На «сером» рынке баз данных набирают популярность информационно‑медицинские продукты – картотеки полисов ОМС, истории болезни, мобильные телефоны пациентов частных и государственных клиник. Предложения доступны на «пиратских» рынках, в интернет‑магазинах и уже пользуются спросом у широкого круга покупателей – от фармкомпаний до туроператоров и агентств ритуальных услуг. VM сделал контрольные закупки некоторых товарных единиц информационной линейки и попытался разобраться, где начинаются их поставки.

ОМС-МАРКЕТИНГ

На Савеловском рынке базы данных предлагают две точки с соответствующей вывеской, управ­ляемые ИП «Ароян». Хит продаж – многофунк­циональные базы, включающие сразу реестры паспортных данных, водительских удостоверений и полисов ОМС. Такие продукты здесь реализу­ются отдельно по субъектам РФ. Например, диск с базой данных по Московской области обошелся VM в 1,5 тысячи рублей. Реестр ОМС на нем включает основную персональную информацию всех жителей этого региона: адрес и дату рожде­ния страхователя, номер его полиса и СНИЛС. «Если вам нужны данные только ОМС, попробуем собрать базу по всем регионам. Выйдет не дороже 10 тысяч рублей», – пояснил скидочную поли­тику продавец одной из точек и, чтобы развеять сомнения, тут же показал выгрузку такой базы в формате excel на своем ноутбуке.

Помимо картотеки ОМС, в ассортиментной линейке есть еще один продукт – «Медстрах». Кроме базовых персональных данных, этот реестр дополнен информацией об организации или ведомстве, которое покрывает человеку расходы по страховке. Стоимость такого предложения тоже находится в диапазоне 1,5-2 тысячи рублей.

Сотрудники территориальных ФОМС и страхо­вых компаний, опрошенные VM, утверждают, что им о продажах баз на свободном рынке ничего не известно. «Вероятно, произошла утечка ин­формации, но точно не от нас», – дистанцируется от темы сотрудник отдела безопасности ФОМС Владимирской области. Представители федераль­ного ФОМС на запрос VM не ответили. Продавцы на Савеловском, естественно, не раскрывают ни своих поставщиков, ни клиентов, ограничиваясьприкладными рекомендациями: «Мы же не спра­шиваем вас, зачем вам базы данных. Но если вы, например, из фармкомпании, то возьмите лучше базы абонентов сотовых операторов – сможете рекламу по SMS рассылать».

Савеловский рынок считается сейчас крупнейшей точкой продаж «серых» информационных баз. С ним конкурируют только «Горбушка» в Москве, городские рынки в регионах и интернет-мага­зины, в которых, правда, представлены совсем другие продукты. Например, сайт bazabd.ru предлагает базы психбольных Башкирии, нар­команов и психбольных Барнаула, пациентов медучреждений Тольятти и другие аналогичные картотеки, стоимость которых варьируется от 300 до 1 тысячи рублей. Помимо паспортных данных, в предлагаемых реестрах можно найти номера мобильных телефонов и адреса проживания ука­занных пациентов.

В профильных IT-компаниях говорят, что дан­ные в эти каналы продаж поступают в результате разного рода утечек из соответствующих учреж­дений, а количество «сливов» только в сегменте медуслуг уже достигает нескольких десятков в год. Например, по оценкам InfoWatch, в прошлом году медицина входила в число отраслей-лидеров по количеству информационных утечек с долей 8,3% от всех информационных потерь. По этому показателю она уступала только направлениям торговли, гостинично-ресторанных услуг, бан­ковскому сектору и госорганам. «Исследования основаны, как правило, на открытых источниках и показывают лишь верхушку айсберга. Реальный масштаб утечек может быть в разы больше», – отмечает руководитель аналитического центра компании Zecurion Владимир Ульянов.

ПРОТИВ ВЕТРА

Информационные потери начали фиксироваться в сегменте медуслуг еще с 90-х годов. «Первые утечки происходили случайно, но в основном были связаны с утерей бумажных документов, и в них не было подоплеки мошенничества. Такие случаи происходят и до сих пор», – говорит Вла­димир Ульянов из Zecurion. С ним соглашается ведущий эксперт компании InfoWatch по инфор­мационной безопасности Андрей Прозоров: «Чаще всего бумажные медицинские карты просто выбрасывают. Это классический пример россий­ского раздолбайства и наплевательства».

