Утечки данных в сфере здравоохранения: новая чума
/Службы ИТ-безопасности в отрасли здравоохранения сталкиваются со все возрастающими трудностями. 2015 год оказался настолько плохим с точки зрения защиты данных пациентов, что Управление по гражданским правам при Министерстве здравоохранения и социального обеспечения США начало публиковать информацию об утечках данных в отрасли здравоохранения на так называемой «Стене позора». Только в прошлом году было зафиксировано 253 утечки в области здравоохранения, каждая из которых затрагивала как минимум 500 отдельных лиц и в результате которых было потеряно в общей сложности более 112 миллионов записей данных.
Кроме того, была зафиксирована самая крупная утечка данных в отрасли здравоохранения за всю историю – в результате этой утечки, медицинская страховая компания Anthem потеряла 78,8 миллионов записей персональной информации пациентов, и еще от 8,8 до 18,8 миллионов записей, не относящихся к пациентам.
Что касается ситуации в 2016 году, то нам еще предстоит дождаться его окончания, но согласно прогнозу подразделения Health Insights исследовательской фирмы IDC, в этом году жертвой утечек данных может стать каждый третий пациент. В прошлом году наибольшее число всех утечек классифицировалось как «получение неавторизованного доступа или неавторизованное разглашение информации», однако 90% из десяти крупнейших утечек были признаны «взломом / инцидентом в области ИТ- безопасности». Пока что, в 2016 году мы наблюдаем появление другой тенденции – и в число основных угроз теперь входят инциденты, связанные с похищенными или потерянными устройствами и с неправильной утилизацией архивной документации. Вот три крупнейших инцидента этого года, относящихся к этой растущей категории (по состоянию на текущий момент):
Community Mercy Health Partners
Что произошло: Бумажная документация была найдена в мусорном баке
Количество пострадавших пользователей: 113 000
Premier Healthcare, LLC
Что произошло: Были похищены ноутбуки из закрытого, охраняемого административного офиса (ноутбуки были защищены только паролями, а информация хранилась в незашифрованном виде).
Количество пострадавших пользователей: 205 000
Radiology Regional Center, PA
Что произошло: Записи на бумажных носителях были потеряны по пути к мусоросжигательному заводу.
Количество пострадавших пользователей: 483 000
Поскольку такие крупные утечки сегодня происходят все чаще, а выявлять эти инциденты и противодействовать им становится все сложнее, организации здравоохранения зарабатывают себе скверную репутацию за недостаточно оперативное внедрение технологий ИТ-безопасности. Как правило, это обусловлено тем, что организации в области здравоохранения не получают достаточного финансирования на улучшение инфраструктуры безопасности, поскольку проблемы кибербезопасности, к сожалению, не являются основным приоритетом у исполнительного руководства этих организаций. С другой стороны, злоумышленники прекрасно понимают, что такие организации представляют собой легкие мишени, а пользовательские данные в них слабо защищены.
Однако, есть и положительные примеры. Так, служба здравоохранения Fraser Health Authority из Британской Колумбии (Канада) заметно отличается от традиционных организаций отрасли здравоохранения. Благодаря дальновидным действиям руководства здесь была внедрена система аутентификации на базе сертификатов. Всем 26000 сотрудникам и 2500 врачам были выданы смарт-карты. За счет этого Fraser смогла не только значительно повысить уровень безопасности, но и добилась ряда других преимуществ, в том числе, снижения операционных издержек, повышения трудовой дисциплины у сотрудников и улучшения качества обслуживания пациентов. Fraser является прекрасным примером того, как внедрение надежных протоколов безопасности не только не помешало работе сотрудников, но и позволило оптимизировать работу устаревших систем.
