Кибератаки на электронные медицинские документы усиливаются «экспоненциально»
/
В этом году исполняется 20-я годовщина принятия в США Закона о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA), более известного как HIPAA. С момента его вступления в силу, офисы врачей, больницы и другие поставщики медицинских услуг стали очень осторожны с раскрытием информации.
Порой это удручает. У меня были случаи, когда мои поставщики медицинских услуг отказывались посылать мне мою информацию по электронной почте в связи с тем, что данный способ связи считается менее безопасным, чем ныне устаревшая практика отправки факсов.
Новый отчет (см. http://www.gao.gov/assets/680/679260.pdf ) Счётной палаты США (Government Accountability Office, GAO) показывает, что такая озабоченность обоснована, и в настоящее время - более, чем когда-либо.
В 2015 году утечки затронули 113 миллионов электронных медицинских документов, что стало большим скачком по сравнению с 12,5 миллионами документов годом ранее. В 2009 году эта цифра была менее 135 тысяч. Число официально зарегистрированных крупных взломов и утечек, затронувших документы более чем 500 человек, выросло с нуля в 2009 году до 56 в прошлом году, почти удвоившись по сравнению с 2014 годом.
Счетная палата отметила, что «Масштабы угрозы в отношении медицинской информации выросли в геометрической прогрессии», ссылаясь на исследование, проведенное в 2015 году консультационной фирмой KPMG.
Электронные медицинские документы не просто удобны. Для нашей фрагментированной системы здравоохранения они оказывают экономичную, ценную услугу. Современные технологии позволяют различным поставщикам услуг, - например, ведущему первичный прием врачу общей практики и врачу-специалисту, - обмениваться информацией о пациенте.
Без этого, качество медицинских услуг может пострадать, а расходы на здравоохранение – неоправданно вырасти.
«Отсутствие координации медицинского ухода может повлечь за собой ненужные или дублирующие анализы и процедуры, способные увеличить риск для здоровья пациентов и ухудшить результаты лечения», - пишет Счетная палата. Ранее GAO уже сообщало, что фрагментация может увеличить расходы на здравоохранение на 148 миллиардов долларов, доведя их до 226 млрд. долларов в год.
Но за внедрение электронных медицинских документов есть своя цена. По мере того, как киберворы становятся смелее, действуют более творчески и более успешно, риски для наших персональных данных увеличиваются. Под угрозой оказываются самые разнообразные данные, начиная от номера социального страхования и до сведений о состоянии здоровья.
Здравоохранение считается настолько важной отраслью, что она была объявлена частью критически-важной национальной инфраструктуры. Критическая инфраструктура, как объясняется в отчете Счетной палаты, является «столь жизненно важной для Соединенных Штатов, что недееспособность или разрушение этих систем и активов окажет разрушительное воздействие на национальную систему общественного здравоохранения, на национальную безопасность и/или экономическую безопасность».
Хотя наша система здравоохранения, безусловно, из строя не выведена, данные об утечках и других инцидентах безопасности показывают, что она сильно пострадала. В отчет GAO в качестве примеров приведены следующие инциденты:
Компания Anthem, Inc., входящая в «Ассоциацию голубого креста и голубого щита» (Blue Cross and Blue Shield Association) в январе 2015 года сообщила о том, что в руки хакеров попали персональные данные около 79 миллионов человек, в том числе «имена, даты рождения, номера социального страхования, идентификационные номера в системе здравоохранения, домашние адреса, адреса электронной почты, а также сведения о занятости, такие, как данные о доходах».
В том же месяце компания Premera Blue Cross, действующая в основном на Аляске и в штате Вашингтон, обнаружила, что кибер-злоумышленники получили несанкционированный доступ к её ИТ-системам. Первоначальная атака была в мае 2014 года и затронула 11 миллионов документов пациентов, в том числе «имена, адреса, адреса электронной почты, номера телефонов, даты рождения, номера социального страхования, идентификационные номера, информация о компенсации расходов на лечение, а также сведения о банковском счете».
В июле 2014 года компания Community Health Services сообщила, о получении хакерами доступа к документам, содержавшим, в том числе, номера социального страхования, имена пациентов, даты рождения, адреса и номера телефонов 4,5 миллиона человек.
Университет Калифорнии в Лос-Анджелесе (UCLA) сообщил в мае 2015 года о том, что кибермошенники украла большое количество данных, в том числе «персональные данные, такие как имена, адреса, даты рождения, номера социального страхования, номера медицинских документов, идентификационные номера страховых полисов и полисов Medicare, а также некоторые медицинские данные».
Кибератаки на медицинские документы учащаются, потому что они представляют ценность как для использования, так и для продажи.
«Преступники знают, что получить полные медицинские документы часто намного полезнее, чем отдельную финансовую информацию, такую, как информацию о кредите», отмечает GAO. «Электронные медицинские документы часто содержат обширную информацию о человеке».
По мнению председателя сенатского комитета по вопросам здравоохранения, образования, труда и пенсионного обеспечения сенатора Ламара Александера (Lamar Alexander, республиканец от штата Теннеси), Министерству здравоохранения и социальных услуг (Department of Health and Human Services, HHS), «в чьи задачи входит обеспечение защищенности и безопасности наших персональных медицинских документов», есть над чем поработать. Выпускаемым министерством руководствам трудно следовать; у него нет никаких метрик, так что нет и способа измерить эффективность контроля с его стороны; он не взаимодействует с другими федеральными органами исполнительной власти, которые могут неосознанно давать деньги налогоплательщиков компаниям, имеющим проблемы в области безопасности, и министерство к тому же выдает неактуальные технические советы.
Наиболее высокопоставленный представитель демократической партии в том же комитете сенатор Пэтти Мюррей (Patty Murray, штат Вашингтон, в свою очередь, говорит, что Конгресс должен «обеспечить наличие у Министерства здравоохранения ресурсов и поддержки, которые тому необходимы для внедрения мер и средств безопасности для защиты персональных данных».
Счетная палата сформулировала пять рекомендаций, направленных «на повышение эффективности выполнения Министерством здравоохранения своих контрольных и методических функций в вопросе обеспечения неприкосновенности частной жизни и защиты информации о здоровье». Министерство согласилось и сообщило о намерении реализовать три из этих рекомендаций. По двум другим оно своего отношения не высказало, но отметило, изучит вопрос о возможности реализовать и их тоже.
Слово предостережения: Если вы думаете, что можете доверять любому человеку в белом халате, то задумайтесь над следующими словами из отчета GAO: «инсайдеры систематически классифицируются как самая большая угроза».
Джо Дэвидсон (Joe Davidson)
Мой комментарий: Ясно, что электронные документы пришли навсегда и отказаться от них уже невозможно, за ними будущее. Также ясно, что любая электронная информация будет рано или поздно «слита» и украдена. С учетом этого стоило бы подумать о том, чтобы перенести акцент с защиты персональных данных от утечек (хотя заниматься этим все равно нужно) - на создание таких условий в обществе, когда украденными данными невозможно будет воспользоваться. Сейчас, например, в США возможности для извлечения выгоды из украденных медицинских данных неизмеримо больше, чем в России, что стимулирует активность киберпреступников.
Источник: сайт газеты «Вашингтон пост»