Хакнутое здоровье: киберпреступники воруют не только данные пациентов, но и их жизни


image

05.01.2023 10595

С нового года в России все медучреждения страны станут выдавать рецепты в электронной форме. Предполагается, что это сделает невозможными подделку рецептов и многократную продажу препаратов по одному и тому же документу. Однако то, что не по зубам обычному человеку, не представляет особого труда хакеру. Только за 9 месяцев 2022 года в России было похищено 31 млн записей о пациентах клиник и лабораторий. По оценкам аналитиков, с каждым годом ситуация ухудшается.

В США с проблемой кибербезопасности столкнулись раньше, чем в России. Там с  2010 по 2014 год были украдены медицинские данные 50 млн человек, а в последующие пять лет это число увеличилось в четыре раза. Для больниц это выливается в огромные убытки. Так, одна из сетей больниц в Сан-Диего (США) понесла расходы в размере 112 млн долларов в первый месяц после атаки программы-вымогателя в мае 2021 года. Прибавьте к этому судебные иски от пациентов, которые также обходятся клиникам в десятки миллионов долларов.

В последнее время хакеры облюбовали американские детские больницы: они взламывают медицинские карты детей, чтобы, используя их данные, подделывать кредитные заявки. Самое страшное, что пациенты могут не обнаружить этого вплоть до того времени, пока не станут взрослыми. Впрочем, медицинские карты взрослых тоже становятся мишенью и используются для мошенничества со страховкой или рецептами. 

Но понятие “кибербезопасности” — это не только и не столько про сохранность персональных данных пациентов. Это прежде всего про их собственную безопасность. Ведь хакеры могут исправить информацию в электронных картах таким образом, чтобы человек, которому противопоказано то или иное лекарство, получил именно его, или “подключиться” к “капельнице” и перепрограммировать ее так, чтобы пациент не получил жизненно важный препарат. И это не какой-то сюжет голливудского триллера, а печальная реальность.

В прошлом году в штате Алабама в суд поступил иск от матери ребенка, который стал первой жертвой программы-вымогателя в этой стране. Из-за взлома медицинской информационной системы больницы в 2019 году были выведены из строя мониторы сердечного ритма, что привело к смертельному повреждению головного мозга новорожденного. Решение по нему пока не вынесено.

В ходе недавнего опроса, проведенного Ponemon Institute, четверть американских компаний, предоставляющих медицинские услуги, заявили об увеличении числа смертей пациентов после внедрения в системы вирусов-вымогателей.

Первая документально зафиксированная атака на подключенное к сети медоборудование в США произошла в мае 2017 года. Тогда после кибератаки на облачный онкосервис сторонней компании вирусом-вымогателем WannaCry были заражены приборы в нескольких американских больницах. В итоге больным раком, проходящим лучевую терапию в четырех учреждениях, пришлось перенести лечение.

Этот случай показал, что отрасль здравоохранения наравне с остальными не застрахована от кибератак и утечек данных. Помимо прочего, медицинские данные пациента нуждаются в особой защите, поскольку вся информация передается через облачные сервисы, которые можно взломать. 

Возможно, самым масштабным кибер-инцидентом в больницах за пределами США стала массовая атака программы-вымогателя WannaCry, затронувшая 150 стран, которая нанесла ущерб системе здравоохранения Великобритании. Программа-вымогатель заблокировала 200 тыс. компьютеров, нарушив работу 80 больниц, что привело к отмене 19 тыс. назначений и стоило более 100 млн долларов.

В августе этого года атака программы-вымогателя на больницу в Париже, Франция обошлась ей в 10 млн долларов. Пока клиника пыталась решить проблему, договориться с хакерами, вся медицинская документация велась персоналом исключительно в бумажном виде. 

Осенью текущего года схожей атаке подверглась одна из американских компаний, работающая в сфере оказания скорой медицинской помощи. Взлом системы привел к невозможности обрабатывать вызовы в короткие сроки и оперативно реагировать на них.

В будущем году американские клиники столкнутся с одними из самых «катастрофических» кибератак, прогнозируют аналитики. Причина номер один: нехватка ресурсов. Согласно исследованию компании BreachQuest, занимающейся цифровой криминалистикой, сегодня организации здравоохранения тратят от 4 до 7% своего ИТ-бюджета на кибербезопасность. Повышение этой доли будет означать подорожание медицинских услуг, которые и так недоступны большинству американцев. Поэтому в условиях дефицита бюджета безопасность информационных систем медицинских организаций, мягко говоря, оставляет желать лучшего.

