Команды ИТ-безопасности в сфере здравоохранения сталкиваются с растущими проблемами.
2015 год был настолько плохим для защиты данных пациентов, что Управление по гражданским правам Министерства здравоохранения и социальных служб США начало размещать информацию об утечках данных в сфере здравоохранения на так называемой «Стене позора».
Только в прошлом году произошло 253 нарушения системы здравоохранения, каждое из которых затронуло не менее 500 человек и привело к потере в общей сложности более 112 миллионов записей данных.
Кроме того, была зафиксирована крупнейшая в истории утечка данных в отрасли здравоохранения — в результате этой утечки медицинская страховая компания Anthem потеряла 78,8 млн записей личной информации пациентов, а также еще от 8,8 до 18,8 млн записей, не связанных с пациентами.
Что касается ситуации в 2016 году, то нам еще предстоит дождаться его конца, но по прогнозу подразделения Health Insights исследовательской компании IDC, жертвой утечки данных в этом году может стать каждый третий пациент. В прошлом году наибольшее количество всех нарушений было классифицировано как «несанкционированный доступ или раскрытие информации», но 90% из десяти крупнейших нарушений были классифицированы как «нарушение/инцидент ИТ-безопасности».
Пока же, в 2016 году, мы наблюдаем появление другой тенденции — и в число основных угроз теперь входят инциденты, связанные с украденными или утерянными устройствами и неправильным уничтожением архивной документации.
Вот три крупнейших инцидента года в этой растущей категории (на сегодняшний день):
- Партнеры Community Mercy Health
Что произошло: Документы были найдены в мусорном баке.
Количество затронутых пользователей: 113 000.
- Премьер Хелскейр, ООО
Что произошло: Ноутбуки были украдены из закрытого, охраняемого административного офиса (ноутбуки были защищены только паролями, а информация хранилась в незашифрованном виде).
Количество затронутых пользователей: 205 000.
- Региональный центр радиологии, Пенсильвания
Что произошло: Бумажные записи были потеряны по пути к мусоросжигательному заводу.
Количество затронутых пользователей: 483 000.
Как правило, это происходит потому, что организации здравоохранения не получают достаточного финансирования для улучшения своей инфраструктуры безопасности, поскольку вопросы кибербезопасности, к сожалению, не являются главным приоритетом для исполнительного руководства этих организаций.
С другой стороны, злоумышленники прекрасно понимают, что такие организации являются легкой мишенью, а их пользовательские данные плохо защищены.
Однако есть и положительные примеры.
Таким образом, служба здравоохранения Fraser Health Authority из Британской Колумбии (Канада) заметно отличается от традиционных организаций отрасли здравоохранения.
Благодаря дальновидным действиям руководства здесь была внедрена система аутентификации на основе сертификатов.
Смарт-карты были выданы всем 26 тысячам сотрудников и 2,5 тысячам врачей.
Благодаря этому Фрейзеру удалось не только значительно повысить уровень безопасности, но и добиться ряда других преимуществ, среди которых снижение эксплуатационных расходов, повышение дисциплины сотрудников и улучшение качества обслуживания пациентов.
Фрейзер — отличный пример того, как внедрение надежных протоколов безопасности не только позволило повысить продуктивность сотрудников, но и оптимизировало устаревшие системы.
Уязвимости при работе с медицинскими картами пациентов
Медицинские карты пациентов — один из самых ценных и востребованных товаров для хакеров.На черном рынке киберпреступники могут получить сотни долларов даже за фрагмент электронной медицинской карты.
Для сравнения, украденный номер социального страхования или данные кредитной карты на черном рынке оцениваются примерно в один доллар.
Причина, по которой медицинские записи являются таким ценным товаром, заключается в том, что эти карты содержат всю важную информацию, включая номер социального страхования, дату рождения и т. д. Это позволяет ворам создать новую кредитную карту или даже выставить счет страховым компаниям или правительству за фиктивные медицинские услуги.
