Информационная безопасность в медицине: Как предупредить киберугрозы

Индустрия здравоохранения была главной мишенью киберпреступников в 2015 году. Не удивительно, что в текущем году информационная безопасность считается основной проблемой отрасли. Защита данных пациентов стала первым приоритетом для любой медицинской организации, поскольку каждая уязвимость ставит под угрозу ее репутацию и финансы.

Утечка данных влечет за собой расходы на кризисное управление, уведомление о нарушении, соблюдение государственных и федеральных предписаний, проведение судебного расследования, предоставление кредитного мониторинга пациентам, чьи данные оказались скомпрометированы, и многие другие. По данным института Ponemon, утечки данных обходятся мировому здравоохранению в 6 млрд. долл. ежегодно, а средний экономический эффект таких нарушений составляет более 2 млн. долл. для каждой организации.

Конечно, ни одна отрасль не застрахована от кибератак. Здравоохранение особенно подвержено им из-за большого количества персональных данных, которые обрабатывают и хранят медицинские организации. Однако хорошая новость заключается в том, что всегда есть способы поднять уровень безопасности и улучшить соответствие современным стандартам.

Шифрование данных

Шифрование – один из лучших способов защиты целостности документов, изображений, сообщений и другой конфиденциальной информации. К сожалению, многие компании прибегают к шифрованию только после утечки данных. Инфографика Sophos показывает, что сектор здравоохранения имеет один из самых низких уровней шифрования данных. Лишь 31% медицинских организаций широко используют шифрование, в то время как 20% организаций не используют его вовсе.

Регулярное и своевременное обновление программного обеспечения

Поддержание программного обеспечения в актуальном состоянии и своевременная установка патчей имеет решающее значение для обеспечения безопасности данных и сети, ведь обновления учитывают и исправляют новые уязвимости. Кроме регулярных (ежедневных, еженедельных и т.д.) обновлений, важно следить за экстренными обновлениями и не медлить с их установкой.

Совместимость медицинских устройств

Персональные данные пациента должны быть защищены не только при хранении, но и при передаче. Специальные протоколы, такие как Health Level 7, позволяют безопасно обмениваться данными между медицинскими приложениями и информационными системами. Новейшие протоколы соответствуют последним стандартам защиты данных, но старые версии могут содержать критические уязвимости и требуют применения особых мер. Так, при разработке SDK для HL7 v2.x команда Ауриги преодолела целый ряд проблем с безопасностью.

Реинжиниринг программного и аппаратного обеспечения

Программное и аппаратное обеспечение, которое больше не поддерживается производителем, устаревает, становится доступным для злоумышленников и делает медицинскую организацию уязвимой для кибератак. Реинжиниринг, портирование и рефакторинг кода позволяют создавать современные, надежные и защищенные решения в кратчайшие сроки, избегая новой процедуры сертификации, с сохранением старой функциональности системы и возможностью добавления новых функций в будущем. К примеру, не так давно Аурига успешно выполнила реинжинириг и портирование устаревшего медицинского продукта.

Культура безопасности

Хотя 2015 был «годом хакерства в медицине», наиболее крупные утечки данных в этом году оказались не связаны с атаками хакеров. Исследования показывают, что зачастую данные компрометируются в результате ошибок и небрежности персонала. Чтобы предупредить такие утечки, медицинским организациям следует сделать безопасность неотъемлемой частью своей деятельности – обеспечить осведомленность сотрудников о рисках и научить их обращаться с конфиденциальной информацией; разработать политику использования мобильных и личных устройств (BYOD) для работы с данными пациентов; создать план аварийного восстановления бизнеса.

Заботясь о безопасности, важно помнить, что информационная безопасность – это не продукт и не инструмент. Это продолжительный, непрерывный процесс, требующий постоянного управления и совершенствования в соответствии с меняющимися требованиями бизнеса и постоянно возникающими новыми рисками.

Информационная безопасность в медицине – опыт Ауриги

Аурига разрабатывает сложные комплексные решения в области безопасности данных уже более десяти лет. Мы предлагаем полный спектр услуг, от разработки программного обеспечения и портирования до тестирования, обеспечения качества и поддержки. Наши заказчики доверяют нам разработку самых важных, критических функций своих продуктов.

Один из наших долгосрочных клиентов – Digital Guardian (ранее Verdasys), производитель сложных проверенных временем решений для защиты конфиденциальной информации, которые широко используются ведущими компания из разных отраслей, включая здравоохранение.

Рубен Эчанди, Вице-президент по инжинирингу в Digital Guardian, дал высокую оценку качеству услуг Ауриги в своем видео-интервью:

В Ауриге работают уникальные люди, которые прекрасно справляются с экстраординарными идеями. Аурига ни разу нас не разочаровала. В частности, мне очень нравится, что <даже если> информации очень мало, они берут инициативу в свои руки, воплощают концепцию в жизнь и обеспечивают результат.