Выжать любой ценой


Медицинская отрасль лидирует по утечкам данных.

Почти две трети медицинских организаций столкнулись с утечкой данных. Половина из них скрывает факт происшествия. Это показали результаты исследования, проведенного специалистами по кибербезопасности компании «СёрчИнформ». Эксперты считают, что проблема заключается в нехватке квалифицированных кадров и слабой цифровой грамотности персонала. В Минздраве «Известиям» заявили, что не готовы прокомментировать результаты опроса, но сообщили, что в сфере здравоохранения применяются сертифицированные средства защиты электронных данных. Однако большинство опрошенных представителей медучреждений сообщили, что виновниками инцидентов стали собственные сотрудники. Ситуация усугубляется нежеланием руководителей организаций обращаться в суд.

Здоровье в цене

Компания «СёрчИнформ» подвела итоги ежегодного исследования информационной безопасности в российских организациях. В анонимном опросе участвовали более тысячи руководителей и сотрудников подразделений, которые отвечают за защиту от утечек данных.

Работа затронула область IT, нефтегазовый сектор, промышленность и транспорт, кредитно-финансовую сферу, ритейл, здравоохранение и другие отрасли. Выяснилось, что больше всего проблем с утечками информации в 2019 году испытывали медицинские учреждения: 69% организаций. К иным инцидентам относились саботаж, промышленный шпионаж в пользу конкурентов и попытки заработать на откатах.

Личную информацию потеряли 42% компаний, столкнувшихся с происшествиями в области информационной безопасности. Примечательно также, что 57% участников исследования — представители госсектора. Круг злоумышленников, которым интересны данные из медицинских компаний, очень широк — от маркетологов до страховщиков.

— Медицинские данные могут использоваться для шантажа и манипуляций больными людьми, покупки лекарств третьими лицами или рекламы низкокачественных препаратов, — отметил заведующий кафедрой «Интеллектуальные системы информационной безопасности» МИРЭА, доцент Шамиль Магомедов. — К тому же информация может быть не только украдена, но и утеряна. Так часто бывает в случае атак «вирусов-вымогателей», зачастую нацеленных именно на медицинские учреждения, которые не могут функционировать без доступа к картотеке пациентов.

Враг среди нас

Больницы и поликлиники часто становятся легкой мишенью для хакеров. Причем происходит это не из-за плохой технической оснащенности. Главная проблема заключается в подготовке кадров. Эксплуатируют сложное техническое ПО, как правило, не специалисты по информационной безопасности, а обычные врачи. 64% опрошенных были уверены, что к инцидентам чаще приводят действия собственных сотрудников.

— В любой больнице можно встретить медсестринский пост с незаблокированным компьютером и открытой картой пациента на экране, — рассказал председатель совета директоров «СёрчИнформ» Лев Матвеев. — Медицинских работников винить сложно, проблема в том, что никто не объясняет им, как опасна может быть халатность, когда речь идет о важных данных. Пока ситуацию во многих российских медицинских организациях, как это ни парадоксально, спасает низкий уровень цифровизации.

По словам руководителя направления аналитики и спецпроектов ГК InfoWatch Андрея Арсетьева, в российской медицине уровень информатизации пока не очень высок — значительная часть данных до сих пор передается на бумажных носителях.

— Отсюда особая структура утечек из системы здравоохранения — пояснил он. — По нашим сведениям, более 35% зарегистрированных утечек произошло именно через бумажные документы. И, на мой взгляд, низкий уровень информатизации в медицине можно считать скорее плюсом в сложившихся условиях — потому что развитие цифровых хранилищ потребует эволюции информационной безопасности.

В качестве примера такой халатности можно привести случай, произошедший весной прошлого года. На свалке в Ростовской области нашли тысячи копий медицинских и личных документов из Багаевской ЦРБ — внутренних распоряжений, приказов местного минздрава, паспортов, СНИЛС и страховых полисов. Из сканов можно было узнать диагнозы пациентов и подробности их заболевания.