Еще одной привлекательной особенностью медицинских записей, наряду с их высокой ценностью, является то, что они не теряют своей ценности и актуальности в течение очень длительного периода времени.
В то время как в случае финансовой информации возможность ее использования прекращается, как только жертве становится известно о мошенничестве и кредитная карта аннулируется или банковский счет закрывается, в случае медицинских записей информация может оставаться доступной на черном рынке для долго.
И эта информация может быть продана или монетизирована различными способами, в том числе посредством покупки или продажи контролируемых лекарств или посредством страхового мошенничества — все это действительно рынки с большим объемом продаж.
Высокая ценность медицинских карт пациентов является основной причиной появления такого большого количества программ-вымогателей в сфере здравоохранения.
Программы-вымогатели, которые шифруют сетевые данные и требуют деньги за ключи для их расшифровки, очень разрушительны, особенно в сфере здравоохранения, где время иногда имеет решающее значение.
Согласно недавнему опросу Quick HIT, проведенному Healthcare IT News и HIMSS Analytics, около 75% всех опрошенных больниц США, вероятно, были затронуты таким вредоносным ПО в 2015 году.
Проблемы безопасности в отрасли здравоохранения вызывают растущую обеспокоенность, особенно учитывая, что в ближайшие годы ожидается рост утечек данных.
Долгое время считалось, что отрасль здравоохранения отстает от остального мира, когда дело касается вопросов безопасности.
Фактически, многие организации здравоохранения ограничиваются соблюдением порой устаревших правил.
По данным исследования HIMSS Analytics IT Security and Risk Management, проведенного в 2016 году, только четверть респондентов имеют в своих организациях последовательную и единую программу по превентивному управлению рисками, и компании Старого Света часто опережают в этом своих зарубежных коллег.
В частности, голландская больница Albert Schweitzer Ziekenhuis (ASZ) ежегодно обслуживает более 500 тысяч пациентов в своей основной системе больниц и клиник.
Эта больница является хорошим примером организации, удачно сочетающей в себе высокий уровень безопасности и удобства для пациентов.
В больнице работает более 4000 сотрудников, и ASZ использует систему одноразовых токенов и облачный сервер аутентификации.
Это гарантирует высокий уровень безопасности информации пациентов, но в то же время обеспечивает лечащим врачам и среднему персоналу доступ к необходимой медицинской информации, где бы они ни находились – в здании больницы или за ее пределами.
Швеция – еще одна страна с очень передовыми технологиями, обеспечивающими безопасность и конфиденциальность медицинских карт пациентов.
Здесь действует инициатива SITHS, в рамках которой для идентификации сотрудников системы здравоохранения и социальных услуг используются смарт-карты, а должный уровень безопасности достигается за счет использования логинов и цифровых подписей.
Ключевым требованием к системе является обеспечение высокого уровня безопасности цифровых учетных записей практикующих врачей с помощью технологий двухфакторной аутентификации на основе смарт-карт, тем самым повышая безопасность пациентов и защищая их личные данные.
Сотрудники здравоохранения используют свои карты SITHS для доступа к Национальному обзору пациентов — общенациональному порталу, на котором хранится вся информация о пациентах в Интернете.
В настоящее время 100% всей документации в первичной медико-санитарной помощи хранится в форме электронных медицинских записей (ЭМК).
Кроме того, более 95% всех рецептов, выписанных в Швеции, передаются в электронном виде (электронные рецепты).
Ознакомьтесь с цифровыми решениями, используемыми в здравоохранении Швеции.
Защита мобильного доступа к медицинским данным
Теперь, когда мы узнали, как защитить записи пациентов в электронном виде, пришло время освоить мобильные технологии.Ожидается, что к 2020 году около 70% населения планеты будут пользоваться смартфонами, кроме того, в эксплуатации будет более 1,2 миллиарда планшетных устройств.
Мир становится все более взаимосвязанным, в результате чего все большее количество важных транзакций и все большая доля информационного взаимодействия осуществляются уже не посредством традиционного бумажного документооборота, а посредством электронных транзакций.
