Клиники теряют пациентов из за утечки и кражи медицинских данных

На «сером» рынке баз данных набирают популярность информационно‑медицинские продукты – картотеки полисов ОМС, истории болезни, мобильные телефоны пациентов частных и государственных клиник.

Утечки и кражи медицинских данных - так клиники теряют пациентов

Предложения доступны на «пиратских» рынках, в интернет‑магазинах и уже пользуются спросом у широкого круга покупателей – от фармкомпаний до туроператоров и агентств ритуальных услуг. VM сделал контрольные закупки некоторых товарных единиц информационной линейки и попытался разобраться, где начинаются их поставки.

ОМС‑МАРКЕТИНГ

На Савеловском рынке базы данных предлагают две точки с соответствующей вывеской, управляемые ИП «Ароян». Хит продаж – многофунк­циональные базы, включающие сразу реестры паспортных данных, водительских удостоверений и полисов ОМС. Такие продукты здесь реализуются отдельно по субъектам РФ. Например, диск с базой данных по Московской области обошелся VM в 1,5 тысячи рублей. Реестр ОМС на нем включает основную персональную информацию всех жителей этого региона: адрес и дату рожде­ния страхователя, номер его полиса и СНИЛС. «Если вам нужны данные только ОМС, попробуем собрать базу по всем регионам. Выйдет не дороже 10 тысяч рублей», – пояснил скидочную поли­тику продавец одной из точек и, чтобы развеять сомнения, тут же показал выгрузку такой базы в формате excel на своем ноутбуке.

Помимо картотеки ОМС, в ассортиментной линейке есть еще один продукт – «Медстрах». Кроме базовых персональных данных, этот реестр дополнен информацией об организации или ведомстве, которое покрывает человеку расходы по страховке. Стоимость такого предложения тоже находится в диапазоне 1,5‑2 тысячи рублей.

Сотрудники территориальных ФОМС и страхо­вых компаний, опрошенные VM, утверждают, что им о продажах баз на свободном рынке ничего не известно. «Вероятно, произошла утечка информации, но точно не от нас», – дистанцируется от темы сотрудник отдела безопасности ФОМС Владимирской области. Представители федераль­ного ФОМС на запрос VM не ответили. Продавцы на Савеловском, естественно, не раскрывают ни своих поставщиков, ни клиентов, ограничиваясь прикладными рекомендациями: «Мы же не спра­шиваем вас, зачем вам базы данных. Но если вы, например, из фармкомпании, то возьмите лучше базы абонентов сотовых операторов – сможете рекламу по SMS рассылать».

Савеловский рынок считается сейчас крупнейшей точкой продаж «серых» информационных баз. С ним конкурируют только «Горбушка» в Москве, городские рынки в регионах и интернет‑мага­зины, в которых, правда, представлены совсем другие продукты. Например, сайт bazabd.ru предлагает базы психбольных Башкирии, нар­команов и психбольных Барнаула, пациентов медучреждений Тольятти и другие аналогичные картотеки, стоимость которых варьируется от 300 до 1 тысячи рублей. Помимо паспортных данных, в предлагаемых реестрах можно найти номера мобильных телефонов и адреса проживания указанных пациентов.

В профильных IT‑компаниях говорят, что дан­ные в эти каналы продаж поступают в результате разного рода утечек из соответствующих учреж­дений, а количество «сливов» только в сегменте медуслуг уже достигает нескольких десятков в год. Например, по оценкам InfoWatch, в прошлом году медицина входила в число отраслей‑лидеров по количеству информационных утечек с долей 8,3% от всех информационных потерь. По этому показателю она уступала только направлениям торговли, гостинично‑ресторанных услуг, банковскому сектору и госорганам. «Исследования основаны, как правило, на открытых источниках и показывают лишь верхушку айсберга. Реальный масштаб утечек может быть в разы больше», – отмечает руководитель аналитического центра компании Zecurion Владимир Ульянов.

ПРОТИВ ВЕТРА

Информационные потери начали фиксироваться в сегменте медуслуг еще с 90‑х годов. «Первые утечки происходили случайно, но в основном были связаны с утерей бумажных документов, и в них не было подоплеки мошенничества. Такие случаи происходят и до сих пор», – говорит Вла­димир Ульянов из Zecurion. С ним соглашается ведущий эксперт компании InfoWatch по инфор­мационной безопасности Андрей Прозоров: «Чаще всего бумажные медицинские карты просто выбрасывают. Это классический пример российского раздолбайства и наплевательства».