Причина номер два: хакеры знают, что организации здравоохранения никуда не денутся и обязательно заплатят выкуп, чтобы обеспечить безопасность пациентов. Так, в 2021 году 61% организаций здравоохранения, подвергшихся атаке программ-вымогателей, заплатили выкуп — это самый высокий процент среди всех отраслей промышленности. Размеры этих выплат часто держат в секрете, но по итогам 2020 года он составил, в среднем, 4,6 млн долларов.

Причина номер три — постоянное увеличение в отрасли числа информационных систем и новых подключенных к интернету устройств. Первоначальные мощности больниц в подавляющем большинстве случаев абсолютно не отвечают растущим потребностям.

В России за 9 месяцев 2022 года было похищено 31 млн записей о пациентах клиник и лабораторий — зафиксирована утечка минимум 8 баз медорганизаций. Отдельно аналитики отмечают рост преднамеренных потерь данных: доля умышленно украденных баз, содержащих информацию о российских пациентах, увеличилась с 58,3 до 87,5%.

Выросла в два с лишним раза по сравнению с прошлым годом и доля инцидентов в сфере здравоохранения с участием хакеров, следует из отчета InfoWatch. Теперь она составляет 75%. 

В нашей стране все участники системы здравоохранения, в том числе частные клиники, должны передавать данные в Единую государственную информационную систему здравоохранения (ЕГИСЗ). Объем данных быстро прирастает за счет внедрения электронных медицинских карт, развития технологий диагностики и распространения носимых медицинских устройств.

«По мере того как медицинские учреждения внедряют личные кабинеты пациентов и переводят многие процессы взаимодействия в электронный формат, критически важная информация уходит за пределы защищенного контура», — говорит директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов.

Согласно положению о ЕГИСЗ, защиту информации в единой системе должен обеспечивать ее оператор: предотвращать атаки и утечки, отслеживать работоспособность системы и ее защищенность, а также восстанавливать информацию. Оператор должен взаимодействовать с Национальным координационным центром по компьютерным инцидентам.

Если произойдет утечка медицинских данных, то согласно ст. 13.11 КоАП РФ клиника, как оператор, обязана возместить нанесенный пациенту ущерб и оплатить штраф от 60 тыс. руб. до 100 тыс. руб. Наказание за повторную утечку достигает 300 тыс. руб. Сотрудника ждет выговор или увольнение за разглашение персональной информации, а в серьезных случаях – запрет на занятие профессиональной деятельностью до 5 лет или лишение свободы на срок до 4 лет.

Законодатель позаботился о том, чтобы медики были готовы работать с персональными данными пациентов в пределах клиники. Ну а если необходимо передать данные в ЕГИСЗ или обменяться ими с другими медицинскими и немедицинскими организациями (провайдеры, облачные хранилища, разработчики ПО для медицинских информационных систем)?

«Кто будет нести ответственность в случае утечки данных пациентов на этом этапе?», — задает вопрос главный врач клиники репродукции и генетики Next Generаtion Clinic Владимир Морев.

Основатель сервиса DLBI Ашот Оганесян связывает рост объемов утечек в сфере здравоохранения с общим увеличением числа кибератак после начала военных действий на Украине, а также с «традиционно низким» уровнем кибербезопасности в этом секторе. 

Многие эксперты убеждены, что проблема утечек медицинских данных связана, в том числе, с отсутствием серьезных санкций за них: до тех пор, пока не будут введены оборотные или «достигающие западного уровня» штрафы, у бизнеса не будет стимула полноценно решать проблему. 

В США, где, как уже было показано, кибератаки и кражи цифровой личности американцев – частое дело, сохранность личных данных граждан относится к зоне ответственности непосредственно государства, объясняет управляющий партнер юридической фирмы Legal to Business Светлана Гузь.

В России же с этим дело обстоит не так однозначно. 

«Например, у нас до сих пор не установлена ответственность государства за сохранность персональных данных пациента, которые он по требованию государства же размещает на портале госуслуг. Соответственно, когда происходит утечка и на пострадавшего без его ведома мошенники оформляют, например, кредиты, гражданин остается с этой проблемой один на один», — комментирует Светлана Гузь.

Ситуация в нашей стране усложняется еще и тем, что «правоохранительные органы не умеют расследовать эти преступления. Не умеет этим заниматься и судебная система, и другие правоприменители. 

«Все, что связано с защитой персональных данных у нас в России регулируется не эффективно и слабо», — резюмирует адвокат Международной Коллегии Адвокатов «Санкт-Петербург» Алексей Станкевич.

Вадим Винокуров

Сетевой медицинский журнал «Медицина Сегодня»
Ссылка