Согласно результатам исследования, проведенного Ponemon Institute, доля утечек медицинской информации, вызванных активностью злоумышленников, за период с 2010-го по 2016 год возросла с 20 до 50%, при этом в учреждениях отрасли здравоохранения с защитой своих информационных систем не справляются.
В среднем доля медицинских организаций, пострадавших от утечек, остается неизменной — на уровне 85-95%, сообщил Ларри Понемон, председатель совета директоров Ponemon Institute, однако количество утечек, вызванных случайной утратой устройств, снизилось.
В последнее время серьезное беспокойство стали вызывать программы-вымогатели и DoS-атаки — из-за них работа медицинского учреждения может остановиться, под угрозой оказываются жизни людей. Программы-вымогатели шифруют все данные, лишая медиков доступа к историям болезни пациентов, а DoS-атаки приводят к отключению систем, позволяющих обращаться к медицинским картам.
«Сейчас во многих случаях системы электронных медицинских карт в учреждениях здравоохранения доступны через Интернет или даже находятся в облаке», — пояснил Понемон.
«Похоже, сегодня сложилась ситуация, когда противник побеждает», — говорит Рик Кам, президент компании ID Experts, по заказу которой проводилось исследование.
Одна из причин, продолжил он, это перекладывание вины. Поставщики медицинских услуг указывают на других участников бизнеса, в том числе на фармацевтические и страховые компании, а те в свою очередь винят медицинские учреждения.
«При этом ни сами организации здравоохранения, ни их партнеры не делают того, что требуется, — полагает Кам. — Бюджеты, выделяемые на информационную безопасность, немного выросли, но этого недостаточно, чтобы справиться с растущей угрозой».
Еще одна причина заключается в том, что большинство медицинских учреждений — регионального и местного уровня, у которых не слишком много денег.
В самих медучреждениях понимают, что их информация — лакомый кусок для злоумышленников. Больше двух третей опрошенных (69%) признали, что в их организациях риск утечек данных выше, чем в других отраслях.
Некоторые улучшения все же есть. Среди респондентов 63% отметили, что в их учреждениях предусмотрены правила и процедуры по предотвращению и быстрому распознаванию несанкционированного доступа к данным пациентов, тогда как в прошлом году аналогичный показатель составил 58%. Кроме того, 57% сообщили о наличии квалифицированных специалистов, способных обнаруживать утечки и устранять их последствия, тогда как в 2015 году таких было 53%.
Помимо этого, в 71% организаций есть план реагирования на инциденты, подразумевающий участие специалистов по ИТ, информационной безопасности и юристов, — этот показатель вырос на 2%.
Однако в 52% медицинских организаций признались, что бюджеты безопасности по сравнению с прошлым годом остались прежними, а в 10% и вовсе уменьшились.