Телемедицине не хватает защиты
С момента принятия закона о телемедицине в Башкирии к Единой государственной системе в сфере здравоохранения (ЕГСИЗ, — прим. «ИТ») подключились все государственные медицинские учреждения. Принятые Курултаем РБ поправки позволяют вести онлайн-приемы и частным клиникам. Однако все еще открытым остается вопрос защиты персональных данных. Недостаточное внимание к вопросам информационной безопасности в этой сфере может привести, в том числе, к утечкам в сеть историй болезней, или получению злоумышленниками контроля над медицинской аппаратурой.
После запуска телемедицины в регионе стал актуальным вопрос защиты данных пациентов
Фото: Дмитрий Лебедев, Коммерсантъ / купить фото
Закон о телемедицине в России вступил в силу 1 января 2018 года. После его принятия врачи могут давать онлайн-консультации и вести наблюдение за здоровьем пациента удаленно. Телемедицину в Башкирии развивают в рамках федерального проекта «Информационная инфраструктура» национальной программы «Цифровая экономика Российской Федерации» и федерального проекта «Цифровой контур здравоохранения» национальной программы «Здравоохранение».
Для того, чтобы начать работу в этом направлении, республиканским больницам нужно было зарегистрироваться в реестре медицинских организаций ЕГСИЗ, а врачам — в Федеральном регистре медицинских работников, предусмотрено было также подключение к Центру дистанционных консультаций (ЦДК, — прим. «ИТ»). В настоящий момент к системе подключены все медицинские организации республики трех уровней.
В 2018 году в Госсобрании — Курултае РБ были приняты поправки в закон «О частной медицинской деятельности в Республике Башкортостан» от 2002 года, после чего телемедицина стала также доступна и для частных республиканских клиник. Частным медикам в Башкирии разрешено выписывать электронные назначения, выдавать справки-файлы, рецепты на лекарства, вести консультации. При принятии законопроекта отмечалось, что переход в коммерческих клиниках на цифровую документацию не требовал дополнительного финансирования, так как материальная база была полностью готова.
В 2018 году в регионе больше всего телеконсультаций прошло в Республиканском кардиологическом центре — 803, в Республиканском клиническом перинатальном центре — 763, в Республиканской клинической больнице имени Куватова — 579. Активной также была Учалинская больница, городская клиническая больница №13 в Уфе, городская больница в Кумертау.
Всего в 2018 году медицинскими организациями республики проведено свыше 3,7 тысячи телеконсультаций, из них 225 — с федеральными центрами. В 2017 году состоялась 3031 медицинская консультация онлайн. Большая доля приемов онлайн была связана с вопросами кардиологии, онкологии, сосудистой хирургии — 54% от общего числа.
Новые угрозы
Одной из самых серьезных проблем развития сферы телемедицинских услуг эксперты называют защиту персональных данных. Недостаточная оснащенность оборудованием, отсутствие законодательного регулирования и компетентных сотрудников в кибербезопасности могут привести, как минимум, к разглашению истории болезни пациентов.
Регулирование деятельности по обработке и использованию персональных данных в России определяется ФЗ-152 «О персональных данных». За безопасность персональных данных отвечает оператор системы: организации, которые хранят, собирают, передают или обрабатывают персональные данные, должны выполнить ряд технических и организационных требований по защите этой информации. Каждая организация обязана иметь пакет документов, подтверждающий защищенность персональных данных.
Однако стандартных мер защиты персональных данных для телемедицины недостаточно.
«В телемедицине оператор может наткнуться на некоторые «подводные камни», с которыми он не сталкивается при обработке персональных данных в других информационных системах. Это связано с тем, что в телемедицине обрабатываются специальные категории и биометрические данные о состоянии здоровья пациента, физиологические и биологические особенности человека. Такие данные требуют принятия дополнительных мер защиты», — поясняет директор филиала АО «ЭР-Телеком Холдинг» (ТМ «Дом.ru Бизнес», «Дом.ru») в Уфе Ольга Карелина.
Медицинские организации, использующие компоненты телемедицины, обязаны обеспечить защиту системы от несанкционированного доступа и вирусных атак, а также защиту каналов передачи данных, внедрить решения для обнаружения вторжений и анализа надежности. Для идентификации пациентов должна использоваться единая система идентификации и аутентификации на Госуслугах, документирование информации об оказании медицинской помощи пациенту с применением телемедицинских технологий должно осуществляться с использованием усиленной квалифицированной электронной подписи, сообщает директор «ИТ Энигма Уфа» Александр Оводов и в то же время отмечает, что в защите есть пробелы.