Некоторые случаи утечек по небрежности получи­ли широкий резонанс и даже привлекли внимание правоохранительных органов. Прошлой зимой в Ханты-Мансийском автономном округе ксеро­копии паспортов, СНИЛС и страховых медицин­ских полисов пациентов Сургутской городской поликлиники №4 оказались разбросаны по го­родскому парку «Кедровый лог». Как выяснилось, документы перевозились в архив медучреждения, и при погрузке часть бумаг просто унесло ветром. Инцидент получил всероссийскую огласку, и ру­ководство ЛПУ было вынуждено принять строгие административные меры. «Ответственное лицо, из-за которого в лечебном учреждении произошла такая оказия, было уволено», – сообщили VM в поликлинике.

Позже в городе Лангепасе того же Ханты-Ман­сийского автономного округа врач стоматологи­ческой клиники «Дентал» забыл амбулаторную карту пациентки в такси. Дальнейшего распро­странения персональных данных не произошло, водитель такси, обнаруживший карту, сразу позвонил по указанному в ней телефону. Тем не менее пациентка обратилась в региональную прокуратуру с требованием привлечь к ответ­ственности медучреждение. В результате в отно­шении клиники и врача были возбуждены адми­нистративные дела по ст. 13.11 КоАП РФ. Правда, по итогам рассмотрения дел, как сообщили VM в региональной прокуратуре, все ограничилось лишь вынесением предупреждения врачу и медуч­реждению.

Представители компаний, специализирующихся на информационной безопасности, отмечают, чтослучайные утраты бумажных документов в сег­менте здравоохранения, как правило, не имеют серьезных последствий ни для виновных, ни для потерпевших. Гораздо масштабнее ущерб от уча­щающихся преднамеренных электронных утечек из медицинских информационных систем.

Волна краж оцифрованных персональных данных начала подниматься в середине 2000-х параллель­но с активным внедрением медицинских инфор­мационных систем. По данным компании Inline Technologies, уже в первой половине 2008 года потери бумажных данных занимали только 10% от общего объема утечек в медицинских инфор­мационных системах, остальное приходилось на CD, DVD, флеш-накопители, серверы на­стольных компьютеров, ноутбуки, КПК и другие электронные носители информации. При этом злонамеренные «сливы» составляли уже почти треть всех случаев потери данных в сегменте ме­дицинских услуг.

Самой распространенной причиной электрон­ных утечек IT-эксперты называют кражу. «Красть могут врачи, потому как имеют прямой доступ к информации плюс материальную заинтере­сованность. Не секрет, что многие врачи взаи­модействуют с фармкомпаниями и – обычно на какой-то платной основе – рекламируют тот или иной препарат. И если фармкомпаниям будут необходимы какие-то списки по пациентам, некоторые медики могут согласиться на кражу баз данных пациентов, особенно если им будет предложена значительная сумма», – рассказы­вает Андрей Прозоров из InfoWatch. О хакерских атаках на информационные системы в сегменте медуслуг, по его словам, пока говорить не прихо­дится. Схожего мнения придерживается дирек­тор по развитию КМИС Александр Гусев: «Редко когда это бывают какие-то технические вещи или взломы систем безопасности».

В числе заказчиков «слива» персональной ин­формации из медучреждений, говорит Андрей Прозоров, помимо фармкомпаний, фигурируют и обыкновенные мошенники, которые, получая доступ к базам данных пациентов, звонят им, предлагая купить «эффективное» лекарственное средство от их заболевания. Кроме того, пер­сональные данные пациентов, в частности, их диагнозы, могут быть интересны компаниям, предлагающим, например, туры на оздорови­тельные курорты. «Получая доступ к базе данных пациентов больниц, они обзванивают их, пы­таясь мотивировать к поездке на один из таких курортов, иногда предлагая скидки для людей с конкретным диагнозом. Есть свой интереси у ритуальных агентств – они готовы платить за обновление базы умерших пациентов, чтобы оперативно предлагать родственникам свои ус­луги», – рассказывает Прозоров. Но наибольший интерес для кражи, по словам эксперта, пред­ставляют персональные данные знаменитостей: «Эту информацию готовы покупать, а значит, может найтись человек, который готов ее прода­вать». Ценники в России, конечно, поскромнее, чем 50 тысяч евро, предложенные за историю бо­лезни Михаэля Шумахера, но спрос на медкарты отечественных селебрити растет.

