Индустрия здравоохранения в эпоху кибератак

Аналитика рынка

Индустрия здравоохранения в эпоху кибератак

Ноябрь 14, 2016

На наших глазах индустрия здравоохранения переживает процесс цифровой эволюции. Никогда прежде больницы не уделяли столько внимания технологиям. И пациенты, и врачи начинают осознавать преимущества телемедицины,  мобильного здравоохранения, носимых гаджетов, умных медицинских устройств и систем. Персональная информация пациентов постепенно проникает в сеть, позволяя им просматривать свои данные из дома, врачам – удаленно оказывать помощь, а исследователям – получать доступ к миллионам медицинских записей.

Цена такой трансформации – безопасность. Цифровые медицинские карты, содержащие огромное количество конфиденциальной информации, становятся главной мишенью хакеров. Согласно недавно опубликованному исследованию института Ponemon, почти 90% медицинских организаций подверглись хотя бы одной хакерской атаке на протяжении последних двух лет, а 45% из них пережили более пяти атак в тот же период.

Все более частые утечки данных обходятся мировому здравоохранению в 6,2 млрд. долл. ежегодно. В то же время, расходы на безопасность в индустрии составляют лишь одну десятую тех сумм, которые тратятся в других отраслях. В этом году информационная безопасность признана ключевой проблемой для большинства медицинских организаций. Ни одна из них не застрахована от угрозы в то время, как эксперты обещают, что количество кибератак в здравоохранении будет только расти.

Самая уязвимая отрасль

Согласно новому исследованию IBM, в 2015 году здравоохранение заняло первое место в рейтинге наиболее часто атакуемых отраслей, обогнав сферу финансов и оставив далеко позади производство, транспорт и государственный сектор. Пять из восьми самых крупных утечек медицинских данных с 2010 года, – когда более миллиона записей были скомпрометированы хакерами, – случились в первое полугодие 2015 года. В целом, более 100 миллионов записей о пациентах было скомпрометировано в прошлом году.

Источник: The IBM X-Force 2016 Cyber Security Intelligence Index

Электронные медицинские записи обычно содержат данные кредитных карт, адреса электронной почты, номера социального страхования, информацию о занятости, историю болезни и другую конфиденциальную информацию. Украденные данные обычно «придерживаются» злоумышленниками некоторое время после взлома, а затем появляются на черном рынке в различных вариациях. Полные наборы персональных данных стоят довольно дешево. Наборы отдельных идентификаторов, – например, номеров ID-карт, – продаются по гораздо более высокой цене.

Интересно, что на черном рынке медицинская информация в 50 раз ценнее финансовой. Зачастую потеря данных кредитной карты быстро решается выпуском новой карты, в то время как утечка медицинских данных может иметь далеко идущие последствия. Украденные данные пациента остаются актуальными в течение многих лет, даже десятилетий, и могут быть использованы многократно – для кражи медицинской идентичности, взлома банковских счетов, незаконной миграции и проведения новых атак. Также велик риск страхового и налогового мошенничества, так как многие медицинские записи содержат номера социального страхования.

Главные киберугрозы, с которыми сталкиваются медицинские организации в 2016 году, – вымогательство, вредоносные программы и DoS-атаки, сообщает институт Ponemon. Небрежность сотрудников, незащищенность мобильных устройств, пользование публичными облачными услугами и медицинскими мобильными приложениями (eHealth), а также работа с собственными мобильными девайсами (BYOD) представляют собой серьезную опасность для конфиденциальной информации. Эксперты сходятся во мнении, что в будущем году нас ждет новая волна вымогательств, более умные вредоносные программы и вирусы, взломы IoT-устройств и атаки на носимые гаджеты.

Основные шаги к безопасности медицинских данных

В то же время очевидно, что безопасность данных в здравоохранении имеет критическое значение. Утечка медицинской информации подрывает эффективность лечения, не говоря об огромных штрафах, дорогостоящих судебных процессах и серьезном репутационном ущербе. Для обеспечения информационной безопасности в медицине крайне важно разработать связную, скоординированную стратегию защиты данных и обеспечить соответствие современным требованиям и стандартам, таким как HIPAA.

HIPAA (Health Insurance Portability and Accountability Act) – это американский закон, требующий   обеспечения конфиденциальности и охраны информации, полученной в результате медицинского страхования. Организациям, работающим с такой информацией, необходимо внедрить все меры физической и сетевой безопасности, а также инструменты для безопасной обработки информации, для соблюдения HIPAA. Нарушения HIPAA могут обойтись медицинской организации весьма дорого – максимальный штраф составляет 1,5 млн. долл. в год, но еще более болезненной станет утрата доверия клиентов.

Тем не менее, до 60% нарушений HIPAA можно было бы избежать благодаря хорошей стратегии безопасности. Эксперты рекомендуют установить политику классификации данных, использовать шифрование для обеспечения целостности данных, заботиться о сетевой безопасности и обязательно иметь наготове план аварийного восстановления бизнеса. Основные технологические контрмеры включают в себя зашифрованные корпоративные платформы, биометрические технологии аутентификации, а также системы, отслеживающие подозрительную активность.

Однако, даже внедрения перечисленных технологий не достаточно. Помимо вышеперечисленного, необходимо уделить особое внимание повышению осведомленности персонала по вопросам информационной безопасности. В Медицинском центре Университета Мэриленда, к примеру, проводятся ежегодные тренинги для всех сотрудников, ежемесячные совещания для команды по кибербезопасности, службы контроля, аудиторов и врачей, а также регулярные консультации с киберэкспертами.

Таким образом, верное сочетание эффективных технологий и своевременного обучения может направить медицинские организации на более безопасный путь в эпоху кибератак.

Похожие новости

Новости

MWC Americas 2019: Эра умных технологий

MWC Americas 2019: Эра умных технологий

Недавно в Лос-Анджелесе, штат Калифорния, состоялась крупная технологическая конференция Mobile World Congress Americas. Около 22000 участников из более чем 100 стран мира собрались, чтобы обсудить основные тенденции, формирующие отрасль беспроводных

Аурига посетила Intel Experience Day 2019

В конце октября в Москве состоялась партнерская конференция Intel Experience Day 2019 – главное мероприятие компании Intel в России. Событие было посвящено достижениям компании Intel и ее партнеров: в демо-зоне были представлены последние аппаратные и программные продукты в сфере интернета вещей, искусственного интеллекта,...

Аурига приняла участие в форуме «Цифровизация – 2019»

Второй Всероссийский форум «Цифровизация – 2019» состоялся 28–29 октября 2019 года в Ломоносовском корпусе МГУ. Эксперты компании «Аурига» Андрей Тетерин и Айрат Садыков выступили в...

Признанный лидер услуг по разработке ПО:
управление командами и проектами;
разработка новых продуктов, сопровождение, тестирование