Некоторые случаи утечек по небрежности получи­ли широкий резонанс и даже привлекли внимание правоохранительных органов. Прошлой зимой в Ханты‑Мансийском автономном округе ксеро­копии паспортов, СНИЛС и страховых медицин­ских полисов пациентов Сургутской городской поликлиники №4 оказались разбросаны по го­родскому парку «Кедровый лог». Как выяснилось, документы перевозились в архив медучреждения, и при погрузке часть бумаг просто унесло ветром. Инцидент получил всероссийскую огласку, и руководство ЛПУ было вынуждено принять строгие административные меры. «Ответственное лицо, из‑за которого в лечебном учреждении произошла такая оказия, было уволено», – сообщили VM в поликлинике.

Позже в городе Лангепасе того же Ханты‑Ман­сийского автономного округа врач стоматологи­ческой клиники «Дентал» забыл амбулаторную карту пациентки в такси. Дальнейшего распро­странения персональных данных не произошло, водитель такси, обнаруживший карту, сразу позвонил по указанному в ней телефону. Тем не менее пациентка обратилась в региональную прокуратуру с требованием привлечь к ответ­ственности медучреждение. В результате в отно­шении клиники и врача были возбуждены адми­нистративные дела по ст. 13.11 КоАП РФ. Правда, по итогам рассмотрения дел, как сообщили VM в региональной прокуратуре, все ограничилось лишь вынесением предупреждения врачу и медуч­реждению.

Представители компаний, специализирующихся на информационной безопасности, отмечают, что случайные утраты бумажных документов в сег­менте здравоохранения, как правило, не имеют серьезных последствий ни для виновных, ни для потерпевших. Гораздо масштабнее ущерб от учащающихся преднамеренных электронных утечек из медицинских информационных систем.

Волна краж оцифрованных персональных данных начала подниматься в середине 2000‑х параллель­но с активным внедрением медицинских инфор­мационных систем. По данным компании Inline Technologies, уже в первой половине 2008 года потери бумажных данных занимали только 10% от общего объема утечек в медицинских инфор­мационных системах, остальное приходилось на CD, DVD, флеш‑накопители, серверы на­стольных компьютеров, ноутбуки, КПК и другие электронные носители информации. При этом злонамеренные «сливы» составляли уже почти треть всех случаев потери данных в сегменте ме­дицинских услуг.

Самой распространенной причиной электрон­ных утечек IT‑эксперты называют кражу. «Красть могут врачи, потому как имеют прямой доступ к информации плюс материальную заинтере­сованность. Не секрет, что многие врачи взаи­модействуют с фармкомпаниями и – обычно на какой‑то платной основе – рекламируют тот или иной препарат. И если фармкомпаниям будут необходимы какие‑то списки по пациентам, некоторые медики могут согласиться на кражу баз данных пациентов, особенно если им будет предложена значительная сумма», – рассказы­вает Андрей Прозоров из InfoWatch. О хакерских атаках на информационные системы в сегменте медуслуг, по его словам, пока говорить не прихо­дится. Схожего мнения придерживается дирек­тор по развитию КМИС Александр Гусев: «Редко когда это бывают какие‑то технические вещи или взломы систем безопасности».

В числе заказчиков «слива» персональной ин­формации из медучреждений, говорит Андрей Прозоров, помимо фармкомпаний, фигурируют и обыкновенные мошенники, которые, получая доступ к базам данных пациентов, звонят им, предлагая купить «эффективное» лекарственное средство от их заболевания. Кроме того, пер­сональные данные пациентов, в частности, их диагнозы, могут быть интересны компаниям, предлагающим, например, туры на оздорови­тельные курорты. «Получая доступ к базе данных пациентов больниц, они обзванивают их, пы­таясь мотивировать к поездке на один из таких курортов, иногда предлагая скидки для людей с конкретным диагнозом. Есть свой интереси у ритуальных агентств – они готовы платить за обновление базы умерших пациентов, чтобы оперативно предлагать родственникам свои ус­луги», – рассказывает Прозоров. Но наибольший интерес для кражи, по словам эксперта, пред­ставляют персональные данные знаменитостей: «Эту информацию готовы покупать, а значит, может найтись человек, который готов ее прода­вать». Ценники в России, конечно, поскромнее, чем 50 тысяч евро, предложенные за историю бо­лезни Михаэля Шумахера, но спрос на медкарты отечественных селебрити растет.

Нарастание волны утечек эксперты объясняют как минимум двумя причинами – несовершен­ством медицинских информационных систем и слабостью законодательной базы. Сейчас безопасность личной медицинской информа­ции в России подпадает под действие ФЗ №152 от 27 июля 2006 года «О персональных данных». Ответственность за безопасное хранение и рас­пространение информации о своих пациен­тах – как в электронном, так и в любом другом виде – возложена этим законом на медучрежде­ния. Отдельные технические требования к за­щите персональных данных в информационных системах прописаны в постановлениях ФСТЭК №21 и №17. 

