — сообщил Лев Матвеев. — Таким образом, пациенты просто не знают, что могут стать жертвой мошенника.
Дальше — хуже
По словам Шамиля Магомедова, проблема отчасти заключается в отсутствии грамотных правовых распоряжений в области защиты данных.
— Законодательно российские медицинские учреждения не обязаны защищать данные и проектировать свою инфраструктуру таким образом, чтобы она максимально обеспечивала безопасность обрабатываемой информации, — рассказал эксперт. — Соответствующие документы есть — например, постановление «О единой государственной информационной системе в сфере здравоохранения». Проблема в том, что в них не прописаны конкретные меры и регламент действий.
В Минздраве «Известиям» сообщили, что не готовы прокомментировать итоги исследования. Однако заявили, что предусмотрена система технических, организационных и других мер, направленных на обеспечение информационной безопасности, в соответствии с требованиями действующего законодательства Российской Федерации и нормативных документов ФСБ и ФСТЭК. Для обеспечения безопасности сведений в сфере здравоохранения применяют сертифицированные средства защиты. Передача данных ограниченного доступа осуществляется с применением средств криптографической защиты информации, сертифицированных ФСБ.
По заключению авторов исследования, проблем с утечками данных в медицинских организациях скоро станет еще больше. Россия приближается к ситуации, сложившейся в данной сфере в США и Европе. Там в 2017 году количество утечек информации в здравоохранении было самым высоким по сравнению с остальными секторами (данные Breach Level Index). Зарубежные цифры говорят, что в даркнете предлагаемая стоимость сведений об одном конкретном пациенте доходит до $1 тыс. и до $500 тыс. за электронную базу медицинских данных.