На «сером» рынке баз данных набирают популярность информационно‑медицинские продукты – картотеки полисов ОМС, истории болезни, мобильные телефоны пациентов частных и государственных клиник. Предложения доступны на «пиратских» рынках, в интернет‑магазинах и уже пользуются спросом у широкого круга покупателей – от фармкомпаний до туроператоров и агентств ритуальных услуг. VM сделал контрольные закупки некоторых товарных единиц информационной линейки и попытался разобраться, где начинаются их поставки.
ОМС-МАРКЕТИНГ
На Савеловском рынке базы данных предлагают две точки с соответствующей вывеской, управляемые ИП «Ароян». Хит продаж – многофункциональные базы, включающие сразу реестры паспортных данных, водительских удостоверений и полисов ОМС. Такие продукты здесь реализуются отдельно по субъектам РФ. Например, диск с базой данных по Московской области обошелся VM в 1,5 тысячи рублей. Реестр ОМС на нем включает основную персональную информацию всех жителей этого региона: адрес и дату рождения страхователя, номер его полиса и СНИЛС. «Если вам нужны данные только ОМС, попробуем собрать базу по всем регионам. Выйдет не дороже 10 тысяч рублей», – пояснил скидочную политику продавец одной из точек и, чтобы развеять сомнения, тут же показал выгрузку такой базы в формате excel на своем ноутбуке.
Помимо картотеки ОМС, в ассортиментной линейке есть еще один продукт – «Медстрах». Кроме базовых персональных данных, этот реестр дополнен информацией об организации или ведомстве, которое покрывает человеку расходы по страховке. Стоимость такого предложения тоже находится в диапазоне 1,5-2 тысячи рублей.
Сотрудники территориальных ФОМС и страховых компаний, опрошенные VM, утверждают, что им о продажах баз на свободном рынке ничего не известно. «Вероятно, произошла утечка информации, но точно не от нас», – дистанцируется от темы сотрудник отдела безопасности ФОМС Владимирской области. Представители федерального ФОМС на запрос VM не ответили. Продавцы на Савеловском, естественно, не раскрывают ни своих поставщиков, ни клиентов, ограничиваясьприкладными рекомендациями: «Мы же не спрашиваем вас, зачем вам базы данных. Но если вы, например, из фармкомпании, то возьмите лучше базы абонентов сотовых операторов – сможете рекламу по SMS рассылать».
Савеловский рынок считается сейчас крупнейшей точкой продаж «серых» информационных баз. С ним конкурируют только «Горбушка» в Москве, городские рынки в регионах и интернет-магазины, в которых, правда, представлены совсем другие продукты. Например, сайт bazabd.ru предлагает базы психбольных Башкирии, наркоманов и психбольных Барнаула, пациентов медучреждений Тольятти и другие аналогичные картотеки, стоимость которых варьируется от 300 до 1 тысячи рублей. Помимо паспортных данных, в предлагаемых реестрах можно найти номера мобильных телефонов и адреса проживания указанных пациентов.
В профильных IT-компаниях говорят, что данные в эти каналы продаж поступают в результате разного рода утечек из соответствующих учреждений, а количество «сливов» только в сегменте медуслуг уже достигает нескольких десятков в год. Например, по оценкам InfoWatch, в прошлом году медицина входила в число отраслей-лидеров по количеству информационных утечек с долей 8,3% от всех информационных потерь. По этому показателю она уступала только направлениям торговли, гостинично-ресторанных услуг, банковскому сектору и госорганам. «Исследования основаны, как правило, на открытых источниках и показывают лишь верхушку айсберга. Реальный масштаб утечек может быть в разы больше», – отмечает руководитель аналитического центра компании Zecurion Владимир Ульянов.