Правда, санкции за потерю персо­нальных данных пока невелики: максимальное наказание, которое можно получить по ст. 13.11 КоАП РФ «Нарушение установленного зако­ном порядка сбора, хранения, использования или распространения информации о гражда­нах (персональных данных)», ограничивается штрафом до 1 тысячи рублей для должностных лиц и до 10 тысяч рублей – для юридических. По мнению экспертов из IT‑компаний, подобная либеральность косвенно поддерживает низкий уровень защиты персональной информации в сегменте медуслуг.

ЗАЩИТНЫЕ РЕАКЦИИ

Найти учреждения медсектора, откуда проис­ходят утечки персональных данных, непросто. Опрошенные VM участники рынка медуслуг не комментируют состояние своей информа­ционной безопасности или утверждают, что не сталкиваются с проблемой утраты данных. Однако представители IT‑компаний зафик­сировали в последние несколько лет всплеск заказов на услуги защиты данных именно со стороны медучреждений. «Если три года назад клиентов из этой отрасли у нас вообще не было, то теперь мы начали работать с кли­никами, которым устанавливаем DLP‑системы и другие заслоны от внешних вмешательств. И часто утечки информации фиксируются уже на этапе внедрения наших систем», – рассказы­вает Владимир Ульянов из Zecurion.

Представитель компании «Информзащита» Андрей Тимошенко говорит, что частные клини­ки начали обращаться в его компанию три года назад: «До этого они пытались решать вопросы по защите персональных данных, в частности, данных о состоянии здоровья, самостоятельно. А в 2011 году у нас пошел вал клиентов, в том числе работающих в медицинском сегменте».

Компания «ДиалогНаука» два года назад заклю­чила контракт с крупной столичной клиникой «Медицина» на приведение ее информацион­ной системы в соответствие с международным стандартом защиты информации ISO/IEC 27001. «Соответствие такому стандарту позво ­ляет оптимизировать расходы на безопасность, риски, связанные с возможными ущербами для активов предприятия, операционные затра­ты», – считает гендиректор компании «ДиалогНаука» Виктор Сердюк.

Усилили внимание к вопросам защиты данных и территориальные отделения ФОМС. «Мы начали осуществлять отдельные проекты по ин­формационной безопасности еще в 2007 году, а два года спустя внедрили комплексную систему защиты, вся информация фонда про ­ходит по зашифрованным каналам, и утечки исключены», – говорит представитель ТФОМС Владимирской области. Его коллега из ТФОМС Оренбургской области говорит о подобных мероприятиях, проведенных примерно в тот же период: «Мы создали отдел информационной безопасности, прописали организацион­но‑распределительные документы, внедрили технологии защиты персональных данных DLP». Представители фондов предполагают, что источником утечки данных о страхователях могут быть их партнерские страховые компании. Страховщики, опрошенные VM, такое предположение опровергают. «Случаев утечки у нас не было. В компании существует многоу­ровневая система защиты информации, которая предотвращает доступ к данным пользователей, не имеющих на это прав», – заверяет дирек­тор по маркетингу направления «Медицина» компании «АльфаСтрахование» Егор Сафрыгин. А топ‑менеджер другой страховой компании гово­рит, что источником утечек медицинской инфор­мации, вероятнее всего, могут быть государствен­ные медицинские информационные системы.

Представители государственных поставщиков ЕГИСЗ утверждают, что утечки исключены. «Су­ществующая защита информации подразумевает комплекс мер, включающий регламенты, аппарат­ные средства защиты безопасности, софт», – убе­жден представитель компании «Ростелеком».

На периферии ситуация с информационной безопасностью неоднородна. Как сообщил VM источник, близкий к воронежскому МИАЦ, в регионе действует многоуровневая систе­ма защиты данных: «Никогда не встречал баз данных пациентов – ни на «Горбушке» в Во­ронеже, нигде, хотя одно время мы специ­ально мониторили пиратские диски с базами данных, но пациентских баз мы не находили». На некоторых территориях страны о защите персональных медицинских данных говорить и вовсе не приходится, поскольку сама систе­ма ЕГИСЗ пока находится там на начальном этапе инсталляции. Например, ответственные за работу ЕГИСЗ подразделения администра­ции Ленобласти в мае только разрабатывали план по ее внедрению. Интересно, знают ли региональные чиновники, что на сайте bazabd. ru базу персональных данных 10 тысяч пациен­тов Ленинградской области можно без проблем приобрести за 1 тысячу рублей.

Подробнее >>

РЕШЕНИЯ ДЛЯ МЕДИЦИНСКОГО БИЗНЕСА ►