Кибербезопасность Медицинских Данных: Реальные Угрозы и Инновационные Решения

05.11.2023

Кибербезопасность Медицинских Данных: Реальные Угрозы и Инновационные Решения

В условиях стремительного цифрового развития в сфере здравоохранения, проблема кибербезопасности медицинских данных становится все более горячей темой. Для более глубокого понимания этой актуальной проблемы, мы обратились к Хамитову Руслану, инженеру с богатым опытом в медицинской сфере и техническому директору компании Checkdoc. Руслан Хамитов в прошлом автор купнейшего медицинского сайта PharmPrice.kz

Вопрос 1: Какие основные угрозы связаны с кибербезопасностью медицинских данных?

Хамитов Руслан: Одной из ключевых угроз является потенциальный несанкционированный доступ к медицинским данным. Злоумышленники могут использовать уязвимости в системах хранения или перехватывать информацию во время передачи данных. Это может привести к утечке конфиденциальных медицинских данных, включая личную информацию пациентов, и создать серьезные проблемы с конфиденциальностью и безопасностью. Однако не всегда очевидно, что медицинские данные также могут быть использованы мошенниками для шантажа пациентов и вымогательства денег.

Если посмотреть последние отчеты от компаний которые занимаются кибер безопасность то можно увидеть что медицинские организации чаще всего подвергаются атакам со стороны злоумышленников. Все дело в том что медицинские данные на «черном рынке» ценятся выше прочих других.

По данным отчета «Cost of a Data Breach Report» компании IBM Security потери отрасли Здравоохранения в за первую половину 2023 от утечки данных по всему миру составили 10.93 миллионов долларов США, против 10.1 миллионов долларов США за весь 2022 год. Это самый высокий показатель среди других отраслей.

В Checkdoc мы используем сильные механизмы шифрования для защиты передачи и хранения данных. Например, при передаче медицинских данных между пациентом и врачом, мы применяем протоколы шифрования TLS/SSL, которые обеспечивают конфиденциальность информации во время передачи через интернет.

Вопрос 2: Какие меры могут быть предприняты для обеспечения кибербезопасности медицинских данных?

Хамитов Руслан: Обеспечение кибербезопасности медицинских данных - это комплексный процесс. Важно использовать сильные механизмы шифрования при передаче и хранении данных. Также необходимо контролировать доступ и аутентификацию, чтобы избежать несанкционированного доступа. Регулярные аудиты безопасности и обновления программного обеспечения также играют ключевую роль.

По своему опыту могу сказать что медицинским организациям не следует пренебрегать услугами компаний которые занимаются информационной безопасности, в Казахстане лицензирована деятельность организаций которые занимаются мониторингом информационной безопасности, такой вид деятельности называется ОЦИБ, в международном сообществе принят термин SOC.

Да, ОЦИБ не гарантирует 100% защиту от взлома, но помогает значительно снизить риск от таких угроз. Сотрудники ОЦИБ обязаны мониторить информационный периметр клиента 24\7 и своевременно уведомлять клиента о попытках взлома, либо вирусной активности. Нанять целую команду из ОЦИБ гораздо дешевле чем иметь такой же штат экспертов в области кибербезопасности.

Работая над Checkdoc мы планировали внедрить механизм двухфакторной аутентификации для пациентов, которые используют нашу платформу. Это означает, что помимо пароля, пользователи должны подтвердить свою личность, например, через SMS-код или приложение аутентификации. Это снижает риск несанкционированного доступа даже в случае компрометации пароля.

Вопрос 3: Как вы оцениваете текущее состояние кибербезопасности медицинских центров и клиник и что можно улучшить?

Хамитов Руслан: В ходе наших бесед с IT-специалистами из медицинских центров, стало понятно, что уровень осведомленности о рисках неоднозначен. Некоторые специалисты перекладывают ответственность на разработчиков медицинских информационных систем, другие проявляют недостаточное внимание к вопросам информационной безопасности.

Я как эксперт хотел бы рекомендовать всем медицинским учреждениям, кто до сих пор не занимался информационной безопасностью, провести аудит. Возможно в сети медицинских центров и больниц уже есть вредоносное ПО которое выкачивает информацию и отправляет ее злоумышленникам.

Я знаю пример с одной лабораторией в Казахстане в сети которой был обнаружено программное обеспечение злоумышленников которое отправляло информацию о результатах анализов клиентов. Факт утечки скрылся спустя значительное время, после того как базу клиентов обнаружили в даркнете.

IT-специалистами из медицинских центров хотел бы рекомендовать не боятся разговаривать с руководством на темы информбезопасности, мы все эксперты но в каком то своем направлении кто-то силен в программирование, кто-то в администрировании, нет ничего страшно в том чтобы сказать (себе в первую очередь): - Я не специалист в области кибербезопасности.

Вопрос 4: Какое будущее вы видите для кибербезопасности медицинских данных?

Хамитов Руслан: Будущее кибербезопасности медицинских данных обещает быть перспективным и важным аспектом развития здравоохранения. С увеличением электронных медицинских записей и обмена информацией, защита данных становится важным аспектом работы медицинских учреждений. Применение более сложных методов шифрования, интеграция искусственного интеллекта для мониторинга и обучения персонала кибербезопасности - вот ключевые направления в области безопасности медицинских данных.

Вопрос 5: Что могут сделать медицинские учреждения и организации для улучшения кибербезопасности медицинских данных?

Хамитов Руслан: Медицинские учреждения должны сделать безопасность одним из своим приоритетом. Это включает внедрение современных методов защиты, регулярные аудиты, обучение персонала и сотрудничество с профессионалами.

Конечно, Бизнес медицинских центров строиться на другом, их задача оказывать услуги по лечению, раскрытие персональных медицинских данных может навредить пациенту, утечка данных может стоить дорого для самого медицинского учреждения, и еще дороже может быть эффект от потери репутации.

Если же говорить о конкретных шагах:

1.     Провести аудит информационной безопасности

2.     Исправить недочеты выявленные во время аудита

3.     Заказать услугу мониторинга информационное безопасности (ОЦИБ)

4.     Провести обучение сотрудников по базовым принципам информационной безопасности

Вопрос 6: Как Checkdoc обеспечивает безопасность медицинских данных и какой подход компания использует для контроля за этим процессом?

Хамитов Руслан: При работе над Checkdoc мы соблюдали строгие стандарты безопасности при работе с медицинскими данными. Мы акцентируем внимание на безопасности на всех этапах - от разработки до администрирования.

Заключение:

Кибербезопасность медицинских данных - это залог конфиденциальности и безопасности пациентов. Применение современных технологий, обучение персонала и сотрудничество с экспертами помогут обеспечить защиту данных и поддержать современное здравоохранение. Компания Checkdoc уделяет этому вопросу особое внимание, предоставляя надежные решения для защиты медицинских данных и поддержания доверия пациентов.