Американский оператор Verizon выпустил отчет о состоянии безопасности в сфере здравоохранения, в котором проанализировал природу утечек критических данных, что особенно актуально в свете продолжающейся информатизации различных отраслей, в том числе здравоохранения. Исследование охватывает 25 стран, среди которых США, Канада, Австралия, Индия, Китай и ряд европейских стран.

По данным Verizon, подавляющее большинство (45%) инцидентов, связанных с компрометацией конфиденциальных данных в учреждениях здравоохранения, связаны с потерей или кражей устройства. Всего компания зафиксировала около 2 тыс. инцидентов, в результате которых утекло более 392 млн записей о пациентах.

Еще одна значимая угроза — это различные проявления человеческого фактора: например, в 20% случаев утечка произошла из-за случайной отправки конфиденциальной информации на неправильный email-адрес или из-за безответственного отношения к уничтожению конфиденциальных документов. К такому же количеству утечек (20%) приводит использование служебного положения (например, нарушение приватности знаменитого пациента любопытным сотрудником клиники). Как ни странно, вредоносное ПО и кибератаки стали причиной только 1,4% инцидентов.

Эта картина разительно отличается от положения дел в других отраслях, затронутых в отчете Verizon: в среднем потеря или кража устройства становилась причиной утечки только в 15% случаев, а по вине киберпреступников произошло 25% инцидентов. Авторы отчета объясняют это различным отношением к роли устройств: в сфере здравоохранения и подобных жестко регулируемых отраслях сотрудники всегда докладывают о пропаже устройства представителям правоохранительных органов или ИБ-компаниям, расследующим инциденты, как того требуют правила, но в то же время во многих случаях принятые нормы не обязывают их оповещать о других типах инцидентов.

«Например, если произошло заражение компьютера вредоносным ПО, которое не приводит к утечке данных пациентов, учреждения здравоохранения в большинстве случаев не уведомляют об этом никого, так как подобных требований не существует», — признал Марк Спитлер (Marc Spitler), менеджер по исследованиям Verizon в области информационной безопасности. В то же время потребность докладывать о краже или утере устройств в сфере здравоохранения значительно сокращает время обнаружения утечки.

Очевидной проблемой медицинских учреждений, как следует из отчета, является также высокий уровень доступа сотрудников к конфиденциальным данным: во многих случаях оказалось, что данные пациента легко доступны всем, в том числе обслуживающему персоналу, страховщикам, фармацевтам и т.д. Такое положение дел обеспечивает широкие возможности для компрометации данных.

Выводы отчета нельзя назвать однозначными. С одной стороны, с развитием киберпреступности информация о здоровье подвергается все большей опасности: с 2009 года от таких утечек пострадала половина населения США. ФБР уже предупреждало учреждения здравоохранения о «низкой степени защиты от киберпреступлений» в сравнении с другими отраслями вроде финансов или розничной торговли. С другой стороны, скорость выявления утечки в здравоохранении намного выше.

Данные о пациенте, к которым получают доступ медицинские учреждения, весьма критичны: они включают точное имя, возраст, домашний адрес, сведения о состоянии здоровья и результаты обследований. Если такой набор данных попадет в руки преступников, это может оказаться катастрофой для пациента и его семьи. Утекшие данные также могут стать инструментом для махинаций с медицинскими счетами, похищения личности, а также могут быть использованы как орудие шантажа против пациента, который, к примеру, занимает высокий пост или является знаменитостью.

Категории: Аналитика, Главное, Хакеры