Утечки и взломы становятся для всех сфер бизнеса и медицины,
в частности, всё более актуальной проблемой. Как защитить свои ресурсы,
информационные системы и сотрудников рассказываем в материале.
Статистика медицинских утечек
Количество утечек, зафиксированных в медучреждениях, стабильно растет с 2016 года.
- Одна из крупнейших утечек данных в здравоохранении затронула 2,3 млн пациентов Medical Management Resource Group в конце 2023 года.
- В 2024 году самые крупные утечки были в США у провайдера медицинских
сберегательных счетов HealthEquity (коснулось 4,3 млн человек), в Австралии у поставщика медицинских рецептов MediSecure (12,9 млн
человек), а также в Великобритании у лаборатории Synnovis и др.
В параллель частоте и периодичности таких инцидентов или намеренных
преступлений растут не только репутационные издержки, но и «чек» штрафа.
- Американская сеть клиник Sentara за рассылку по неверным адресам 577 писем с персональными данными пациентов и несвоевременное уведомление регулятора об утечке данных выплатила $2,175 млн (2019 год).
- По данным IBM/ Statista, средняя стоимость утечки медицинских данных по всему миру составила $4,8 — 9,7 млн в 2024 году.
«Это у них», — скажете вы. А у нас?
Пока нарушения относительно скромного масштаба: в 2024 году у сети
«АптекаПлюс» утекли имена покупателей, адреса электронной почты,
телефоны и даты заказов 2 — 4,5 млн человек.
Однако через полгода в России начнет действовать новая редакция закона
о защите персональных данных (ПД) от незаконного использования.
Какие санкции и новшества нас ожидают
В ноябре 2024 года Госдума РФ приняла сразу три законопроекта (к 152-ФЗ), направленных на защиту персональных данных от незаконного использования. Поправки вступят в силу в мае 2025 года.
Административные штрафы за незаконную обработку ПД увеличатся, при повторном нарушении они составят:
- для граждан — от 30 до 600 тыс. руб.,
- для должностных лиц — от 200 тыс. руб. до 1,2 млн руб.,
- для юрлиц и ИП — от 500 тыс. руб. до суммы, составляющей от 1% до 3% годовой выручки предприятия (оборотные штрафы).
Уголовная ответственность будет введена за утечку ПД
несовершеннолетних, специальной информации (раса, национальность,
состояние здоровья) и биометрических данных:
- штраф до 700 тыс. руб., принудительные работы до 5 лет или лишение свободы на тот же срок
- при корыстной заинтересованности штраф увеличивается до 1 млн руб., принудительные работы до 5 лет, лишение свободы до 6 лет
- при утечке данных за границу — лишение свободы до 8 лет, при тяжких последствиях — до 10 лет.
Штрафы за неуведомление Роскомнадзора:
- для ИП и любых юрлиц, кроме НКО — от 1 до 3 млн руб.
Почему для медицины всё так жестко
В бизнесе по-настоящему злонамеренного нарушителя интересуют
действительно ценные сведения — коммерческая тайна компании. Но почему
проблема доступа к данным так актуальна для здравоохранения?
Медики получают и хранят конфиденциальную информацию о тысячах
пациентов. Ее утечка — гигантский объем компромата: имена и фамилии
людей, данные о заболеваниях, назначения врачей, страховые номера,
реквизиты платежных карт и др. Такая персонифицированная информация
легко поддается машинной обработке — пользовательские данные без особых
проблем выявляются в потоке других данных.
С развитием цифровизации у всех медицинских центров «чувствительная
информация» хранится в специальных информационных системах, доступы
к которым есть у сотрудников. Поэтому необходимо обеспечить защиту
приватных данных — паролей и доступов к конфиденциальной информации.
Где и как хранить пароли медикам?
Минимальный блиц-опрос показывает, абсолютное большинство из нас
использует 5 привычных способов хранения паролей: в файлах, браузере,
«заметках» в телефоне, на бумаге и даже — в памяти.
Зато периодически «гуглим»: как правильно хранить пароли?
И да, ответ вас удивит: сотрудникам (пользователям) правильно вообще
не хранить у себя пароли к корпоративным информационным системам.
В медицинском центре много систем, к которым нужны пароли: МИС, личные кабинеты страховых компаний, 1С, лабораторий. В небольшом медцентре может быть больше 100 учётных записей.
Очень простая идея: если у вас этого нет, оно не может быть украдено
или взломано. Хорошая новость в том, что выход и рецепт есть!
Один из способов защиты — надежное управление паролями в медицинской организации
Менеджер паролей — это программа, которая наводит порядок в любой организации. Помогает руководителю установить правила работы с конфиденциальной информацией и зоны ответственности. Согласитесь в медицинском центре они принципиально разные на ресепшене, у докторов и у директора клиники.
Менеджер паролей для медучреждений в облаке и коробке:
10 степеней защиты, а встроенный генератор паролей (они создают комбинации как минимум из 12 символов), аудит паролей, плагин под браузеры, а главное шифрование. В случае кражи или утечки только зашифрованные данные останутся недоступны для прочтения.
Где хранить пароли?
Кому, когда и как поменять пароль
Невероятно, но факт: более половины всех утечек происходят не из-за действий злоумышленников и хакеров, а из-за ошибок или намеренных действий сотрудников (со стороны топ-менеджеров — до 80%, рядовых ─ до 35%) или операторов информации.
Утечки персональных данных, наоборот, большей частью случайны, но масштаб катастрофы и репутационные издержки для медорганизации явно
больше.
Менеджер паролей дает возможность ранжировать доступы среди
сотрудников: у врача, администратора и бухгалтера они будут разными.
При этом собственник будет владеть паролями и данными, а остальные
пользоваться предоставленными доступами пока работают.
Вам «облако» или «коробочку»?
Для компаний разработчики менеджера паролей, как правило, предлагают — «облако» или «коробку».
«Облачное» хранение идеально подойдет для тех, у кого нет собственных
IТ-специалистов, а «коробка» — для клиник, где есть IТ-служба.
Для небольшого медицинского центра «облачный» менеджер паролей точно
не потребует высокооплачиваемых «айтишников“ и специальных знаний», — отмечает CEO TeamDo Анна Крампец.
Никто из нас не станет спорить, что работа доктора и медсестры сложна
и без проблем с безопасностью в интернете. Но сегодня её азы необходимы.
______
TeamDo для медицинских учреждений
Платформа для удобного управления командами, активами, знаниями
ВКонтакте | Rutube | Телеграм