Преступление без наказания

В других случаях слив данных происходит намеренно. Так, в конце 2018 года в Башкирии чиновницу минздрава уличили в продаже персональной информации пациентов. Предположительно, она передавала информацию фармкомпаниям, интересы которых лоббировала. Эти сведения помогали им выигрывать госконтракты на поставку дорогостоящих препаратов.

В марте 2019 года в открытом доступе была обнаружена медицинская база данных пациентов скорой помощи нескольких подмосковных городов. Из нее можно было узнать имена, адреса и телефоны, а также состояние здоровья обратившихся к врачам людей. База находилась практически в открытом доступе на серверах MongoDB (система управления базами данных) и не требовала авторизации или других настроек безопасности. Ее распространение приписывают группе украинских хактивистов.

— Мы не ведем статистику по утечкам, но можем подтвердить, что взлом компьютерных систем медицинских учреждений чреват довольно серьезной угрозой — потерей персональных данных, включая диагноз пациента, — сообщил руководитель департамента системных решений Group-IB Антон Фишман. — Они представляют собой наиболее критичный тип персональных сведений. Факт использования системы, в которой все данные открыты и хранятся не в России, показывает, что и ее разработка, и приемка не учитывала требования законодательства.

Лишь 12% компаний обращаются в суд, чтобы наказать сотрудников, уличенных в сливе информации. Однако в здравоохранении ситуация выглядит еще хуже: никто из опрошенных с исками на нарушителей не обращался. Более того, в четверти случаев никаких санкций к преступникам не применялось, а в половине организаций сообщили, что вообще скрывают факт инцидента.

— Если данные по сливам из банков попадают в СМИ и получают общественную оценку, то медицинские утечки, как правило, остаются в тени, — сообщил Лев Матвеев. — Таким образом, пациенты просто не знают, что могут стать жертвой мошенника.

Дальше — хуже

По словам Шамиля Магомедова, проблема отчасти заключается в отсутствии грамотных правовых распоряжений в области защиты данных.

— Законодательно российские медицинские учреждения не обязаны защищать данные и проектировать свою инфраструктуру таким образом, чтобы она максимально обеспечивала безопасность обрабатываемой информации, — рассказал эксперт. — Соответствующие документы есть — например, постановление «О единой государственной информационной системе в сфере здравоохранения». Проблема в том, что в них не прописаны конкретные меры и регламент действий.

В Минздраве «Известиям» сообщили, что не готовы прокомментировать итоги исследования. Однако заявили, что предусмотрена система технических, организационных и других мер, направленных на обеспечение информационной безопасности, в соответствии с требованиями действующего законодательства Российской Федерации и нормативных документов ФСБ и ФСТЭК. Для обеспечения безопасности сведений в сфере здравоохранения применяют сертифицированные средства защиты. Передача данных ограниченного доступа осуществляется с применением средств криптографической защиты информации, сертифицированных ФСБ.

По заключению авторов исследования, проблем с утечками данных в медицинских организациях скоро станет еще больше. Россия приближается к ситуации, сложившейся в данной сфере в США и Европе. Там в 2017 году количество утечек информации в здравоохранении было самым высоким по сравнению с остальными секторами (данные Breach Level Index). Зарубежные цифры говорят, что в даркнете предлагаемая стоимость сведений об одном конкретном пациенте доходит до $1 тыс. и до $500 тыс. за электронную базу медицинских данных.

Ольга Коленцова, Анна Урманцева

«Известия»

Похожие новости
В Кузбассе жена заподозрила мужа в неверности и «на всякий случай» избила его коллегу
2019-12-07 05:27:08

В сентябре этого года 40-летняя местная жительница заподозрила мужа в измене. Подозрение пало на коллегу мужа, и женщина отправилась выяснять отношения с предполагаемой любовницей. Между женщинами завязалась ссора, которая переросла в драку. Когда у ...