Это справедливо и для отрасли здравоохранения.
Медицинские карты пациентов будут храниться в электронном виде, а медицинский персонал сможет использовать планшетные устройства для доступа к ним.
Такие решения должны будут облегчить посещение пациентов в больничных палатах или оказание медицинской помощи на дому.
Электронные удостоверения личности с аутентификацией сертификатом открытого ключа (PKI) по-прежнему остаются одним из наиболее надежных методов обеспечения безопасности медицинских работников.
Эти идентификаторы позволяют осуществлять логическую, физическую и визуальную идентификацию человека и гарантируют защиту конфиденциальных данных пациентов от несанкционированного доступа.
Кроме того, эти учетные данные могут быть физически реализованы таким образом, чтобы реализовать модель «следуй за мной за рабочим столом» (информация всегда со мной), например, медицинская организация Sunrise Health Region в Саскачеване (Канада) успешно реализовала подобную модель.
решение.
Теперь сотруднику достаточно вставить удостоверение личности в картридер, чтобы начать сеанс и иметь возможность просмотреть медицинскую карту пациента на экране терминала.
Как только идентификатор удаляется из считывателя, сеанс закрывается, и информация о пациенте становится недоступной — в соответствии с международными стандартами HIPAA, согласно которым оставлять без присмотра рабочую станцию, не защищенную паролем, является нарушением.
Что происходит в случае с мобильными устройствами? Внедрение одного и того же решения безопасности на планшетных устройствах и смартфонах, не имеющих порта USB или слотов для чтения смарт-карт, может оказаться весьма сложной задачей.
Часто, когда речь идет о мобильных пользователях, применяемые стандарты безопасности не столь строги, а иногда и вовсе игнорируются.
Это связано с тем, что подобные решения просто не работают на многих устройствах, а это именно то, чего нельзя допускать, когда речь идет о конфиденциальной медицинской документации и защите личной информации о здоровье отдельных лиц.
Технология Bluetooth — единственный канал связи, реализованный в самых разных конечных устройствах, поэтому эту технологию можно использовать для аутентификации практически на любом устройстве.
Например, медицинский работник сможет просто «привязать» адаптер электронного удостоверения личности (держатель бейджа) к своему мобильному устройству — аналогично тому, как мы привязываем мобильный телефон к автомобилю.
Благодаря MobilePKI, как только такая ссылка будет установлена, смарт-карта будет распознана и обработана так, как если бы она была вставлена в кард-ридер на ноутбуке.
Внедряя решение Bluetooth, организации здравоохранения могут расширить возможности инструментов безопасности на основе PKI, предоставляя врачам и медсестринскому персоналу дополнительную свободу и возможность использовать мобильные устройства в любое время и в любом месте.
В дополнение к дополнительному второму фактору аутентификации PKI Bluetooth позволяет сотрудникам ставить цифровую подпись на важных документах, таких как электронные рецепты.
Электронные идентификационные адаптеры и жетоны, использующие технологию Bluetooth Low Energy, являются жизнеспособным решением.
Его могут легко внедрить организации здравоохранения и интегрировать в существующую экосистему цифровых удостоверений для достижения желаемого баланса между безопасностью и мобильностью.
Таким образом, «вакцина» от «новой чумы», ставшей в последние годы утечкой медицинских данных, близка к широкому использованию.
Теги: #Gemalto #безопасность #медицина #информационная безопасность #защита данных #защита персональных данных #онлайн-безопасность #здравоохранение #токены #медицина будущего #медицинский документооборот #Bluetooth #электронные сертификаты #верификация #мобильные устройства #информационная безопасность
-
Ноутбук Toshiba Satellite A300-20F
19 Oct, 24 -
Исследуйте Азарт, Играя В Игры-Одевалки
19 Oct, 24 -
Кребер, Альфред Луи
19 Oct, 24 -
Значение Статьи Реклама И Маркетинг
19 Oct, 24 -
Проксетерий: Глава 1. Часть 1: Введение
19 Oct, 24