Нарастание волны утечек эксперты объясняют как минимум двумя причинами – несовершен­ством медицинских информационных систем и слабостью законодательной базы. Сейчас безопасность личной медицинской информа­ции в России подпадает под действие ФЗ №152 от 27 июля 2006 года «О персональных данных». Ответственность за безопасное хранение и рас­пространение информации о своих пациен­тах – как в электронном, так и в любом другом виде – возложена этим законом на медучрежде­ния. Отдельные технические требования к за­щите персональных данных в информационных системах прописаны в постановлениях ФСТЭК №21 и №17. Правда, санкции за потерю персо­нальных данных пока невелики: максимальное наказание, которое можно получить по ст. 13.11 КоАП РФ «Нарушение установленного зако­ном порядка сбора, хранения, использования или распространения информации о гражда­нах (персональных данных)», ограничивается штрафом до 1 тысячи рублей для должностных лиц и до 10 тысяч рублей – для юридических. По мнению экспертов из IT-компаний, подобная либеральность косвенно поддерживает низкий уровень защиты персональной информации в сегменте медуслуг.

ЗАЩИТНЫЕ РЕАКЦИИ

Найти учреждения медсектора, откуда проис­ходят утечки персональных данных, непросто. Опрошенные VM участники рынка медуслуг не комментируют состояние своей информа­ционной безопасности или утверждают, что не сталкиваются с проблемой утраты данных. Однако представители IT-компаний зафик­сировали в последние несколько лет всплеск заказов на услуги защиты данных именно со стороны медучреждений. «Если три года назад клиентов из этой отрасли у нас вообще не было, то теперь мы начали работать с кли­никами, которым устанавливаем DLP-системы и другие заслоны от внешних вмешательств. И часто утечки информации фиксируются уже на этапе внедрения наших систем», – рассказы­вает Владимир Ульянов из Zecurion.

Представитель компании «Информзащита» Андрей Тимошенко говорит, что частные клини­ки начали обращаться в его компанию три года назад: «До этого они пытались решать вопросы по защите персональных данных, в частности, данных о состоянии здоровья, самостоятельно. А в 2011 году у нас пошел вал клиентов, в том числе работающих в медицинском сегменте».

Компания «ДиалогНаука» два года назад заклю­чила контракт с крупной столичной клиникой «Медицина» на приведение ее информацион­ной системы в соответствие с международным стандартом защиты информации ISO/IEC 27001. «Соответствие такому стандарту позво ­ляет оптимизировать расходы на безопасность, риски, связанные с возможными ущербами для активов предприятия, операционные затра­ты», – считает гендиректор компании «ДиалогНаука» Виктор Сердюк.

Усилили внимание к вопросам защиты данных и территориальные отделения ФОМС. «Мы начали осуществлять отдельные проекты по ин­формационной безопасности еще в 2007 году, а два года спустя внедрили комплексную систему защиты, вся информация фонда про ­ходит по зашифрованным каналам, и утечки исключены», – говорит представитель ТФОМС Владимирской области. Его коллега из ТФОМС Оренбургской области говорит о подобных мероприятиях, проведенных примерно в тот же период: «Мы создали отдел информацион ­ной безопасности, прописали организацион­но-распределительные документы, внедрили технологии защиты персональных данных DLP». Представители фондов предполагают, что источником утечки данных о страхователях могут быть их партнерские страховые компа ­нии. Страховщики, опрошенные VM, такое предположение опровергают. «Случаев утечки у нас не было. В компании существует многоу­ровневая система защиты информации, которая предотвращает доступ к данным пользователей, не имеющих на это прав», – заверяет дирек­тор по маркетингу направления «Медицина» компании «АльфаСтрахование» Егор Сафрыгин. А топ-менеджер другой страховой компании гово­рит, что источником утечек медицинской инфор­мации, вероятнее всего, могут быть государствен­ные медицинские информационные системы.

