Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита медицинских знаний – почему, зачем и как

Защита медицинских знаний – почему, зачем и как

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита медицинских знаний – почему, зачем и как

В одной из наших статей, опубликованной еще год назад, особо отмечалось, что профиль угроз, исходящих от киберпреступности, сместился в сторону data-центричности, когда атаки направлены на завладение корпоративными данными, а причиной таких атак является коммерциализация киберпреступности. Цель атаки на данные практически всегда одна – заработать. Для этого охотятся за информацией, которую можно либо продать третьим сторонам или самим владельцам украденных данных, или использовать полученные данные как инструмент в других противоправных мероприятиях. Особое значение в этой преступной деятельности имеют персональные данные медицинского характера, как имеющие большую ценность.
Сергей Вахонин
Директор по решениям, АО “Смарт Лайн Инк"

Медицинские карты содержат в себе всю критическую информацию: номер социального страхования, дату рождения и т.д., что позволяет злоумышленникам использовать эти данные в целях получения кредитов на стороннее лицо, для налоговых махинаций, выставления фиктивных счетов страховым компаниям, получения лекарственных препаратов строгой отчетности, продажи баз персональных данных распространителям лекарств и БАДов и других противоправных действий.

При всей очевидности угрозы корень проблемы в том, что учреждения, обрабатывающие данные медицинского характера, не обеспечивают необходимый уровень защиты персональных данных. Фактически многие организации в сфере здравоохранения ограничиваются лишь тем, что выполняют требования порой устаревших нормативных актов или имитируют их выполнение на бумаге. Со стороны регуляторов информационная безопасность в здравоохранении чаще всего сводится к проверке исполнения нормативных требований, которые в России определяются по большому счету только федеральным законом 152-ФЗ. Требования этого закона, к сожалению, во многом формальны: защищенное хранение персональных данных, регламентированный доступ, категоризация информации. Все эти требования чаще всего достаточно реализовать в бумажной форме: написать соответствующие приказы и положения, ознакомить с ними персонал и пациентов, опубликовать положение о защите персональных данных. Как результат – информация о подавляющем большинстве утечек из медучреждений попросту не доходит до общественности или даже не фиксируется как инцидент. Российские медицинские учреждения не обязаны раскрывать факты утечек.

На Западе ситуация уже давно прямо противоположная: в США утечки или даже ненадлежащее хранение данных пациентов чревато колоссальными штрафами или даже уголовным преследованием. Медучреждения обязаны обеспечивать защиту информации по закону HIPPA (закон о защите данных по медицинским страховкам) еще с 1996 г. В нашем блоге регулярно публикуются новости об утечках, происходящих по всему миру, в том числе в медицине и страховом бизнесе, и при этом размеры штрафов также известны публике. Так, страховая медицинская компания Aetna заплатит $17,1 млн за утечку персональной информации тысяч ВИЧ-инфицированных. Нью-йоркская компания EmblemHealth согласно решению прокуратуры должна выплатить $575 тыс. и выполнить план корректирующих действий, который будет включать тщательный анализ рисков. Медицинские компании действительно слишком часто страдают от потери и хищения данных – по мнению независимых аналитиков, в 2016 г. организации здравоохранения подвергались в среднем одной атаке в день.

Помимо внешних атак, значимую долю среди утечек медицинских данных занимают внутренние утечки, вызванные действиями инсайдеров. Как правило, используются съемные накопители, передача файлов через социальные сети и облачные хранилища и чаще всего – личная или корпоративная электронная почта. С сожалением стоит отметить, что уровень ИТ- и ИБ-подготовки сотрудников медучреждений по всему миру чаще всего весьма низкий и доля случайных, непреднамеренных утечек также велика.

Свежий пример утечки без злого умысла – утечка из департамента здравоохранения штата Миссисипи. Сотрудник департамента по ошибке отправил электронное письмо со вложенным файлом Excel, содержащим медицинскую информацию пациентов, стороннему подрядчику.

Для решения задачи предотвращения утечек медицинских данных за пределы организаций, а также их несанкционированного распространения внутри корпоративных информационных систем необходимо использовать полноценные DLP-системы. Особо подчеркну, что ключевым показателем полноценности DLP-системы должно быть качество решения ключевой для DLP задачи – детектирования и предотвращения несанкционированной передачи защищаемой информации путем блокировки передачи (печати, сохранения на внешнем носителе и др.), а не только задачи мониторинга каналов передачи данных и последующего расследования инцидентов.

Рассмотрим на примере с утечкой медицинских данных из департамента здравоохранения штата Миссисипи, как должен был быть реализован DLP-контроль, в частности, канала передачи информации посредством электронной почты.

Прежде всего должен быть определен ограниченный перечень отправителей и получателей электронных сообщений. Очевидно, что сторонние подрядчики вряд ли входят в число организаций, для которых возможен доступ к данным пациентов. Инспекция содержимого вложения в сообщение, которым в данном случае являлся файл MS Excel, позволяет детектировать наличие персональных данных. Для инспекции потребуется проведение в режиме реального времени контентного анализа файла Excel с использованием методов поиска по ключевым словам и шаблонам регулярных выражений, например номеров социальных карт. Сочетание двух описанных критериев проверки позволяет задать правило, предписывающее DLP-системе блокировать передачу такого сообщения, а следовательно – предотвратить утечку данных пациентов, а также зарегистрировать инцидент с попыткой передачи данных ограниченного доступа.

Среди представленных на мировом рынке одним из лучших и единственным российским DLP-решением, обладающим полным функциональным оснащением в соответствии с рассмотренным примером, является DeviceLock DLP. Избирательный контроль всех каналов передачи, печати и сохранения данных, равно как и контентная фильтрация в DeviceLock DLP, выполняются непосредственно на контролируемых компьютерах и не зависят от подключения к корпоративной сети.

СМАРТ ЛАЙН ИНК, АО
107140, Москва,
1-й Красносельский пер., 3, пом. 1, ком. 17
Тел.: +7 (495) 647-9937
Факс: +7 (495) 647-9938
E-mail: ru.sales@devicelock.com
devicelock.com/ru
www.smartline.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2018

Приобрести этот номер или подписаться

Статьи про теме