Бизнес по продаже медицинских документов пациентов
/Совершенно очевидно, что преступники стремятся заполучить медицинские документы Ваших пациентов. Как сообщил в своём ежегодном обзоре Институт Понемон (Ponemon Institute, http://www.ponemon.org/ ), доля учреждений здравоохранения, подвергшихся кибератакам криминального характера, увеличилась, согласно полученным от медиков данным, до 40% в 2013 году (по сравнению с 20% в 2009 году). Вне зависимости от того, кто эти уголовники - будь то затаивший обиду бывший сотрудник, занимающаяся мошенничеством и обманом государственных органов преступная группа, или же иностранное государство, организующее хакерскую атаку на крупное предприятие, - эти преступники видят возможности для получения большой прибыли от медицинских данных, хранящихся о в компьютерах Вашей организации.
Недавно анонимный мошенник по электронной почте угрожал раскрыть медицинские документы пациентов одной из больниц в штате Иллинойс, если он не получит значительного выкупа. В Калифорнии служба по борьбе с наркотиками ликвидировала преступную группу и конфисковала тысячи медицинских карт пациентов, предположительно использовавшихся для получения строго контролируемых лекарств, которые затем применялись для изготовления метамфетамина.
Существуют мощные финансовые стимулы для того, чтобы заниматься кражей информации о пациентах - один потерянный или украденный комплект документов о пациенте стоит на чёрном рынке примерно 50 долларов. Как считают некоторые источники, медицинская информация стоит в 10 раз дороже, чем номер кредитной карты.
Удивительно, но риск продажи преступниками медицинской информации на чёрном рынке по большей части игнорируется высшим руководством медицинских учреждений, пишет в своей недавней статье (опубликованной 22 декабря 2014) «Уолл-стрит джорнал» (Wall Street Journal). Медицинским практикам следует сделать себе «прививку» от взломов систем безопасности, выполнив с этой целью оценку рисков в области безопасности (Security Risk Assessment). В рамках такого мероприятия оценивается, насколько в данный момент защищена информация о пациентах, выявляются потенциальные слабые места и рекомендуются меры, направленные на снижение вероятности инцидентов и смягчение их последствий. В ходе оценки рисков безопасности рассматриваются такие вопросы, как «Как часто медицинская практика выполняет резервное копирование данных? Есть ли процедура, выполняемая в случае увольнения сотрудника? Действительно ли сотрудникам предоставляется минимально необходимый уровень доступа к информации о пациентах?».
Ниже перечислены те вопросы, на которые при оценке рисков безопасности обращается особое внимание с целью обеспечить защиту ценной информации о пациентах:
Проведите инвентаризацию информации о пациентах. Установите, где именно хранятся сведения о пациентах, где и как обеспечивается доступ к ним и их передача. Информация о пациентах может содержаться в электронных медицинских документах (Electronic Health Records, EHR), но это также могут быть и файлы в формате Microsoft Word с письмами пациентов, электронные Excel-таблицы с данными об оплате медицинских услуг или отсканированные образы страховых документов (Insurance Explanation of Benefits, EOB). Такого рода материалы могут храниться в стационарных компьютерах на рабочих местах сотрудников и в ноутбуках. Информация о пациентах также может содержаться в сообщениях электронной почты и в текстовых сообщениях, хранящихся в смартфонах и планшетах.
Обеспечьте безопасное использование и защиту всех мобильных устройств. Эти меры особенно важны в отношении устройств, содержащих информацию о пациентах. Обратите внимание на следующий факт: согласно подготовленному компанией IBM отчету о положении дел с кибербезопасностью за 2014 год (2014 Cyber Security Intelligence Index Report, http://media.scmagazine.com/documents/82/ibm_cyber_security_intelligenc_20450.pdf ), гораздо более вероятны нарушения безопасности, вызванные непредумышленными ошибками персонала (такими, как потеря устройств), чем атаками со стороны хакеров.
Шифруйте свои данные - не только для защиты от атак, но и для того, чтобы смягчить возможные наказания в случае утечек. Контролирующие органы учитывают, сделала ли компания всё от неё зависящее для защиты данных.
Потенциальной целью атак является каждый – начиная от небольшой медицинской практики и до компаний с многомиллиардными оборотами, таких, как Sony. Подумайте дважды, прежде чем брать документы пациентов для работы на дому (например, чтобы проанализировать их рентгеновские снимки). Возможно, хакеры будут просматривать их вместе с Вами.
Арт Гросс (Art Gross)
rusrim.blogspot.ru