Представители государственных поставщиков ЕГИСЗ утверждают, что утечки исключены. «Су­ществующая защита информации подразумевает комплекс мер, включающий регламенты, аппарат­ные средства защиты безопасности, софт», – убе­жден представитель компании «Ростелеком».

На периферии ситуация с информационной безопасностью неоднородна. Как сообщил VM источник, близкий к воронежскому МИАЦ, в регионе действует многоуровневая систе­ма защиты данных: «Никогда не встречал баз данных пациентов – ни на «Горбушке» в Во­ронеже, нигде, хотя одно время мы специ ­ально мониторили пиратские диски с базами данных, но пациентских баз мы не находили». На некоторых территориях страны о защите персональных медицинских данных говорить и вовсе не приходится, поскольку сама систе­ма ЕГИСЗ пока находится там на начальном этапе инсталляции. Например, ответственные за работу ЕГИСЗ подразделения администра­ции Ленобласти в мае только разрабатывали план по ее внедрению. Интересно, знают ли региональные чиновники, что на сайте bazabd. ru базу персональных данных 10 тысяч пациен­тов Ленинградской области можно без проблем приобрести за 1 тысячу рублей.

МИРОВАЯ ПРАКТИКА

Сливной банчок

Какой ущерб пациентам и операторам здравоохранения наносит безалаберность хранителей персональных данных

Текст: Ольга Каныгина, Евгения Журавлева, Максим Сильва-Вега

Продажа медицинской информации оформилась в отдельный сегмент «черного» рынка. Ежегодно в развитых странах из медицинских дата-центров «утекают» миллионы записей с персональными данными пациентов, а клиники теряют на этом миллиарды долларов. И чем масштабнее и глубже внедряются в отрасль электрон­ные информационные системы, тем мощнее становится поток нелегитимного контента.

Рынок здравоохранения с точки зрения утечек и последующей прода­жи конфиденциальной информации считается одним из самых уязвимых и «высокодоходных». По данным меж­дународной консалтинговой группы KPMG, в 2012 году медицина с долей 7,9% от общего числа информацион­ных краж вошла в пятерку отраслей, лидирующих по утечкам данных. А в рейтинге хищений с участием третьей стороны индустрия здравоох­ранения заняла третье место с долей 13%, уступив только сегменту тех­нологий и профессиональных услуг. По данным отчета Symantec 2013 Cost of Data Breach, максимальные финан­совые потери из-за информационных брешей несут именно медицинские операторы. Например, если потеря одной записи участникам финансово­го рынка обходится в $215, компаниям фармсектора – в $207, то игрокам рынка медуслуг – в $233.

В исследовательских компаниях от­мечают, что волна информационных краж во всем мире началась после перехода медучреждений на элек­тронные методики хранения меди­цинской информации о пациентах. Если во времена бумажного доку­ментооборота пропажа одной-двух медкарт уже считалась беспреце­дентным событием, то теперь никого не удивляет кража данных тысяч пациентов.

ГОСПИТАЛИЗИРОВАНЫ В GOOGLE

По данным Redspin Breach Report: Protected Health Information, в про­шлом году в США зафиксировано 199 случаев утечки медицинских данных, всего на семь больше, чем годом ранее. Разница становится ощутимой, если сравнивать объемы потерь: если в 2012 году незаконным путем было получено 2,9 млн записей с медицинскими данными пациентов, то в прошлом году – уже более 7 млн.

По данным Ponemon Institute, еже­годно утечка медицинских данных обходится американским фирмам, ра­ботающим в сфере здравоохранения, в $5,6 млрд. При этом 90% опрошен­ных как минимум однажды за послед­ние два года пострадали от «слива», а 38% – за тот же период времени понесли потери более пяти раз.

Самый распространенный источ­ник утечек на американском рынке здравоохранения – банальная кра­жа, из-за которой происходит 45,2% случаев потери данных, 22,1% случаев происходит в результате неавтори­зованного доступа к информации, 9,5% – из-за потери носителя, 6,1% – в результате хакерской атаки, 4,0% – из-за отсутствия пароля на электрон­ном устройстве.

