Сотрудникам коммерческих компаний разрешают пользоваться собственными мобильными устройствами для служебных нужд, поскольку иного выхода просто нет — персонал вопреки любым запретам приносит планшетники и смартфоны на работу. Но будет ли верной разрешительная политика в больницах, где предотвращение утечек сведений о пациентах — задача первоочередной важности?
Мнения участников прошедшей в Торонто конференции по мобильной медицине на этот счет разошлись. «За» высказался ИТ-директор системы здравоохранения Индианы Deaconess Тодд Ричардсон. Он раскритиковал политику запрета несанкционированных беспроводных устройств в больничных сетях.
«Мы проиграем эту битву, не выдержав давления со стороны персонала, — заявил он. — Консьюмеризация никуда не исчезнет, поэтому необходимо принимать меры к защите информации с учетом новых принципов работы».
Противоположную позицию занял профессор медицинского факультета Оттавского университета Халед Эль Эмам, руководитель по исследованиям канадской организции Electronic Health Information Laboratory, специализирующейся в области защиты медицинской информации. Он зачитал целый доклад о рисках, связанных с использованием незащищенных беспроводных устройств.
«Война против консьюмеризации еще не проиграна», — полагает Эль Эмам.
На конференции обсуждалось немало тем, но участники снова и снова возвращались к вопросу о том, следует ли больничным администрациям самим выдавать беспроводные устройства персоналу или разрешить приносить собственные и ввести соответствующие правила защиты информации.
Медицинские и административные сотрудники больниц хотят пользоваться личными устройствами на работе по ряду причин, в том числе чтобы уменьшить объем бумажной работы и не носить с собой одновременно и личный, и рабочий смартфон или планшет. Некоторые предпочитают собственные аппараты, поскольку они позволяют не быть привязанными к рабочему месту.
Однако портативные устройства могут обойтись недешево, особенно большие планшеты. В центральной городской больнице Оттавы, например, пришлось оплатить покупку 3 тыс. экземпляров iPad для врачей и медсестер, а потом еще потратить 8 млн долл. на программное обеспечение, с помощью которого пользователи смогли вводить данные в систему электронных медицинских карт.
С другой стороны, это полезные инвестиции, считает вице-президент и ИТ-директор больницы Дейл Поттер: «Если администрация учреждения хочет ограничить число сотрудников, пользующихся смартфонами или планшетами на работе, и если необходимо, чтобы эти устройства стали частью стандартного потока работ, то нет другого выбора, кроме как выделить средства на них. Консьюмеризация же приводит к тому, что устройства неконтролируемо просачиваются в организацию».
Чтобы избежать лишних расходов, в шести больницах Deaconess решили позволить персоналу приносить на работу личные устройства. Администрации не нужно платить за устройства, обеспечивать техподдержку или беспокоиться о проблеме зависти, когда кому-то из служащих выдали последнюю модель планшетника, а у другим нет, — полагает Ричардсон. О своей личной собственности люди лучше заботятся.
Пользователи с соответствующими привилегиями могут подключаться к беспроводной сети больницы через решение компании Citrix, которым, как выяснилось, пользуются многие организации, приславшие на конференцию своих делегатов. Для поддержания безопасности на личные устройства не разрешено загружать конфиденциальные данные. Электронная почта защищается путем парольного доступа к серверу Microsoft Exchange. Кроме того, почта пропускается через систему ZixMail компании Zix, которая автоматически шифрует сообщения с определенными ключевыми словами (например, с номерами социальной страховки).
Эль Эмам перечислил, какие проблемы безопасности могут возникнуть у администрации медицинского учреждения в связи с использованием на работе личных мобильных устройств. Он сослался на недавно проведенное в США исследование, в котором сообщается, что половина утечек данных из медицинских учреждений происходит из-за потери или хищения мобильных устройств.
Существуют механизмы безопасности, такие как принудительный парольный доступ к личным устройствам и механизмы, которые позволяют сисадминам дистанционно стирать данные с утраченных устройств и вести протоколы работы с ними.
По мнению Эль Эмама, пользователям следует подписать соглашение, подтверждающее, что они изучили правила работы с устройством и доступа к данным по пациентам и содержащее требование немедленно сообщать об утрате смартфона или планшета.
В операционных системах многих устройств есть «черные входы» для технического обслуживания, предупредил эксперт. Пользователи могут свободно загружать на устройства любые приложения, через которые может произойти утечка данных. «Я считаю, что в целом разработчикам доверять нельзя, — заявил Эль Эмам. — Еще одна потенциальная брешь — это провайдеры облачных сервисов. Если бы все применяли хотя бы базовые меры безопасности, это уже был бы огромный шаг вперед. Но беззаботность неизбежно приводит к неприятным последствиям».
Ричардсон признает, что давать зеленый свет консьюмеризации ИТ, вероятно, стоит не во всех учреждениях. Однако, добавил он, формальную стратегию внедрения мобильных устройств разработать необходимо в любом случае: «Лучше идти вперед, учась на ошибках, чем топтаться на одном месте».