ПРОТИВ ВЕТРА
Информационные потери начали фиксироваться в сегменте медуслуг еще с 90-х годов. «Первые утечки происходили случайно, но в основном были связаны с утерей бумажных документов, и в них не было подоплеки мошенничества. Такие случаи происходят и до сих пор», – говорит Владимир Ульянов из Zecurion. С ним соглашается ведущий эксперт компании InfoWatch по информационной безопасности Андрей Прозоров: «Чаще всего бумажные медицинские карты просто выбрасывают. Это классический пример российского раздолбайства и наплевательства».
Некоторые случаи утечек по небрежности получили широкий резонанс и даже привлекли внимание правоохранительных органов. Прошлой зимой в Ханты-Мансийском автономном округе ксерокопии паспортов, СНИЛС и страховых медицинских полисов пациентов Сургутской городской поликлиники №4 оказались разбросаны по городскому парку «Кедровый лог». Как выяснилось, документы перевозились в архив медучреждения, и при погрузке часть бумаг просто унесло ветром. Инцидент получил всероссийскую огласку, и руководство ЛПУ было вынуждено принять строгие административные меры. «Ответственное лицо, из-за которого в лечебном учреждении произошла такая оказия, было уволено», – сообщили VM в поликлинике.
Позже в городе Лангепасе того же Ханты-Мансийского автономного округа врач стоматологической клиники «Дентал» забыл амбулаторную карту пациентки в такси. Дальнейшего распространения персональных данных не произошло, водитель такси, обнаруживший карту, сразу позвонил по указанному в ней телефону. Тем не менее пациентка обратилась в региональную прокуратуру с требованием привлечь к ответственности медучреждение. В результате в отношении клиники и врача были возбуждены административные дела по ст. 13.11 КоАП РФ. Правда, по итогам рассмотрения дел, как сообщили VM в региональной прокуратуре, все ограничилось лишь вынесением предупреждения врачу и медучреждению.
Представители компаний, специализирующихся на информационной безопасности, отмечают, чтослучайные утраты бумажных документов в сегменте здравоохранения, как правило, не имеют серьезных последствий ни для виновных, ни для потерпевших. Гораздо масштабнее ущерб от учащающихся преднамеренных электронных утечек из медицинских информационных систем.
Волна краж оцифрованных персональных данных начала подниматься в середине 2000-х параллельно с активным внедрением медицинских информационных систем. По данным компании Inline Technologies, уже в первой половине 2008 года потери бумажных данных занимали только 10% от общего объема утечек в медицинских информационных системах, остальное приходилось на CD, DVD, флеш-накопители, серверы настольных компьютеров, ноутбуки, КПК и другие электронные носители информации. При этом злонамеренные «сливы» составляли уже почти треть всех случаев потери данных в сегменте медицинских услуг.
Самой распространенной причиной электронных утечек IT-эксперты называют кражу. «Красть могут врачи, потому как имеют прямой доступ к информации плюс материальную заинтересованность. Не секрет, что многие врачи взаимодействуют с фармкомпаниями и – обычно на какой-то платной основе – рекламируют тот или иной препарат. И если фармкомпаниям будут необходимы какие-то списки по пациентам, некоторые медики могут согласиться на кражу баз данных пациентов, особенно если им будет предложена значительная сумма», – рассказывает Андрей Прозоров из InfoWatch. О хакерских атаках на информационные системы в сегменте медуслуг, по его словам, пока говорить не приходится. Схожего мнения придерживается директор по развитию КМИС Александр Гусев: «Редко когда это бывают какие-то технические вещи или взломы систем безопасности».