Взломам и хакерским атакам спо­собствует уязвимость медицинских информационных систем. По данным опроса Ponemon, 65% американ­цев связывают медицинские утечки именно с недостаточной защитой баз данных, а 63% – с низким уровнем безопасности интернет-системы для регистрации пациентов.

Самый резонансный выброс ме­дицинских данных произошел в США как раз по этим причинам. В 2010 году информация о 6 800 пациентах New York Presbyterian Hospital, включая данные о состоя­нии здоровья, результатах анализов и назначенном лечении, попала в настолько широкий доступ, что ее можно было найти в Google. Утечка произошла в тот момент, когда один из докторов пытался отключить свой личный компьютер от общей сети. Инцидент получил огласку и грозил виновникам серией исков. В итоге в мае 2014 года New York Presbyterian Hospital и аффилированный с этим учреждением Колумбийский универ­ситет вынуждены были заплатить Министерству здравоохранения и социальных служб США рекордную сумму в $4,8 млн, чтобы урегулиро­вать конфликт.

Возрастающее количество утечек влияет на настроения в отрасли. Треть опрошенных Ponemon Institute участников рынка не планируют всту­пать в национальную систему Health Information Exchange, аккумулирую­щую информацию о медучреждениях: 72% респондентов опроса не уверены в надежности дата-центра.

ПОДРЯД НА ВОРОВСТВО

Лидерство по масштабам медицин­ских утечек с США делит Великобри­тания. По данным, опубликованным Daily Mail, в период с июля 2011 года по июль 2012 года в стране пропа­ло 1,8 млн документов, содержащих конфиденциальную медицинскую информацию, включая истории бо­лезни, результаты анализов и другие персональные сведения о пациентах. Однако, как подчеркивает издание, эта статистика основана лишь на дан­ных об известных пропажах – ре­альный масштаб бедствия оценить невозможно.

Нередко «сливы» в интернет дела­ются безо всякой корысти. Недавно британские власти обнаружили, например, сайт, где совершенно бесплатно предлагались оцифрован­ные медицинские записи, ведущиеся с 50-х годов.

Управление комиссара по информа­ции лишь за шесть месяцев 2012 года выписало штрафов на сумму 1 млн фунтов стерлингов в связи с несоблю­дением администрациями британских больниц правил, касающихся конфи­денциальности информации о паци­ентах.

Один из самых крупных штрафов – 200 тысяч фунтов стерлингов – был наложен на больницу NHS Surrey. Представители госпиталя заключили договор с компанией, которая занима­лась удалением данных с электронных носителей. В качестве платы за свои услуги компания просила разрешения на распродажу техники, из которой будет удалена информация. Решив заодно избавиться от компьютеров, руководство больницы подписало до­говор. Однако подрядчик не произвел обещанных манипуляций – данные о почти 3 тысячах пациентов остались в электронных устройствах, а через некоторое время были выставлены на продажу через eBay. Схема же утеч­ки стала известна после того, как че­ловек, купивший компьютер от NHS Surrey, обнаружил в нем медкарты пациентов клиники.

УКРЫТЬСЯ В ОФЛАЙНЕ

В антирейтинг стран, где происхо­дит наибольшее количество утечек медицинской информации, входят также Канада и Австралия. Несмотря на то что на борьбу с информацион­ными потерями направлена много­уровневая законодательная база, регламенты, предполагающие строгую ответственность за безалаберность или злонамеренное нарушение пра­вил информационной безопасности, «слив» персональных данных остано­вить не в силах.

Три случая утечки данных были обна­ружены в сентябре 2012 года в ходе проверки эффективности взаимо­действия между исследовательскими институтами и Министерством здра­воохранения Канады. Оказалось, что данные канадских пациентов были сохранены на незакодированный USB-носитель, и информация, вклю­чавшая номера медкарт, гендерную принадлежность, даты рождения, исто­рию болезни, срок пребывания в кли­нике и суммы, потраченные на лече­ние, а также данные об умственном, физическом и сексуальном здоровье пациентов, оказались не защищены. По итогам расследования семеро участников событий потеряли работу, было заведено два судебных дела. Правда, стоимость утечки информации так и не была озвучена публично.

