Медицинским организациям, оценивающим риски политик защиты конфиденциальной информации пациентов, очевидно, следует учесть еще один потенциальный вектор атаки. И исходить эта угроза будет от органов федерального регулирования.
Уже в этом году Министерство здравоохранения и социального обеспечения США начнет проверку 150 поставщиков медицинских услуг, выбранных случайным образом. Проверка, которая продлится до декабря 2012 года, будет направлена на выявление случаев игнорирования вопросов безопасности управления персональными данными и несоблюдения требований Закона об отчетности и безопасности медицинского страхования (HIPAA) и Закона о применении медицинских информационных технологий в клинической практике (HITECH).
Хотя проверка и не имеет непосредственного отношения к атакам на персональную идентификационную информацию (PII), которым органы регулирования надеются дать достойный отпор, поставщики услуг, не обеспечивающие достаточной степени безопасности, будут подвергнуты большим штрафам, а их репутация серьезно пострадает.
В начале текущего года больница Massachusetts General Hospital выплатила 1 млн долл. за нарушение конфиденциальности данных пациентов. Скандал разгорелся после того, как один из сотрудников больницы забыл медицинские карты в вагоне метро.
"Государственные органы решили применить самые жесткие меры к нарушителям требований конфиденциальности с момента введения соответствующего регулирования в 2003 году, – отметил президент консультационного агентства HIPAA Group Абнер Вайнтрауб. – К началу текущего года минздрав получил около 50 тыс. жалоб, но никаким штрафам поставщики услуг не подвергались. Все ограничивалось требованием устранения выявленных недостатков".
"Взимание штрафов минздравом можно расценивать как позитивную меру, – подчеркнула Келли Хаган, адвокат юридической фирмы Schwabe, Williamson & Wyatt. – В сочетании с профилактическими проверками этот шаг знаменует собой коренные изменения, с которыми придется столкнуться ИТ-директорам и директорам по информационной безопасности при организации выполнения требований законодательства. Неожиданно оказалось, что у HIPAA есть зубы, действие которых рискуют испытать на себе нарушители".
Но несмотря на это, количество брешей в системах обеспечения безопасности медицинских данных продолжает расти. В прошлом году Министерство здравоохранения США получило 207 сообщений об уязвимостях, от которых пострадало 500 человек. У злоумышленников появляется все больше стимулов к краже медкарт. Данные пациентов можно продать преступникам, заинтересованным в получении конфиденциальной информации, но еще более привлекательными становятся схемы с кражей медицинских учетных сведений.
Если украденные данные пациентов используются для предоставления медицинской страховки кому-то другому, ущерб наносится не только страховой компании, но и тем людям, идентификационные сведения которых были похищены. В их медицинских картах появляются записи о проведении анализов и лечении, которого жертва никогда не получала.
"Медицинские организации должны понять, что в их информационных хранилищах находятся не какие-то нейтральные данные, а весьма ценные активы, – подчеркнул Вайнтрауб. – И в этом смысле они больше похожи не на библиотеку, а на банк. Возможно, для защиты медицинских карт имеет смысл установить камеры слежения и привлечь дополнительную охрану".
ИТ-службам медицинских организаций приходится преодолевать и трудности технического характера. "Многие медицинские приложения в силу своей специфики должны обмениваться персональной учетной информацией фактически в режиме реального времени, – пояснил вице-президент консультационной и технологической компании Solutions Healthcare Management Джефф Биллз. – Это осложняет установку дополнительных средств безопасности, в частности межсетевых экранов, которые замедляют работу и снижают производительность приложений обработки изображений".
Вместе с тем многие вопросы безопасности должны решаться людьми. "Появление брешей в системе обеспечения безопасности данных связано с ошибками персонала и деловых партнеров, работающих от имени поставщика услуг, – отметил руководитель медицинских программ ICSA Labs Амит Треведи. – Уязвимости часто становятся результатом нарушений в бизнес-процессах или отсутствия необходимых процедур управления".
В разговорах с клиентами Биллз предупреждает их о рисках, связанных с персоналом. "Обычно мы пытаемся избежать неприятностей путем установки межсетевых экранов, внедрения антивирусов и средств предотвращения вторжения извне, но при этом забываем о злоумышленниках, которые находятся внутри корпоративной сети", – подчеркнул он.
Для выполнения требований HIPAA необходимо продумывать вопросы обучения персонала и создания атмосферы конфиденциальности, хотя это и выходит за рамки традиционной сферы деятельности руководителей ИТ-служб. Определение политик и процедур защиты персональных учетных сведений имеет очень большое значение.
"Здесь нужна поддержка руководителей медицинских учреждений и их кадровых служб, – считает юрист компании Butzel Long Сюзан Пэттон. – Возможности ИТ-служб при совершении людьми ошибок ограниченны. Исправить человеческую природу с помощью ИТ довольно трудно. Необходимо формировать культуру конфиденциальности. Требования к конфиденциальности должны стать неотъемлемой частью работы с пациентами".
"К этому и призывает нас HIPAA, – добавил Вайнтрауб. – Политики и процедуры, которые медицинские организации обязаны определить в соответствии с требованиями закона, следует довести до сотрудников понятным для них языком, и они должны четко выполняться.
Тем временем персоналу ИТ-служб следует сосредоточиться на внедрении передовых средств обеспечения безопасности, которые применяются во всех отраслях, не акцентируя внимание исключительно на HIPAA, ведь требования закона и общей безопасности во многом пересекаются. Если для защиты сети и данных сделано все, что необходимо, это автоматически влечет за собой соблюдение основных требований HIPAA. А трудности остаются все те же: старый набор уязвимостей и недостаточно высокая квалификация персонала".