В числе заказчиков «слива» персональной информации из медучреждений, говорит Андрей Прозоров, помимо фармкомпаний, фигурируют и обыкновенные мошенники, которые, получая доступ к базам данных пациентов, звонят им, предлагая купить «эффективное» лекарственное средство от их заболевания. Кроме того, персональные данные пациентов, в частности, их диагнозы, могут быть интересны компаниям, предлагающим, например, туры на оздоровительные курорты. «Получая доступ к базе данных пациентов больниц, они обзванивают их, пытаясь мотивировать к поездке на один из таких курортов, иногда предлагая скидки для людей с конкретным диагнозом. Есть свой интереси у ритуальных агентств – они готовы платить за обновление базы умерших пациентов, чтобы оперативно предлагать родственникам свои услуги», – рассказывает Прозоров. Но наибольший интерес для кражи, по словам эксперта, представляют персональные данные знаменитостей: «Эту информацию готовы покупать, а значит, может найтись человек, который готов ее продавать». Ценники в России, конечно, поскромнее, чем 50 тысяч евро, предложенные за историю болезни Михаэля Шумахера, но спрос на медкарты отечественных селебрити растет.
Нарастание волны утечек эксперты объясняют как минимум двумя причинами – несовершенством медицинских информационных систем и слабостью законодательной базы. Сейчас безопасность личной медицинской информации в России подпадает под действие ФЗ №152 от 27 июля 2006 года «О персональных данных». Ответственность за безопасное хранение и распространение информации о своих пациентах – как в электронном, так и в любом другом виде – возложена этим законом на медучреждения. Отдельные технические требования к защите персональных данных в информационных системах прописаны в постановлениях ФСТЭК №21 и №17. Правда, санкции за потерю персональных данных пока невелики: максимальное наказание, которое можно получить по ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», ограничивается штрафом до 1 тысячи рублей для должностных лиц и до 10 тысяч рублей – для юридических. По мнению экспертов из IT-компаний, подобная либеральность косвенно поддерживает низкий уровень защиты персональной информации в сегменте медуслуг.
ЗАЩИТНЫЕ РЕАКЦИИ
Найти учреждения медсектора, откуда происходят утечки персональных данных, непросто. Опрошенные VM участники рынка медуслуг не комментируют состояние своей информационной безопасности или утверждают, что не сталкиваются с проблемой утраты данных. Однако представители IT-компаний зафиксировали в последние несколько лет всплеск заказов на услуги защиты данных именно со стороны медучреждений. «Если три года назад клиентов из этой отрасли у нас вообще не было, то теперь мы начали работать с клиниками, которым устанавливаем DLP-системы и другие заслоны от внешних вмешательств. И часто утечки информации фиксируются уже на этапе внедрения наших систем», – рассказывает Владимир Ульянов из Zecurion.
Представитель компании «Информзащита» Андрей Тимошенко говорит, что частные клиники начали обращаться в его компанию три года назад: «До этого они пытались решать вопросы по защите персональных данных, в частности, данных о состоянии здоровья, самостоятельно. А в 2011 году у нас пошел вал клиентов, в том числе работающих в медицинском сегменте».
Компания «ДиалогНаука» два года назад заключила контракт с крупной столичной клиникой «Медицина» на приведение ее информационной системы в соответствие с международным стандартом защиты информации ISO/IEC 27001. «Соответствие такому стандарту позво ляет оптимизировать расходы на безопасность, риски, связанные с возможными ущербами для активов предприятия, операционные затраты», – считает гендиректор компании «ДиалогНаука» Виктор Сердюк.
Усилили внимание к вопросам защиты данных и территориальные отделения ФОМС. «Мы начали осуществлять отдельные проекты по информационной безопасности еще в 2007 году, а два года спустя внедрили комплексную систему защиты, вся информация фонда про ходит по зашифрованным каналам, и утечки исключены», – говорит представитель ТФОМС Владимирской области. Его коллега из ТФОМС Оренбургской области говорит о подобных мероприятиях, проведенных примерно в тот же период: «Мы создали отдел информацион ной безопасности, прописали организационно-распределительные документы, внедрили технологии защиты персональных данных DLP». Представители фондов предполагают, что источником утечки данных о страхователях могут быть их партнерские страховые компа нии. Страховщики, опрошенные VM, такое предположение опровергают. «Случаев утечки у нас не было. В компании существует многоуровневая система защиты информации, которая предотвращает доступ к данным пользователей, не имеющих на это прав», – заверяет директор по маркетингу направления «Медицина» компании «АльфаСтрахование» Егор Сафрыгин. А топ-менеджер другой страховой компании говорит, что источником утечек медицинской информации, вероятнее всего, могут быть государственные медицинские информационные системы.