«Телемедицина — это стремительно развивающийся рынок, на него выходит большое количество компаний и сервисов. Разрабатываются такие сервисы и приложения в большинстве своем без учета требований к обеспечению информационной безопасности. В результате разработанное программное обеспечение, приложения для мобильных устройств имеют уязвимости, которыми пользуются злоумышленники. Кроме того, многие компании, эксплуатирующие телемедицинские сервисы, не знают о требованиях информационной безопасности или частично их игнорируют. В результате становятся легкой мишенью злоумышленников, которые незаконно получают персональные данные пациентов и продают их на черном рынке или используют против пациентов. Яркие свежие примеры недостаточной защищенности персональных данных пациентов — базы данных двух крупных телемедицинских сервисов оказались в открытом доступе. Кроме того, при передаче организации обязаны использовать сертифицированные ФСБ средства криптографической защиты информации. Еще несколько лет назад на рынке не было сертифицированных решений, которые бы могли обеспечивать безопасность передачи данных между врачами и пациентами без покупки пациентами средств криптографической защиты информации. Сейчас такие решения есть, но используют их единицы», — отмечает он.
Иван Працкевич, специалист компании Mindray-shop.ru, занимающейся поставкой интеграций и разработкой системных решений для медицины отмечает, что помимо утечек данных пациентов, злоумышленники могут получить контроль и над медицинским оборудованием. «Пример — больница из небольшого города республики хочет показать федеральному центру данные своего пациента. Допустим, чудо — и в ЦРБ есть DICOM (Digital Imaging and Communications in Medicine — медицинский отраслевой стандарт создания, хранения, передачи и визуализации цифровых медицинских изображений и документов обследованных пациентов, — прим. «ИТ»), и мы можем отправить снимки КТ, рентген, МРТ, УЗИ-исследования. Может, даже настроена LIS (Laboratory information system — лабораторно-информационная система, прим. «ИТ»), и тогда есть доступ к анализам, которые были сделаны или назначены. Но в 99% случаев консультация ограничится письмом по электронной почте. В удаленных районах республики, для которых телемедицина необходима в первую очередь, отсутствуют элементарно специалисты, способные работать на современном оборудовании. После запуска всего этого механизма в массовом порядке, безусловно, необходим специальный канал передачи информации. Так как в противном случае, используя сеть WI-FI для посетителей, можно получить доступ не только в раздел с персональными данными, LIS-диагнозами и назначениями, но и взаимодействовать с критически важными системами наркозно-дыхательной аппаратуры, инфузионными системами, техникой для искусственного кровообращения и т.п. На сегодня наши клиники не готовы к подобному типу угроз полностью».
Рассчитывать на собственные силы
Опрошенные «ИТ» эксперты отмечают, что для развития защиты персональных данных в телемедицине необходимо принять соответствующие законодательные акты — действующих недостаточно.
В Роскомнадзоре планируют рассмотреть вопрос нормативного установления заданных параметров качества связи в сегментах, связанных с обеспечением жизни и здоровья человека. Начальник Управления контроля и надзора в сфере связи Роскомнадзора Денис Пальцин отметил, что вопросы качества оказываемых в Российской Федерации услуг связи, в медицинской среде нормативно-правовыми актами не урегулированы, поскольку были выведены из-под регулирования и отданы конкурентному рынку в период конца 80-х — начала 90-х годов.
Однако вопрос совершенствования нормативной базы может оказаться намного шире одной только сферы телемедицины. По мнению руководителя отдела Департамента информационной безопасности ООО «Сервионика» Александра Сальникова, удаленный мониторинг здоровья с использованием медицинских приборов соответствует парадигме «Интернета вещей», для которого российских стандартов пока нет. «На сегодня, пожалуй, единственным прикладным отраслевым документом в области защиты информации в медицине, не считая общеизвестных и частично устаревших ГОСТов, являются «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» от 2009 года. Их явно недостаточно с учетом современного развития информационных технологий. Отстают от современных ИТ-реалий и нормы регулирования в области телемедицины: отраслевого стандарта по информационной безопасности для этой сферы пока нет», — считает он.
В ситуации законодательных пробелов, следить за сохранностью информации должны, прежде всего, сами клиники. Юрист Александр Болдырев отмечает, что каждое медицинское учреждение должно иметь серьезный набор внутренних нормативных документов и средств защиты информации на случай хранения, обработки и передачи персональных данных пациентов. Должен быть назначен сотрудник, непосредственно и лично отвечающий за их сохранность, считает он.
«Кибербезопасность обеспечить не очень сложно. Есть области, где комплекс мер по соблюдению безопасности опережает медицину, например, банковская сфера. И опыт отраслей-передовиков может быть применим и к здравоохранению. Есть прямая корреляция между применяемым комплексом мер по защите персональной информации, ценностью этих данных и возможными негативными последствиями для субъектов персональных данных, если они попадут к злоумышленникам. В России ценность персональных медицинских данных не очень высока по сравнению с другими развитыми странами. И возможные негативные последствия в России сравнительно ниже. Например, в ряде стран стоимость медицинского полиса напрямую зависит от состояния здоровья пациента, и утечка персональных медицинских данных может существенно сказаться на стоимости полиса. Например, наличие онкологического заболевания может быть косвенно причиной в отказе приема на работу. Сейчас мы проходим этап осознания ценности персональных медицинских данных и оценки возможных рисков в случае их утечки. Осознавая возможные последствия, мы предъявляем все более жесткие требования к защите личной информации, совершенствуем законодательную базу», — подчеркивает глава отдела цифрового здравоохранения компании Philips в России и СНГ Сергей Лаванов.