Министр здравоохранения канадского штата Британская Колумбия Маргарет МакДиармит тогда попыталась сгла­дить конфликт заявлениями о том, что прямого вреда пациентам нанесено не было: «Нет доказательств, что пер­сональные данные использовались где-то еще, кроме исследований».

В 2013 году стало известно, что меди­цинские данные более 5 млн жителей Британской Колумбии были без необ­ходимой защиты переданы местным Министерством здравоохранения университетским исследователям. К счастью для пациентов, эти данные не содержали имен, номеров страхов­ки и другой финансовой информации.

В Австралии частная клиника The Miami Family Medical Center два года назад подверглась нападению якобы русских хакеров, которые зашиф­ровали медицинские данные паци­ентов и требовали за расшифровку более $4 тысяч. Совладелец клиники Дэвид Вуд заявил, что на шантаж взломщиков не поддастся – данные просто будут переведены в офлайн.

На протяжении последних пяти лет австралийские регуляторы ратуют за принятие закона, который бы обязал тех, кто теряет информацию личного характера любым способом, сообщать об этом владельцам. Пока безуспешно. Аналогичный обще­государственный Digital Privacy Act в Канаде находится на рассмотрении парламента: согласно законопроекту, неуведомление потерпевшего об утеч­ке его персональных данных грозит оператору штрафом до $100 тысяч.

Впрочем, у этих строгих законодатель­ных инициатив хватает и противни­ков. Например, австралийцы негодуют из-за того, что новации делегируют избыточные права комиссару конфи­денциальности, в ведении которого находятся все вопросы безопасности и свободы распространения информа­ции. Канадцы же протестуют против положения, разрешающего телеком­муникационным компаниям предо­ставлять данные о клиентах правоох­ранительным организациям.

ЛИЧНОЕ – В МУСОР

В Испании хранение и использо­вание личной информации регу­лируется принятым в 1999 году законом «О защите данных». Кроме того, правительственным декретом 2007 года закреплена ответствен­ность операторов дата-центров за распространение личных данных. В соответствии с этим документом халатное отношение к персональной информации влечет за собой нака­зание в виде штрафа от 60 тысяч до 300 тысяч евро, а в самых серьез­ных случаях – до 600 тысяч евро. Даже в Уголовном кодексе содержит­ся соответствующая статья, предпо­лагающая за несанкционированное распространение личных данных на­казание в виде тюремного заключе­ния сроком от одного до четырех лет. Исполнение этих строгих правил контролирует Испанское агентство по защите данных (AEPD). Но пока не особо успешно.

В апреле 2008 года AEPD оштрафо­вало на 150 тысяч евро гинекологи­ческую клинику в городе Бильбао за утечку данных о 11 300 пациентках. Расследование показало, что элек­тронный архив клиники вообще не был защищен. Комментируя утечку, руководство AEPD сделало поражающее своей беспомощностью заявление: подобные случаи время от времени могут происходить, так как «не существует абсолютных гарантий» неприкосновенности информации.

Может быть, именно такие настроения регулятора и позволили год спустя произойти следующему вопиющему «сливу». Данные о пациентах, кото­рым в барселонской Hospital Clinic были сделаны операции по пересадке органов, были обнаружены в мусор­ном контейнере в 300 метрах от места госпитализации реципиентов. Руко­водство клиники принесло извине­ния пострадавшим, было назначено внутреннее расследование, так ничем и не закончившееся. Заместитель директора больницы Хосеп Бруга­да заявил тогда, что, к сожалению, «не может контролировать действия, которые совершает персонал в отно­шении документов», пояснив позицию администрации: «Мы не ЦРУ и не кон­центрационный лагерь».

Скандал заставил общественную ассоциацию «Защитник пациента» выступить с инициативой об усилении контроля не только над частными, но и над государственными медцен­трами, которые, по действующему законодательству, в случае утери медицинских данных отделываются лишь испугом и извинениями.

фомс, пациентская информация, информационно-медицинские продукты, омс, истории болезни