Утечки и кибератаки: проблема защиты данных в электронной медицине

2017-02-15

Утечки и кибератаки: проблема защиты данных в электронной медицине

Почти половина американцев опасается, что их персональные медицинские данные могут украсть. Об этом свидетельствует январский опрос, проведенный компанией Xerox (2017 Xerox eHealth Survey). При этом 75% опрошенных верит, что электронная медицина позволит сделать хранение и обмен данными более безопасными. Но вот так ли это на самом деле – вопрос еще не решенный. В конце концов, хакерские атаки никем не искоренены, и даже наоборот – с каждым годом становятся все сложнее и изощреннее.

Почему кибератаки на цифровое здравоохранение – это опасно?

Наверняка многие недоумевают по этому поводу. Действительно, на первый взгляд, непонятно, какую хакер может извлечь выгоду от знания болячек незнакомых людей. Разве что испытает гордость за себя и свои исключительные познания в методах взлома компьютерных систем. На самом же деле кибервзломщиков болезни не особо и интересуют. Им нужно другое.

Например, сведения, которые позволят получить доступ к финансам пациента – номер социального страхования, кредитной карты. Их всегда указывают в электронной медицинской карте. Владея этими данными, а также другой личной информацией (дате и месте рождения и т.д.) мошенники могут, например, получить контроль над финансами своей жертвы, завести новую кредитную карту на ее имя и даже выставлять счета страховым компаниям или государству за фиктивные медицинские услуги.

Существуют также программы-вымогатели, блокирующие доступ пользователя к его медицинской карте или приложению и требующие наличные за разблокировку. Кроме того, хакер может взять под контроль медицинские приложения и системы, изменяя их функциональность и заставляя рассылать, например, заведомо неверные данные. А это уже наносит вред не кошельку, а здоровью людей. Поэтому надежная защита от кибератак так важна.

Насколько защищена современная цифровая медицина?

Утечки и кибератаки: проблема защиты данных в электронной медицине - 1

Скажем так: какой-то единой суперзащиты пока нет, как нет и специальных программ, блокирующих вредоносные действия извне по типу компьютерных антивирусов. Это не значит, что медицинские гаджеты и устройства вообще не защищены. Каждый разработчик старается по максимуму обезопасить свой продукт, но, как правило, для этого используются традиционные методы вроде системы паролей, приватных вопросов, функции удаленной блокировки и т.д.

Но вполне вероятно, что даже эти базовые приемы используются не всеми. Например, недавно поднялась шумиха вокруг американской компании St.Jude Medical, в устройствах которой будто бы не нашли даже намека на защиту от киберугроз. Этим случаем даже заинтересовался американский регулятор FDA (Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США) – аналог отечественного Роскомнадзора. Теперь все продукты St.Jude Medical проходят тщательную проверку.

Защищенность больничных электронных систем тоже под вопросом. Согласно исследованию проблем ИТ-безопасности и управления рисками, проведенному HIMSS Analytics в 2016 году, только четверть лечебных заведений Европы и Америки пытается обеспечить защиту своих данных.

Плачевность ситуации доказывает и эксперимент Сергея Ложкина – исследователя из известной компании «Лаборатория Касперского», – результатами которого он поделился на саммите Security Analyst Summit. Ложкин решил взломать электронную систему одной из московских клиник. И взломал. Он обнаружил целый ряд уязвимостей, которые позволили ему проникнуть в базу данных и распоряжаться ею по своему усмотрению – добавлять произвольные файлы, смотреть список пациентов, их диагнозы и т.д.

Стандарты кибербезопасности медицинских устройств

Утечки и кибератаки: проблема защиты данных в электронной медицине - 2

Выработка эффективных методов защиты от хакерских атак – одна из ключевых задач цифрового здравоохранения. Причем это должны быть не только конкретные технологии, но и правовые нормы, обязывающие разработчиков mHealth-технологий, а также владельцев лечебных заведений принимать меры для защиты от хакеров.

Первые шаги в данном направлении предприняла уже упомянутая FDA. В феврале этого ведомство выпустило «Руководство по кибербезопасности медицинских устройств». Документ разрабатывался в течение длительного времени, периодически в прессе мелькали выдержки из него. На этот раз управление опубликовало полную версию руководства. Пока в документе содержатся требования только для производителей mHealth-гаджетов типа инсулиновых помп и кардиостимуляторов.

Среди прочего, FDA просит разработчиков создать необходимые условия для отслеживания уязвимости к кибератакам в создаваемых ими продуктах и обмена опытом в этих вопросах. Кроме того, управление обязывает разработчиков регулярно выпускать обновления, чтобы устранять все найденные погрешности.

Разумеется, данный документ не решит проблему полностью, но его создание, по крайней мере, сигнализирует о том, что угрозу кибератак в цифровом здравоохранении видят и намерены ее устранить.

Новости инноваций

05.03.19
Подборка медицинских гаджетов с CES 2019: часть 2

На прошлой неделе M-Health Congress рассказывал о первой шестерке медицинских девайсов с CES 2019, которая...

05.03.19
Мировое здравоохранение в 2019 году: развитие цифровых технологий и персонализированная медицина

По прогнозам аналитиков компании Deloitte, к 2022 году объем расходов на мировом рынке здравоохранения достигнет...

01.03.19
Цифровая медицина как способ сократить бумажную работу в сфере здравоохранения

По данным аналитического агентства Frost&Sullivan, рынок цифровых медицинских решений к 2021 году составит $6 млрд...