Число нарушений информационной безопасности в медицинских учреждениях стремительно растет. К такому выводу пришли устроители анкетирования Benchmark Study on Patient Privacy and Data Security из исследовательского центра Ponemon Institute. Опрос проводился при финансовой поддержке компании ID Experts.
Всего в нем приняли участие 72 медицинских учреждения. В среднем финансовый ущерб этих организаций из-за утечек данных в 2010 году составил 185 тыс. долл., а в 2011 году достиг уже 2,2 млн. Общее количество нарушений тоже выросло — на 32% по сравнению с прошлым годом, причем 96% опрошенных поставщиков медицинских услуг сообщили по меньшей мере об одной утечке данных за последние два года.
Экстраполировав результаты исследования на всю американскую отрасль здравоохранения, специалисты Ponemon подсчитали, что утечки данных обходятся медицинским учреждениям США в 4,2-8,1 млрд. долл. в год.
При этом большинство утечек не были вызваны хакерскими атаками или вредоносными программами вроде червя Stuxnet. Согласно результатам исследования, в 41-49% случаев утечки стали следствием утраты ИТ-устройств сотрудниками учреждений — хищения или потери. Еще 46% опрошенных сообщили об утечках из-за недостаточно ответственного подхода к обеспечению информационной безопасности со стороны партнеров по бизнесу и даже поставщиков ИТ-услуг.
Исследование принесло и хорошие новости: доля респондентов, которым на утечки указали их собственные пациенты, снизилась по сравнению с прошлым годом с 41 до 35%.
Почему же утечек становится больше? Возможен целый ряд причин, считает Ларри Понемон из Ponemon Institute; например, расширение применения ИТ в медицинской отрасли и увеличение числа хакерских атак, направленных на кражу электронной медицинской информации. Возможно также, что в результате ужесточения нормативных требований медицинские учреждения начали более тщательно искать бреши, отсюда и рост обнаружений. Не исключено, что свою роль сыграли одновременно все перечисленные факторы, предполагает Понемон.
В 83% больниц указали, что после обнаружения утечки обычно уходит один-два месяца на оповещение всех затронутых пациентов. Почти 30% опрошенных признались, что утечки привели к хищениям личных данных, тогда как в прошлом году этот показатель составлял 26%.
«6,5 млрд долл. в год — огромная цифра, — считает Рик Кам, президент и сооснователь ID Experts. — Этого достаточно, чтобы платить зарплату 81 тыс. медсестер».