Медицина под колпаком злоумышленников

Медицинские учреждения на протяжении ряда лет остаются одной из привлекательных целей для охотников за информацией. Информация из медицинских карт является ликвидной на черном рынке, так как довольно легко может конвертироваться в денежные средства. Помимо имен, фамилий и адресов пациентов, учреждения здравоохранения аккумулируют номера социального страхования, идентификационную информацию, сведения о платежных инструментах, данные удостоверений личности и, конечно, результаты различных диагностик и анализов.

Хакеры продолжили охотиться за персональной информацией пациентов по всему миру. Летом 2017 г. зафиксированы несколько массовых инцидентов. Последний громкий случай произошел в Великобритании, где киберпреступники похитили 1,2 млн записей базы данных Национальной службы здравоохранения (NHS). В середине июля хакерам удалось украсть данные более 500 тыс. пациентов из Бельгии. В середине августа стало известно об атаке на сеть американских организаций, занимающихся охраной женского здоровья. В результате скомпрометированы данные порядка 300 тыс. пациентов.

Помимо активности хакерских группировок, большой проблемой для медицины по всему миру остаются действия внутренних нарушителей, бывших сотрудников, а также различных подрядчиков. Так, сотрудник страховой компании Bupa в июне получил для перепродажи до 1 миллиона медицинских записей.

Случаев компрометации данных через бумажные носители с каждым годом объективно становится меньше. Однако, совсем списывать их со счетов рано. По-прежнему утечки часто случаются из-за невнимательности и халатности сотрудников медицинских учреждений. Например, недавно в Канаде произошло удивительное по халатности нарушение конфиденциальной информации: персональные данные 60 человек содержались на обратной стороне рецепта, распечатанного для одного из пациентов.

Можно выделить два основных фактора регулярных утечек информации из медицинских учреждений. Во-первых, по сравнению со сферой финансов и госсектором, у них недостаточно хорошо развита инфраструктура информационной безопасности. Во многих странах уровень средств защиты медицинской информации пока не поспевает за развитием ИТ в поликлиниках и госпиталях. Во-вторых, ИБ по-прежнему не является приоритетным направлением для многих учреждений здравоохранения и зачастую финансируется по остаточному принципу.

Ряд массовых утечек информации, случившихся в 2015-2016 гг. заставил многие медицинские компании и их партнеров усилить направление ИБ. Однако, не все компании могут оперативно закрыть бреши в системе безопасности, о чем свидетельствует печальный опыт компании Anthem. В 2015 г. она допустила утечку более 78 млн записей, а в 2017 году испытала новую компрометацию данных своих клиентов.