В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Утечка информации – не просто неприятное событие. Это целый набор рисков: репутационных, финансовых, коммерческих и пр. Потеря контроля за собранными данными может повлиять на развитие компании и даже уничтожить ее репутацию. Понимая это, жертвы утечек, как правило, предпочитают скрыть обстоятельства, размер и сам факт произошедшего, всячески отрицая саму возможность того, что кому-то мог быть нанесен ущерб.
Медицинские данные включают в себя как стандартный набор персональной информации в виде ФИО, возраста, адреса регистрации и телефона, так и более конфиденциальные сведения – результаты анализов, поставленные диагнозы, проведенное лечение и назначенные лекарства.
Для кого-то утечка такой информации не является критичной, но есть категории пациентов и заболеваний, для которых огласка крайне нежелательна. Например, информация о тяжелой болезни известного человека может стать инфоповодом для привлечения внимания зрителей и рекламодателей, а сведения о том, что сотрудник или студент вуза болен ВИЧ или СПИДом, – поводом для преследования, увольнения или исключения.
В соответствии со ст. 13 Федерального закона № 323 "Об основах охраны здоровья граждан в Российской Федерации" врачи и медицинский персонал обязаны соблюдать врачебную тайну. За нарушение закона предусмотрена ответственность от дисциплинарной, гражданско-правовой и административной2 (разглашение информации с ограниченным доступом, ст. 13.14 КоАП РФ) до уголовной3 (нарушение неприкосновенности частной жизни, ст. 137 УК РФ). В минимальном варианте наказанием может стать выговор или увольнение, а в худшем случае нарушителя могут оштрафовать на 100–300 тыс. руб. или даже лишить свободы на срок до четырех лет, а также запретить заниматься профессиональной деятельностью.
Обнародование информации об утечке обычно приводит к сокращению потока новых клиентов и потере имеющихся, однако в случае с медицинскими учреждениями эта тенденция существенна только для коммерческих клиник, поскольку в случае с ОМС и участковыми врачами перед пациентом вопрос выбора места лечения, как правило, не стоит.
Утечка медицинских данных дает возможность конкурирующим клиникам проанализировать клиентскую базу допустившего утечку учреждения и предложить пациентам свои услуги. Сведения о диагнозах и проводимом лечении позволят сформулировать персональное предложение и повысить вероятность успешного привлечения.
Финансовые последствия утечек связаны со штрафами, которые могут быть наложены на учреждение за нарушение порядка работы с персональными данными, а также с исполнением решения судов, в которые обратились пациенты. Так, штраф за несанкционированный доступ к персональным данным составляет от 25 до 40 тыс. руб.
Утечки медицинских данных в России происходят в основном в бумажном виде или с помощью мессенджеров. Встречаются также случаи копирования информации в электронном виде на флешку или в облачный сервис. Кроме того, достаточно распространенной причиной утечки данных является халатность персонала, который выбрасывает медицинские карты и истории болезни либо повторно использует листы бумаги, на обратной стороне которых распечатаны конфиденциальные сведения.
Приведем несколько случаев утечек медицинских данных, которые стали достоянием прессы:
Как видно из статистики инцидентов, медицинские данные могут утекать либо по халатности сотрудников, либо для получения коммерческой выгоды. И если вероятность использования историй болезни, оказавшихся на свалке, в преступных целях практически нулевая, то вариантов применения инсайдерских сведений имеется достаточно. Вот несколько примеров.
История с опубликованными на сайте "Новосибоблфарм" данными тяжелобольных пациентов получила широкую огласку не только в связи с нарушением законодательства, но и из-за того, что к больным и их родственникам стали поступать звонки от распространителей БАДов, представителей альтернативной медицины и "целителей".
Фельдшер скорой помощи в Саратовской области получала гонорар от ритуальных агентств за сведения об умерших и тяжелобольных людях. Это привело к тому, что в некоторых случаях ритуальные агентства прибывали к умершим без вызова и едва ли не раньше, чем медицинские работники11.
В мае 2019 г. М ВД сообщило о раскрытии деятельности межрегиональной группы мошенников, организовавших в регионах России сеть медицинских клиник12. Используя персональные и медицинские данные, работники этих учреждений обзванивали пожилых людей и убеждали их в наличии тяжелых заболеваний, которые требуют неотложного и дорогостоящего лечения. По оценке МВД, ущерб от деятельности преступников составил не менее миллиарда рублей.
Еще одно направление, в котором сливают медицинские данные, - это агентства недвижимости и недобросовестные работники социальных служб. Получив сведения об одиноких пожилых людях, они "обрабатывают" их, предлагая заключить договор пожизненного содержания, чтобы впоследствии стать собственниками их квартир.
Сотрудники государственных поликлиник, подрабатывающие в частных медучреждениях, сливая данные пациентов, обеспечивают частной клинике поток клиентов, которых перенаправляют туда для "получения более качественных услуг".
На сегодняшний день наибольшую опасность представляют умышленные или неумышленные действия сотрудников медучреждений, поэтому основное внимание необходимо направить на работу с персоналом. К сожалению, уровень финансирования государственных поликлиник и больниц в большинстве случаев не позволяет приобрести систему обнаружения и предотвращения утечек (DLP) - ее стоимость может превышать годовой бюджет учреждения. Кроме того, автоматизация медучреждений далеко не всегда позволяет сделать применение таких систем эффективным: если медицинские карты пациентов ведутся на бумаге, система DLP не остановит сотрудника, который тайком отправляет фото истории болезни в ритуальное агентство через Viber.
Более действенными могут оказаться организационные мероприятия в сочетании с законодательной поддержкой: если наказание за слив данных будет неотвратимым и более серьезным, чем возможная выгода, а сотрудник будет дорожить рабочим местом, количество утечек станет значительно меньше.
Именно так выглядит ситуация с утечками в Европе и США, где законодательство предусматривает серьезные штрафы за нарушения, связанные с персональными данными. Например, в июне 2018 г. Онкологический центр им. Андерсона при Техасском университете был оштрафован на $4,3 млн за утечки13, случившиеся в 2012-2013 гг. Их причинами были кража ноутбука с незашифрованными конфиденциальными данными пациентов и утеря двух USB-флешек с открытой медицинской информацией.
В ноябре 2018 г. отделение Аллергической ассоциации в Хартфорде, штат Коннектикут, было оштрафовано на $125 тыс.14 за то, что врач, у которого случился конфликт с пациенткой, объясняя произошедшее журналистам, сообщил подробности состояния ее здоровья.
Именно строгость и неотвратимость наказания за утечки привели к тому, что, несмотря на большее количество инцидентов, доля инсайдерских эпизодов в мировой медицинской практике значительно ниже, чем в России.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2020