Представители государственных поставщиков ЕГИСЗ утверждают, что утечки исключены. «Существующая защита информации подразумевает комплекс мер, включающий регламенты, аппаратные средства защиты безопасности, софт», – убежден представитель компании «Ростелеком».
На периферии ситуация с информационной безопасностью неоднородна. Как сообщил VM источник, близкий к воронежскому МИАЦ, в регионе действует многоуровневая система защиты данных: «Никогда не встречал баз данных пациентов – ни на «Горбушке» в Воронеже, нигде, хотя одно время мы специ ально мониторили пиратские диски с базами данных, но пациентских баз мы не находили». На некоторых территориях страны о защите персональных медицинских данных говорить и вовсе не приходится, поскольку сама система ЕГИСЗ пока находится там на начальном этапе инсталляции. Например, ответственные за работу ЕГИСЗ подразделения администрации Ленобласти в мае только разрабатывали план по ее внедрению. Интересно, знают ли региональные чиновники, что на сайте bazabd. ru базу персональных данных 10 тысяч пациентов Ленинградской области можно без проблем приобрести за 1 тысячу рублей.
МИРОВАЯ ПРАКТИКА
Сливной банчок
Какой ущерб пациентам и операторам здравоохранения наносит безалаберность хранителей персональных данных
Текст: Ольга Каныгина, Евгения Журавлева, Максим Сильва-Вега
Продажа медицинской информации оформилась в отдельный сегмент «черного» рынка. Ежегодно в развитых странах из медицинских дата-центров «утекают» миллионы записей с персональными данными пациентов, а клиники теряют на этом миллиарды долларов. И чем масштабнее и глубже внедряются в отрасль электронные информационные системы, тем мощнее становится поток нелегитимного контента.
Рынок здравоохранения с точки зрения утечек и последующей продажи конфиденциальной информации считается одним из самых уязвимых и «высокодоходных». По данным международной консалтинговой группы KPMG, в 2012 году медицина с долей 7,9% от общего числа информационных краж вошла в пятерку отраслей, лидирующих по утечкам данных. А в рейтинге хищений с участием третьей стороны индустрия здравоохранения заняла третье место с долей 13%, уступив только сегменту технологий и профессиональных услуг. По данным отчета Symantec 2013 Cost of Data Breach, максимальные финансовые потери из-за информационных брешей несут именно медицинские операторы. Например, если потеря одной записи участникам финансового рынка обходится в $215, компаниям фармсектора – в $207, то игрокам рынка медуслуг – в $233.
В исследовательских компаниях отмечают, что волна информационных краж во всем мире началась после перехода медучреждений на электронные методики хранения медицинской информации о пациентах. Если во времена бумажного документооборота пропажа одной-двух медкарт уже считалась беспрецедентным событием, то теперь никого не удивляет кража данных тысяч пациентов.
ГОСПИТАЛИЗИРОВАНЫ В GOOGLE
По данным Redspin Breach Report: Protected Health Information, в прошлом году в США зафиксировано 199 случаев утечки медицинских данных, всего на семь больше, чем годом ранее. Разница становится ощутимой, если сравнивать объемы потерь: если в 2012 году незаконным путем было получено 2,9 млн записей с медицинскими данными пациентов, то в прошлом году – уже более 7 млн.
По данным Ponemon Institute, ежегодно утечка медицинских данных обходится американским фирмам, работающим в сфере здравоохранения, в $5,6 млрд. При этом 90% опрошенных как минимум однажды за последние два года пострадали от «слива», а 38% – за тот же период времени понесли потери более пяти раз.