Видео: в Кузбассе перевернулся автобус с рабочими
2019-12-07 05:27:08

Авария произошла утром 6 декабря, на дороге Ленинск-Кузнецкий – Свердловский около 10:30 опрокинулся автобус одного из местных предприятий. В этот момент в нём находилось 30 горняков. По предварительной информации, водитель поварачивая направо не спр ...

Выплачена треть задолженности по зарплатам в Кузбассе
2019-12-07 05:27:08

Как известно из наших предыдущих новостей, Кузбасс стал лидером по задолженности зарплаты. По данному вопросу появились новые подробности. Как сообщает телеграм-канал «Кузнецкое кайло»: «Кузбасские власти сообщили, что на самом деле задолженность по ...

Москвичи познакомились с наскальным искусством «Томской Писаницы»
2019-12-07 05:27:08

Целая коллекция наскальных рисунков «Томской писаницы» представлена в Доме Российского исторического общества в Москве: там открылась выставка «Сквозь века и пространства: наскальное искусство России». На выставке впервые представили копии-отливки дв ...

Кузбасские спортсмены выигрывают на российских соревнованиях
2019-12-07 05:27:08

Спортсмены из Кузбасса занимают призовые места по зимним видам спорта. Евгения Павлова, мастер спорта международного класса заняла второе место в дисциплине суперспринт на пять километров на втором этапе Кубка России по биатлону среди женщин, который ...

«Умные» счетчики повышают качество электроснабжения Сибири
2019-12-07 05:27:10

Компания «Россети Сибирь» до конца 2019 года установит ещё порядка 30 тысяч «умных» счётчиков электроэнергии. Таким образом, общее число интеллектуальных приборов учета на всей территории присутствия энергокомпании должно достичь 600 тысяч. Дополните ...

Россия с 1 марта ограничивает авиасообщение с Южной Кореей
2020-02-28 03:04:06

Россия приняла решение приостановить полеты в Южную Корею с 0:00 1 марта из-за распространения нового коронавируса COVID-2019. Отмечается, что пассажирские рейсы в страну будут выполнять лишь «Аэрофлот» и чартеры «Авроры». Ограничения будут действова ...

Раздельный сбор мусора оказался на грани провала
2020-02-28 03:04:06

Двухконтейнерная система оказалась неудобной и непонятной. Ряд почти одинаковых на вид мусорных баков. Один, с синей наклейкой, — для вторсырья, три других — с серой — для смешанных отходов. С января этого года так или примерно так выглядят площадки ...

Искусственный интеллект обнаружил новые антибиотики
2020-02-28 03:04:07

Подобного успеха добились Ученые из Массачусетского технологического института. Созданная ими компьютерная программа способна к самообучению и за время работы смогла найти девять веществ, пригодных к использованию в качества антибиотика. Данная новос ...

Денежный перевоз
2020-02-28 03:04:07

Новой мошеннической схемой стало «такси от банка». Социальная инженерия вышла на новый уровень — мошенники стали использовать такси, чтобы убеждать клиентов переводить деньги на счета злоумышленников, рассказали «Известиям» представители крупнейших ...

Причина нападения школьника с ножом на учительницу математики оказалась банальной
2020-02-28 03:04:07

У подростка был конфликт с парнем из другого класса, и он сорвался. Кошмарный случай в Ульяновске — школьник прямо на уроке ударил ножом учительницу математики. Причем, судя по профилю подростка в соцсетях, он взялся за оружие явно не случайно. 15-л ...

В Крыму намерены уберечь животных от жестокого обращения. Законодательно
2020-02-28 03:04:09

На заседании второй сессии Госсовета РК депутаты сразу в двух чтениях поддержали изменения в Закон «О содержании и защите от жестокого обращения домашних животных и мерах по обеспечению безопасности населения в Республике Крым». Проект закона доработ ...