Утечки и взломы становятся для всех сфер бизнеса и медицины, в частности, всё более актуальной проблемой. Как защитить свои ресурсы, информационные системы и сотрудников рассказываем в материале.
Количество утечек, зафиксированных в медучреждениях, стабильно растет с 2016 года.
- Одна из крупнейших утечек данных в здравоохранении затронула 2,3 млн пациентов Medical Management Resource Group в конце 2023 года.
- В 2024 году самые крупные утечки были в США у провайдера медицинских сберегательных счетов HealthEquity (коснулось 4,3 млн человек), в Австралии у поставщика медицинских рецептов MediSecure (12,9 млн человек), а также в Великобритании у лаборатории Synnovis и др.
В параллель частоте и периодичности таких инцидентов или намеренных преступлений растут не только репутационные издержки, но и «чек» штрафа.
-
Американская сеть клиник Sentara за рассылку по неверным адресам 577 писем с персональными данными пациентов и несвоевременное уведомление регулятора об утечке данных выплатила $2,175 млн (2019 год).
-
По данным IBM/ Statista, средняя стоимость утечки медицинских данных по всему миру составила $4,8–9,7 млн в 2024 году.
«Это у них», — скажете вы. А у нас?
Пока нарушения относительно скромного масштаба: в 2024 году у сети «АптекаПлюс» утекли имена покупателей, адреса электронной почты, телефоны и даты заказов 2–4,5 млн человек.
Однако через полгода в России начнет действовать новая редакция закона о защите персональных данных (ПД) от незаконного использования.
Какие санкции и новшества нас ожидают
В ноябре 2024 года Госдума РФ приняла сразу три законопроекта (к 152-ФЗ), направленных на защиту персональных данных от незаконного использования. Поправки вступят в силу в мае 2025 года.
Административные штрафы за незаконную обработку ПД увеличатся, при повторном нарушении они составят:
- для граждан — от 30 до 600 тыс. руб.,
- для должностных лиц — от 200 тыс. руб. до 1,2 млн руб.,
- для юрлиц и ИП — от 500 тыс. руб. до суммы, составляющей от 1% до 3% годовой выручки предприятия (оборотные штрафы).
Уголовная ответственность будет введена за утечку ПД несовершеннолетних, специальной информации (раса, национальность, состояние здоровья) и биометрических данных:
- штраф до 700 тыс. руб., принудительные работы до 5 лет или лишение свободы на тот же срок
- при корыстной заинтересованности штраф увеличивается до 1 млн руб., принудительные работы до 5 лет, лишение свободы до 6 лет
- при утечке данных за границу — лишение свободы до 8 лет, при тяжких последствиях — до 10 лет.
Штрафы за неуведомление Роскомнадзора:
-
для ИП и любых юрлиц, кроме НКО ─ от 1 до 3 млн руб.
Почему для медицины всё так жестко
В бизнесе по-настоящему злонамеренного нарушителя интересуют действительно ценные сведения — коммерческая тайна компании. Но почему проблема доступа к данным так актуальна для здравоохранения?
Медики получают и хранят конфиденциальную информацию о тысячах пациентов. Ее утечка ─ гигантский объем компромата: имена и фамилии людей, данные о заболеваниях, назначения врачей, страховые номера, реквизиты платежных карт и др. Такая персонифицированная информация легко поддается машинной обработке ─ пользовательские данные без особых проблем выявляются в потоке других данных.
С развитием цифровизации у всех медицинских центров «чувствительная информация» хранится в специальных информационных системах, доступы к которым есть у сотрудников. Поэтому необходимо обеспечить защиту приватных данных — паролей и доступов к конфиденциальной информации.
Где и как хранить пароли медикам?
Минимальный блиц-опрос показывает, абсолютное большинство из нас использует 5 привычных способов хранения паролей: в файлах, браузере, «заметках» в телефоне, на бумаге и даже — в памяти.
Зато периодически «гуглим»: как правильно хранить пароли? когда менять пароли?
И да, ответ вас удивит: сотрудникам (пользователям) правильно вообще не хранить у себя пароли к корпоративным информационным системам.
В медицинском центре много систем, к которым нужны пароли: МИС, личные кабинеты страховых компаний, 1С, лабораторий. В небольшом медцентре может быть больше 100 учётных записей.
Очень простая идея: если у вас этого нет, оно не может быть украдено или взломано. Хорошая новость в том, что выход и рецепт есть!
Один из способов защиты — надежное управление паролями в медицинской организации
Менеджер паролей — это программа, которая наводит порядок в любой организации. Помогает руководителю установить правила работы с конфиденциальной информацией и зоны ответственности. Согласитесь в медицинском центре они принципиально разные на ресепшене, у докторов и у директора клиники.
Уже есть надежные российские разработки, которые предлагают до 10 степеней защиты, а также встроенные генераторы паролей (они создают комбинации как минимум из 14 символов), аудит паролей, плагин под браузеры, а главное шифрование. В случае кражи или утечки только зашифрованные данные останутся недоступны для прочтения.
Кому, когда и как поменять пароль
Невероятно, но факт: более половины всех утечек происходят не из-за действий злоумышленников и хакеров, а из-за ошибок или намеренных действий сотрудников (со стороны топ-менеджеров — до 80%, рядовых ─ до 35%) или операторов информации.
Утечки персональных данных, наоборот, большей частью случайны, но масштаб катастрофы и репутационные издержки для медорганизации явно больше.
Менеджер паролей дает возможность ранжировать доступы среди сотрудников: у врача, администратора и бухгалтера они будут разными. При этом собственник будет владеть паролями и данными, а остальные пользоваться предоставленными доступами пока работают.
Вам «облако» или «коробочку»?
Для компаний разработчики менеджера паролей, как правило, предлагают — «облако» или «коробку».
«Облачное» хранение идеально подойдет для тех, у кого нет собственных IТ-специалистов, а «коробка» — для клиник, где есть IТ-служба. Для небольшого медицинского центра «облачный» менеджер паролей точно не потребует высокооплачиваемых «айтишников“ и специальных знаний», — отмечает CEO TeamDo Анна Крампец.
Никто из нас не станет спорить, что работа доктора и медсестры сложна и без проблем с безопасностью в интернете. Но сегодня её азы необходимы.