Самый распространенный источник утечек на американском рынке здравоохранения – банальная кража, из-за которой происходит 45,2% случаев потери данных, 22,1% случаев происходит в результате неавторизованного доступа к информации, 9,5% – из-за потери носителя, 6,1% – в результате хакерской атаки, 4,0% – из-за отсутствия пароля на электронном устройстве.
Взломам и хакерским атакам способствует уязвимость медицинских информационных систем. По данным опроса Ponemon, 65% американцев связывают медицинские утечки именно с недостаточной защитой баз данных, а 63% – с низким уровнем безопасности интернет-системы для регистрации пациентов.
Самый резонансный выброс медицинских данных произошел в США как раз по этим причинам. В 2010 году информация о 6 800 пациентах New York Presbyterian Hospital, включая данные о состоянии здоровья, результатах анализов и назначенном лечении, попала в настолько широкий доступ, что ее можно было найти в Google. Утечка произошла в тот момент, когда один из докторов пытался отключить свой личный компьютер от общей сети. Инцидент получил огласку и грозил виновникам серией исков. В итоге в мае 2014 года New York Presbyterian Hospital и аффилированный с этим учреждением Колумбийский университет вынуждены были заплатить Министерству здравоохранения и социальных служб США рекордную сумму в $4,8 млн, чтобы урегулировать конфликт.
Возрастающее количество утечек влияет на настроения в отрасли. Треть опрошенных Ponemon Institute участников рынка не планируют вступать в национальную систему Health Information Exchange, аккумулирующую информацию о медучреждениях: 72% респондентов опроса не уверены в надежности дата-центра.
ПОДРЯД НА ВОРОВСТВО
Лидерство по масштабам медицинских утечек с США делит Великобритания. По данным, опубликованным Daily Mail, в период с июля 2011 года по июль 2012 года в стране пропало 1,8 млн документов, содержащих конфиденциальную медицинскую информацию, включая истории болезни, результаты анализов и другие персональные сведения о пациентах. Однако, как подчеркивает издание, эта статистика основана лишь на данных об известных пропажах – реальный масштаб бедствия оценить невозможно.
Нередко «сливы» в интернет делаются безо всякой корысти. Недавно британские власти обнаружили, например, сайт, где совершенно бесплатно предлагались оцифрованные медицинские записи, ведущиеся с 50-х годов.
Управление комиссара по информации лишь за шесть месяцев 2012 года выписало штрафов на сумму 1 млн фунтов стерлингов в связи с несоблюдением администрациями британских больниц правил, касающихся конфиденциальности информации о пациентах.
Один из самых крупных штрафов – 200 тысяч фунтов стерлингов – был наложен на больницу NHS Surrey. Представители госпиталя заключили договор с компанией, которая занималась удалением данных с электронных носителей. В качестве платы за свои услуги компания просила разрешения на распродажу техники, из которой будет удалена информация. Решив заодно избавиться от компьютеров, руководство больницы подписало договор. Однако подрядчик не произвел обещанных манипуляций – данные о почти 3 тысячах пациентов остались в электронных устройствах, а через некоторое время были выставлены на продажу через eBay. Схема же утечки стала известна после того, как человек, купивший компьютер от NHS Surrey, обнаружил в нем медкарты пациентов клиники.
УКРЫТЬСЯ В ОФЛАЙНЕ
В антирейтинг стран, где происходит наибольшее количество утечек медицинской информации, входят также Канада и Австралия. Несмотря на то что на борьбу с информационными потерями направлена многоуровневая законодательная база, регламенты, предполагающие строгую ответственность за безалаберность или злонамеренное нарушение правил информационной безопасности, «слив» персональных данных остановить не в силах.
Три случая утечки данных были обнаружены в сентябре 2012 года в ходе проверки эффективности взаимодействия между исследовательскими институтами и Министерством здравоохранения Канады. Оказалось, что данные канадских пациентов были сохранены на незакодированный USB-носитель, и информация, включавшая номера медкарт, гендерную принадлежность, даты рождения, историю болезни, срок пребывания в клинике и суммы, потраченные на лечение, а также данные об умственном, физическом и сексуальном здоровье пациентов, оказались не защищены. По итогам расследования семеро участников событий потеряли работу, было заведено два судебных дела. Правда, стоимость утечки информации так и не была озвучена публично.
