Созданная около пяти лет тому назад отраслевая организация Health Information Trust Alliance (HITRUST) объявила об учреждении Координационного центра реагирования на инциденты кибербезопасности, куда за помощью смогут обращаться медицинские организации.
В состав руководства HITRUST входят гиганты отрасли здравоохранения и индустрии ИТ, например WellPoint, Kaiser Permanente и Cisco. Как заявляют в HITRUST, центр создан, чтобы помочь американскому здравоохранению бороться с кибератаками посредством своевременного предупреждения об угрозах кибербезопасности и публикации соответствующей информации.
«Группа будет бороться с угрозами кибербезопасности, направленными против применяемых в организациях здравоохранения сетей, мобильных устройств, рабочих станций, серверов, медицинских приборов, — говорится в заявлении. — Обмен информацией о киберугрозах жизненно важен, он предоставит медицинским учреждениям необходимые им средства защиты и кризисного управления. Первоначально центр будет сотрудничать и делиться информацией об инцидентах безопасности с 14 ведущими отраслевыми организациями, включая страховые компании и системы здравоохранения, а также с Министерством здравоохранения и социального обеспечения США. Центр будет взаимодействовать с HITRUST и другими организациями для выявления инцидентов и устранения их последствий, а также принимать и анализировать сведения о киберугрозах из многочисленных источников, а затем предоставлять эту информацию участникам. HITRUST будет помогать им в выборе инструментов и механизмов безопасности, необходимых для поддержки инициатив центра».
В HITRUST уже создали информационную систему Common Security Framework, ею смогут пользоваться любые организации, создающие и хранящие личные медицинские и финансовые данные, а также обменивающиеся ими и получающие к ним доступ.
«Совершенно очевидно, что с переходом на электронные медицинские карты отрасль здравоохранения все чаще будет становиться объектом кибератак, поэтому необходимо уже в ближайшем будущем создать систему, которая позволит сообща реагировать на такие атаки и предотвращать их», — полагает Хорхе Десезаре, главный администратор по безопасности данных компании Dignity Health.
Организация Healthcare Information and Management Systems Society дважды в год проводит в медицинских учреждениях опрос, посвященный проблемам кибербезопасности. Судя по результатам последнего из этих опросов, проведенного по заказу Kroll Advisory Solutions, продолжает расти число поставщиков медуслуг, сообщающих об утечках данных о пациентах. Такие утечки все чаще происходят из-за утраты ноутбуков и мобильных устройств.
«Применение новых технологий, в особенности мобильных устройств, на работе выросло на порядки, в результате чего не только улучшилась результативность деятельности, но и возросло число нарушений безопасности, — говорится в докладе, подготовленном по результатам опроса. — С появлением многочисленных мобильных устройств в смотровых кабинетах и административных помещениях растут и направления потенциальных атак. К этому добавляются риски, связанные с халатностью служащих и устаревшими организационными политиками, которые не учитывают постоянное развитие технологий».
В опросе участвовали ИТ-директора, заведующие медицинской информацией, а также директора по защите личных данных и безопасности, работающие в 250 больницах и медицинских центрах. Респондентов спрашивали о количестве известных им нарушений безопасности за последний год.
Выяснилось, что у 27% опрошенных за последний год произошло по меньшей мере одно нарушение, тогда как в 2010 году этот показатель составил 19%, а в 2008-м — 13%. В 79% нарушений были виноваты постоянные сотрудники организации, а большинство остальных инцидентов были вызваны действиями служащих, нанятых на контрактной основе.
Причиной около 40% брешей стали нарушения правил обращения с бумажными медкартами, включая их «неправильное уничтожение». Однако растет и число компьютерных брешей: в качестве источника потерянных или неправомерно использованных данных в 22% случаев называли ноутбук или карманное устройство — вдвое чаще, чем в 2010 году. Утечки медицинских данных, хранившихся сторонними операторами, упоминались в 10% случаев, это на 4% больше, чем двумя годами ранее. О взломе сетей, вызванных внешними атаками, сообщили в 3% случаев.
В докладе утверждается, что в большинстве медицинских учреждений формальный анализ рисков проводится на основании федеральных руководств, таких как «Правила конструктивного использования» Центра Medicare и Medicaid и рекомендации Национального института стандартов и технологий. Процедура такого анализа необходима, чтобы выполнить требования закона о восстановлении и реинвестициях 2009 года, обещающего возмещение за переход на электронные медкарты, и акта HITECH, который налагает штрафы за нарушения безопасности, вызванные недопустимым обращением с информацией о медицинском обслуживании пациентов.