Организации, работающие в области здравоохранения, активно ищут средства управления безопасностью и конфиденциальностью, которые позволили бы врачам и медсестрам упростить выполнение служебных обязанностей и вместе с тем оградили бы информацию пациентов от посторонних глаз.
В медицинских учреждениях разворачиваются сложные системы с единым паролем, упрощающие вечно занятым врачам поиск нужных им записей. А технологии шифрования и предотвращения потери данных (Data-Loss Prevention, DLP) воздвигают дополнительные барьеры на пути утечки конфиденциальных сведений о пациентах. Причем с развертыванием соответствующих систем приходится торопиться, поскольку вступивший в силу закон о применении медицинских информационных технологий в экономической деятельности и клинической практике (Health Information Technology for Economic and Clinical Health Act, HITECH Act) обязывает все организации здравоохранения США незамедлительно сообщать в открытых средствах массовой информации о случаях утечки незашифрованных данных клиентов.
Таким образом, закон HITECH становится, по сути, движущей силой, побуждающей организации внедрять новые технологии (включая DLP), с тем чтобы не оказаться в черном списке неудачников, не сумевших уберечь данные своих пациентов.
Актуальные угрозы конфиденциальности медицинских систем
"В связи с принятием закона HITECH у нас внедряются сразу две крупные системы, -- сообщил Бен Натан, заместитель директора Weill Cornell Medical College по вопросам безопасности и управлению идентификационной информацией. -- Если мы утратим чьи-то персональные медицинские сведения или допустим их утечку, наша обязанность -- немедленно известить об этом всех и опубликовать соответствующее сообщение в средствах массовой информации".
На портативных компьютерах медицинского колледжа установлена система DLP, построенная на основе продукта Symantec Vontu, а также программное обеспечение шифрования компании PGP. В организации, насчитывающей почти 5 тыс. студентов и преподавателей, развернуты средства мониторинга электронных записей компании FairWarning, а также механизмы аудита, анализирующие процедуры доступа пользователей к данным и отслеживающие подозрительные действия.
"Мы хотим оперативно получать информацию о людях, которые неожиданно запрашивают вдруг сразу тысячу записей, при том что в день они обычно просматривают около десяти записей, а также о случаях, когда кто-то пытается получить доступ к данным другого отдела. -- пояснил Натан. -- Нам нужно постоянно быть в курсе происходящего, потому что причиной такой ситуации может оказаться чья-то взломанная учетная запись".
Средства мониторинга и обеспечения безопасности данных Weill-Cornell Medical College связаны с системой регистрации событий и управления информацией ArcSight. Тем самым обеспечивается централизация предупреждений и корреляция учетных данных. По мнению Натана, это лучший метод профилактики и управления рисками.
Впрочем, не только принятие закона HITECH заставило организации, работающие в сфере здравоохранения, обратить внимание на механизмы управления рисками. Дело в том, что врачи и обслуживающий персонал медицинских учреждений должны действовать быстро, а доступ к медицинским записям и результатам обследований пациентов зачастую затруднен. Объясняется это тем, что информация хранится в разных приложениях, и для обращения к каждому из них существует своя учетная запись и свой пароль.
Для того чтобы решить этот вопрос и облегчить медицинскому персоналу жизнь, специалисты центра Enloe Medical Center разработали единую идентификационную систему на основе ролевых продуктов Provisioning and Identity Manager компании Novell.
"Поиском альтернативы многочисленным учетным записям нас заставили заняться 500 работающих здесь врачей, -- пояснил директор ИТ-службы центра Джим Хауэнштайн. -- Но нужно быть готовым к тому, что на внедрение полнофункциональной системы управления идентификацией и инициализацией — а ее стоимость может составлять полмиллиона долларов и больше -- уйдет несколько месяцев".
Развертывание единой системы идентификации, позволяющей врачам, введя один раз свое имя и пароль, получить доступ сразу ко всем интересующим их приложениям, -- лишь первый шаг на пути к конечной цели. Помимо этого, предстоит выполнить очень много работы, связанной с так называемым управлением контекстом приложений. В результате врачи получат в свое распоряжение средства простого перехода из одного приложения в другое, позволяющие оперативно получать всю необходимую информацию о пациенте. Следующим шагом должно стать полноценное управление идентификацией для автоматической инициализации и деинициализации.
"На построение такой системы уйдет много времени и энергии, -- заметил Хауэнштайн. -- Здесь речь идет уже не о написании программного кода, а о проектировании шаблонов системными аналитиками, на которых возлагается задача создания грамотно скоординированной системы".
И если на определение нового профиля, скажем, студентки-практикантки обычно уходит порядка семи часов, то при использовании компонентов инициализации вполне можно уложиться и в полчаса. Заметно ускоряется также процедура деинициализации. "В данном случае нам не нужно обращаться к каждому отдельному приложению", -- пояснил Хауэнштайн.
Нельзя не отметить и открытость системы управления идентификацией и инициализацией Novell по сравнению с системой Forward Advantage, разработанной компаниями Encentuate (сегодня она входит в состав корпорации IBM) и Sentillion.
"Нам нужна открытая архитектура, которой мы могли бы управлять самостоятельно, не привлекая сторонних экспертов, -- подчеркнул Хауэнштайн. -- ИТ-инфраструктура центра Enloe построена по большей части на базе программного обеспечения Citrix и Microsoft и оборудования HP. И механизмы Novell хорошо вписались в эту среду".
По иронии судьбы преимущества единой системы регистрации и инициализации могут произвести совершенно неожиданное впечатление на тех, на кого они рассчитаны. Именно так произошло в медицинском центре Hartford Hospital, где управление единой идентификацией врачей также реализовано на базе продуктов Novell.
"Немалые усилия, направленные на внедрение единой системы идентификации, синхронизацию механизмов Novell e-Directory в Identity Manager со службой каталогов Microsoft Directory и определение правильных потоков работ, в конце концов завершились демонстрацией врачам того, как все это работает, -- вспоминал Фернандо Сегуро, менеджер клиники по вопросам проектирования систем. -- Однако результаты ее породили у сотрудников отдела медицинских записей совершенно неожиданные для нас проблемы.
Возникли опасения, что врачи будут покидать свое рабочее место, не выходя из приложений, имеющих доступ ко всему спектру унифицированных записей пациентов. А это открывает путь для утечки конфиденциальных сведений. Поэтому систему единой регистрации полгода назад пришлось отключить. Мы стали жертвами собственного успеха. Впрочем, в любое время можно вернуться к начатому. В медицинском центре уже внедряются и другие компоненты управления рисками, в частности устройства, реагирующие на присутствие специальных электронных карт и инициирующие автоматическое отключение от системы при потере связи с ними. Таким образом, вопрос, как защититься от утечки данных вследствие ухода врача, можно считать решенным".