Министр здравоохранения канадского штата Британская Колумбия Маргарет МакДиармит тогда попыталась сгладить конфликт заявлениями о том, что прямого вреда пациентам нанесено не было: «Нет доказательств, что персональные данные использовались где-то еще, кроме исследований».
В 2013 году стало известно, что медицинские данные более 5 млн жителей Британской Колумбии были без необходимой защиты переданы местным Министерством здравоохранения университетским исследователям. К счастью для пациентов, эти данные не содержали имен, номеров страховки и другой финансовой информации.
В Австралии частная клиника The Miami Family Medical Center два года назад подверглась нападению якобы русских хакеров, которые зашифровали медицинские данные пациентов и требовали за расшифровку более $4 тысяч. Совладелец клиники Дэвид Вуд заявил, что на шантаж взломщиков не поддастся – данные просто будут переведены в офлайн.
На протяжении последних пяти лет австралийские регуляторы ратуют за принятие закона, который бы обязал тех, кто теряет информацию личного характера любым способом, сообщать об этом владельцам. Пока безуспешно. Аналогичный общегосударственный Digital Privacy Act в Канаде находится на рассмотрении парламента: согласно законопроекту, неуведомление потерпевшего об утечке его персональных данных грозит оператору штрафом до $100 тысяч.
Впрочем, у этих строгих законодательных инициатив хватает и противников. Например, австралийцы негодуют из-за того, что новации делегируют избыточные права комиссару конфиденциальности, в ведении которого находятся все вопросы безопасности и свободы распространения информации. Канадцы же протестуют против положения, разрешающего телекоммуникационным компаниям предоставлять данные о клиентах правоохранительным организациям.
ЛИЧНОЕ – В МУСОР
В Испании хранение и использование личной информации регулируется принятым в 1999 году законом «О защите данных». Кроме того, правительственным декретом 2007 года закреплена ответственность операторов дата-центров за распространение личных данных. В соответствии с этим документом халатное отношение к персональной информации влечет за собой наказание в виде штрафа от 60 тысяч до 300 тысяч евро, а в самых серьезных случаях – до 600 тысяч евро. Даже в Уголовном кодексе содержится соответствующая статья, предполагающая за несанкционированное распространение личных данных наказание в виде тюремного заключения сроком от одного до четырех лет. Исполнение этих строгих правил контролирует Испанское агентство по защите данных (AEPD). Но пока не особо успешно.
В апреле 2008 года AEPD оштрафовало на 150 тысяч евро гинекологическую клинику в городе Бильбао за утечку данных о 11 300 пациентках. Расследование показало, что электронный архив клиники вообще не был защищен. Комментируя утечку, руководство AEPD сделало поражающее своей беспомощностью заявление: подобные случаи время от времени могут происходить, так как «не существует абсолютных гарантий» неприкосновенности информации.
Может быть, именно такие настроения регулятора и позволили год спустя произойти следующему вопиющему «сливу». Данные о пациентах, которым в барселонской Hospital Clinic были сделаны операции по пересадке органов, были обнаружены в мусорном контейнере в 300 метрах от места госпитализации реципиентов. Руководство клиники принесло извинения пострадавшим, было назначено внутреннее расследование, так ничем и не закончившееся. Заместитель директора больницы Хосеп Бругада заявил тогда, что, к сожалению, «не может контролировать действия, которые совершает персонал в отношении документов», пояснив позицию администрации: «Мы не ЦРУ и не концентрационный лагерь».
Скандал заставил общественную ассоциацию «Защитник пациента» выступить с инициативой об усилении контроля не только над частными, но и над государственными медцентрами, которые, по действующему законодательству, в случае утери медицинских данных отделываются лишь испугом и извинениями.