07 ноября 2022
Треть медицинских учреждений по всему миру столкнулись с утечкой данных в 2021 году. Недавно в сеть попали результаты тестов на ВИЧ, адреса и телефоны клиентов «Гемотеста» — лабораторию оштрафовали на 60 тыс. рублей. Однако из-за подобных инцидентов медицинские организации подвергаются не столько финансовым, сколько репутационным рискам.
Опасаясь утечки чувствительной информации о своем здоровье, мало кто пойдет лечиться в клинику, которая не смогла обеспечить безопасность личных данных. Даже если она оказывает услуги на самом высоком уровне.
Как медицинскому бизнесу избежать таких проколов, рассказывает Оксана Ульянинкова, руководитель перспективных проектов в области информационной безопасности ИТ кластера Фонда «Сколково».
70% утечек персональной информации происходит из-за халатности или намеренных действий сотрудников, считают в Минцифры России. Самая частая причина сливов — человеческий фактор: сотрудники попадаются на фишинговые письма и открывают зараженные файлы. На втором месте – дополнительный заработок или месть работодателю.
Интерес хакеров в лабораториях, больницах и фармкомпаниях связан с огромным массивом персональных данных клиентов, который они собирают и обрабатывают. Это может быть адрес, телефон, год рождения, диагноз, особенности лечения, платежные реквизиты и прочая информация, способная принести выгоду злоумышленникам.
Эти сведения можно использовать в разных целях: информацию о болезни — для шантажа и вымогательства, платежные реквизиты — для кражи денег. Мошенники ищут такие базы в даркнете, поскольку они дают подробное представление о слабостях человека. Интересоваться данными клиентов также могут рекламщики.
Утечка персональных данных считается административным правонарушением, за которое предусмотрен штраф в размере до 150 тыс. рублей. За разглашение врачебной тайны в результате утечки пациент вправе потребовать материальную компенсацию. Впрочем, репутационные потери и связанные с ними финансовые убытки оценить непросто. Как следует из отчета IBM и Ponemon Institute, средняя стоимость утечки данных в индустрии здравоохранения в 2021 году составила $9,23 млн.
Топ-5 киберугроз в медицинской сфере:
Как обезопасить данные
В большинстве случаев успешность кибератак объясняется ошибками на этапе внедрения компаниями новых цифровых решений и/или использования устаревших ПО и железа. Например, можно внедрить технологии Промышленного интернета вещей (IIoT), но не обеспечить должный уровень защиты. В целом, чем больше бизнес аккумулирует цифровых технологий, тем больше становится пространство для соприкосновения, а следовательно, повышается вероятность утечки.
Поэтому организации с высоким уровнем диджитализации должны особенно серьезно подходить к вопросу защиты от внешних и внутренних угроз. Эффективную архитектуру информационной безопасности (ИБ) реализует цифровая лаборатория гистологии и иммуногистохимии UNIM, резидент Фонда «Сколково». С момента запуска в 2018 году в лаборатории не произошло ни одной утечки данных. Компания придерживается следующих принципов:
Похожим образом система безопасности выстроена и у участника Фонда «Сколково» – компании «Генотек». Чтобы исключить человеческий фактор, перед отправкой в лабораторию биологический материал маркируют штрих-кодами. На них нет никаких персональных данных пациентов. А в помещения с важной информацией могут попасть лишь единицы сотрудников, и только по сканеру отпечатков пальцев.
Посмотреть всю информацию, включая личные данные, могут только четыре человека, включая руководителя лаборатории. При этом, массив информации обрабатывается и хранится на внутренних серверах компании, которые не имеют выхода в интернет. А получить доступ к архиву можно только со специальных терминалов с двухфакторной авторизацией: генератор паролей либо с помощью смс-подтверждения. Таким образом исключается любое стороннее вмешательство, и возможно узнать, какой сотрудник и когда запрашивал доступ к данным.
Информация о здравоохранении сегодня пользуется большим спросом на черном рынке: в прошлом году стоимость данных об одном пациенте в даркнете превышала $360 (это более 20 тыс. рублей). Вместе с тем продолжается активная цифровизация индустрии. Совокупность данных факторов стимулирует киберпреступность и увеличивает риск утечек информации. Поэтому первостепенной задачей становится достижение киберустойчивости, которая ориентирует ИБ на защиту критически важной информации. Для этого нужно урегулировать процессы управления ИБ, использовать современные технические средства защиты, грамотно интегрировать их в инфраструктуру, а затем наладить качественный мониторинг угроз.
Источник
Хотите быть в курсе последних новостей и событий? Подписывайтесь на телеграм- канал «Бизнес в Кузбассе»