Уязвимости при работе с медицинскими картами пациентов
Медицинские карты пациентов являются одним из наиболее ценных и ликвидных товаров для хакеров. На черном рынке киберпреступники могут получить порядка сотни долларов даже за фрагмент электронной медицинской карты. Для сравнения, украденный номер социального страхования или данные кредитной карты на черном рынке оцениваются примерно в один доллар. Причина, по которой медицинские карты являются столь ценным товаром, заключаются в том, что эти карты содержат в себе всю важнейшую информацию, в том числе номер социального страхования, дату рождения и т.д. Это позволяет похитителям завести новую кредитную карту или даже выставлять счета страховым компаниям или государству за фиктивные медицинские услуги.
Еще одной привлекательной особенностью медицинских карт, наряду с их высокой уличной стоимостью, является то, что они не теряют свою ценность и актуальность в течение очень длительного периода времени. Если в случае с финансовой информацией возможности по ее использованию заканчиваются в тот момент, когда жертве становится известно о мошенничестве, и происходит аннулирование кредитной карты или закрытие банковского счета, то в случае медицинских записей информация может оставаться доступной на черном рынке в течение длительного времени. И эту информацию можно продать или монетизировать различными способами, в том числе посредством покупки или продажи медицинских препаратов строгой отчетности или через мошеннические действия со страховкой – и все это действительно объемные рынки.
Высокая ценность медицинских карт пациентов является основной причиной, почему в отрасли здравоохранения появляется столько вредоносных программ, требующих выкупа (ransomware). Программы-вымогатели, кодирующие сетевые данные и требующие наличные за ключи для их раскодирования, обладают выраженным деструктивным характером, особенно в сфере здравоохранения, где время, порой, играет особое значение. Согласно недавнему опросу Quick HIT Survey, проведенному агентствами Healthcare IT News и HIMSS Analytics, около 75% всех американских больниц, участвовавших в опросе, могли пострадать от таких вредоносных программ в 2015 году.
Проблемы обеспечения безопасности в отрасли здравоохранения вызывают все большее беспокойство, особенно с учетом того, что в ближайшие годы здесь ожидается увеличение числа утечек данных. Уже давно считается, что с точки зрения вопросов безопасности отрасль здравоохранения остается позади остального мира. Фактически, многие организации в сфере здравоохранения ограничиваются лишь тем, что выполняют требования порой устаревших нормативных актов.
Согласно исследованию проблем ИТ-безопасности и управления рисками, проведенному HIMSS Analytics в 2016 году, только четверть респондентов реализуют в своих организациях согласованную и единообразную программу для активного управления рисками, и зачастую компании Старого света опережают в этом своих заокеанских визави.
В частности, нидерландский госпиталь Albert Schweitzer Ziekenhuis (ASZ) каждый год обслуживает более 500 тысяч пациентов в своей главной больнице и системе поликлиник. Эта больница является хорошим примером организации, в которой успешно сочетается высокий уровень безопасности и удобство для пациентов. В больнице работает более 4000 сотрудников, и ASZ использует систему одноразовых токенов и облачный сервер аутентификации. Это гарантирует высокий уровень безопасности информации о пациентах, но при этом обеспечивает лечащим врачам и среднему медицинскому персоналу доступ к необходимой медицинской информации, где бы они ни находились – в здании больницы, или за его пределами.
Швеция – еще одна страна с весьма прогрессивными технологиями, обеспечивающими безопасность и сохранение конфиденциальности медицинских карт пациентов. Здесь действует инициатива SITHS, в рамках которой для идентификации сотрудников системы здравоохранения и социальных служб используются смарт-карты, а должный уровень безопасности достигается за счет использования логинов и цифровых подписей. Ключевое требование системы заключается в том, чтобы обеспечить высокий уровень защиты цифровых учетных записей практикующих врачей за счет технологий двухфакторной аутентификации на базе смарт-карт, благодаря чему повышается безопасность пациентов и обеспечивается защита их персональных данных. Сотрудники организаций из сферы здравоохранения используют свои карты SITHS для доступа к общенациональному порталу National Patient Overview, в котором в онлайн-режиме хранится вся информация о пациентах. В настоящее время 100% всей документации при осуществлении первичной медицинской помощи хранится в виде электронных медицинских карт (Electronic Healthcare Records, EHR). Кроме того, более 95% всех выписываемых в Швеции рецептов передаются в электронном виде (ePrescriptions). Ознакомьтесь с цифровыми решениями, которые используются в сфере здравоохранения в Швеции.
Защита мобильного доступа к медицинским данным
Теперь, когда мы познакомились с тем, каким образом можно электронными средствами защитить медицинские карты пациентов, настало время разобраться с мобильными технологиями. Ожидается, что к 2020 году смартфонами будет пользоваться около 70% населения мира, кроме того, в эксплуатации будет находиться более 1,2 млрд. планшетных устройств. Мир становится все более взаимосвязанным, в результате чего все большее число важных транзакций и все большая доля информационного взаимодействия теперь приходятся уже не на традиционный бумажный документооборот, а на электронные транзакции. Все это справедливо и для отрасли здравоохранения. Медицинские карты пациентов будут храниться в электронном виде, и медицинский персонал сможет использовать планшетные устройства для доступа к ним. Такие решения должны будут облегчить обход пациентов в больничных палатах или оказание медицинской помощи на дому.
Электронные удостоверения личности с аутентификацией на базе сертификатов открытого ключа (PKI) по-прежнему является одним из наиболее надежных методов обеспечить безопасность сотрудников сферы здравоохранения. Эти удостоверения позволяют осуществлять логическую, физическую и визуальную идентификацию личности и гарантируют защиту конфиденциальных данных пациентов от неавторизованного доступа. Кроме того, физически эти удостоверения могут быть выполнены таким образом, чтобы реализовать модель «follow me desktop» (информация всегда со мной), например, медицинская организация Sunrise Health Region в Саскачеване (Канада) с успехом внедрила подобное решение. Теперь сотруднику достаточно вставить удостоверение в кард-ридер, чтобы начать сессию и получить возможность просматривать медицинские записи пациента на экране терминала. Как только удостоверение вынимается из ридера, сессия закрывается, и информация о пациенте становится недоступна – в соответствии с международными стандартами HIPAA, по которым оставление незащищенной паролем рабочей станции без присмотра является нарушением.
Что же происходит в случае мобильных устройств? Внедрение того же самого решения безопасности на планшетных устройствах и смартфонах, не обладающих портом USB или слотами для чтения смарт-карт, может оказаться весьма непростой задачей. Зачастую в отношении мобильных пользователей применяемые стандарты безопасности не такие строгие, а порой ими пренебрегают вовсе. Это связано с тем, что на многих устройствах подобные решения просто не работают, а ведь именно этого и не следует допускать, когда речь идет о конфиденциальных медицинских картах и о защите персональной информации о состоянии здоровья частных лиц.
Технология Bluetooth является единственным коммуникационным каналом, который реализован в самых различных конечных устройствах, поэтому данная технология может использоваться для аутентификации почти на любом устройстве. Например, медработник сможет просто «привязать» адаптер электронного удостоверения (badge holder) к своему мобильному устройству – подобно тому, как мы привязываем мобильный телефон к автомобилю. Благодаря MobilePKI, после установления такой привязки смарт-карта будет распознана и обработана, как если бы она была вставлена в кард-ридер на ноутбуке.
Внедрив Bluetooth решение, организации сферы здравоохранения смогут расширить возможности инструментов защиты на базе PKI, обеспечивая лечащим докторам и среднему медицинскому персоналу дополнительную степень свободы и возможность использовать мобильные устройства в любое время и в любом месте. Помимо дополнительного, второго фактора аутентификации PKI, Bluetooth позволяет сотрудникам цифровым способом подписывать важные документы, например, электронные рецепты ePrescriptions.
Адаптеры электронных удостоверений и токены с использованием технологии Bluetooth Low Energy представляют собой вполне жизнеспособное решение. Оно может быть с легкостью реализовано организациями здравоохранения и внедрено в существующую экосистему электронных удостоверений для достижения необходимого баланса между обеспечением безопасности и мобильности.
Таким образом, «вакцина» от «новой чумы», которой в последние годы стала утечка данных в области здравоохранения, близка к широкому использованию.