2019/03/18 12:31:05

Утечки данных в медицинских учреждениях

.

Содержание

Основная статья: Утечки данных

2018: Число скомпрометированных записей персональных данных выросло до 27 млн

18 марта 2019 года компания InfoWatch представила основные данные по утечкам конфиденциальной информации из учреждений здравоохранения в 2018 г.

В 2018 г. аналитический центр компании InfoWatch зарегистрировал 429 утечек из различных учреждений медицинской сферы по всему миру: больницы, поликлиники, военные госпитали, лаборатории, аптеки, медицинское страхование и т.д. Это почти на 16% больше, чем в 2017 г. Число скомпрометированных записей персональных данных по сравнению с 2017 г. выросло почти вдвое и составило 27 млн.

Более 80% записей ПДн утекло в результате внешнего воздействия. Так, в начале 2018 г. киберпреступники атаковали информационную систему Юго-Восточной медицинской службы Норвегии. Украдены данные около 3 млн человек, то есть примерно половины жителей этой скандинавской страны. В норвежском управлении по информационной безопасности не исключают, что хакеры действовали по заказу иностранного государства.

Каждая третья утечка в 2018 году произошла в результате хакерских атак. Но основными виновниками утечек в данной отрасли остаются сотрудники. На их долю приходится 53,7% зарегистрированных инцидентов. Например, в Канаде бывший сотрудник сети Alberta Health Systems незаконно получил доступ к защищенным медицинским данным порядка 13 тыс. пациентов.

Соотношение умышленных и случайных утечек в медицине составило 47,5% и 52,5%. При этом среди утечек, совершенных по вине сотрудников, доля умышленных инцидентов составляет немногим более 20%. В основном данные ограниченного доступа компрометируются в результате ошибок, недосмотра, халатности. В США данные более 200 тыс. пациентов были оставлены на незащищенном FTP-сервере. Виновником утечки названа компания MedEvolve – поставщик управленческого ПО для медучреждений.

Доля персональных данных в утечках по сравнению с 2017 г. сократилась с 90,2% до 84,4%. При этом в 2018 г. выросла доля утечек платежной информации – с 8,6% до 13,5%. Это может быть связано с развитием коммерческой медицины и современных форм оплаты. В американском штате Сент-Луис медсестра из дома престарелых в личных интересах использовала данные банковских карт своих пациентов. На деньги стариков женщина покупала одежду и другие вещи для своей семьи.

Более 45% утечек в 2018 г. случились через сетевой канал. Далее располагаются электронная почта (21,1%) и бумажные документы (20,2%). В Великобритании аптечная сеть Well Pharmacy в результате ошибочной рассылки по e-mail скомпрометировала личные данные более 24 тыс. сотрудников и местных жителей. Утекла такая информация, как имена, адреса, номера телефонов, адреса электронной почты, данные о заработной плате.

2017: Число «квалифицированных» утечек данных в России удвоилось

В 2017 году количество зарегистрированных в мире утечек персональных данных, в том числе номеров социального страхования, реквизитов платежных карт, специфических медицинских записей о состоянии здоровья, историй болезни пациентов, сократилось за год на 7,7% до 370 случаев, при этом объем скомпрометированных в результате утечек записей данных снизился по сравнению с 2016 годом в два раза — с 26,8 млн записей до 14,2 млн. В России был отмечен резкий рост количества «медицинских» утечек — более чем в два раза. Об этом 24 августа 2018 года сообщили в Аналитическом центре InfoWatch по итогам глобального исследования утечек конфиденциальной информации из медицинских учреждений.


Авторы исследования связывают снижение числа инцидентов и объема утекших записей в мире с повышением уровня защиты медицинских данных в самой большой системе здравоохранения мира — США. По оценкам экспертов, в 2017 году более 80% организаций сферы здравоохранения США увеличили расходы на информационную безопасность (ИБ). В то же время, в исследовании отмечается, что развитие технологий, в том числе телемедицины, а также способов использования медицинских данных в электронном виде, увеличивает ценность медицинской информации. Поэтому в ближайшей перспективе число утечек такой информации и объем скомпрометированных данных в мире неизбежно будут расти, отметил аналитик ГК InfoWatch Сергей Хайрук.


Если в глобальной картине «медицинских» утечек около 30% инцидентов были связаны с внешними атаками злоумышленников, то в России все зафиксированные случаи носили исключительно внутренний характер. Классический для России пример внутренней утечки из медицинских учреждений — это «слив» сотрудниками больниц и клиник данных о тяжелобольных и умерших пациентах ритуальным агентам.

«
Культура обращения с информацией ограниченного доступа у медицинских работников в России находится на довольно низком уровне. Кроме того, внутренние злоумышленники в различных медучреждениях осознали, что персональные данные пациентов и коллег остаются без должного контроля, а из кражи такой информации можно извлечь выгоду, — отметил Сергей Хайрук, аналитик ГК InfoWatch. — С другой стороны, информатизация российской медицины пока происходит недостаточно высокими темпами по сравнению с мировыми. Развитие медицинских систем сегодня носит скорее хаотичный характер, клиники все еще работают с большими массивами информации в бумажном виде — эти факторы делают отечественную сферу здравоохранения не очень привлекательной мишенью для внешних злоумышленников — хакеров, организованной киберпреступности.
»

В то же время, доля умышленных утечек информации, совершенных сотрудниками медучреждений, в России существенно выше, чем в мире — 39% против 30% соответственно, отметили авторы исследования.


В России и в мире примерно четверть «медицинских» утечек была сопряжена с квалифицированными действиями злоумышленников — мошенничеством или превышением прав доступа к информационным системам. При этом в России доля таких «квалифицированных» утечек за 2017 год выросла вдвое, в то время как на мировой выборке этот показатель практически не изменился по сравнению с 2016 годом, указали в Аналитическом центре InfoWatch.


В 2017 году компрометации в российских медучреждениях подвергались исключительно персональные данные клиентов и персонала, в то время как медучреждения во всем мире также теряли и платежную информацию (12,2%), и данные, которые относятся к категории коммерческой тайны и ноу-хау (0,8%).


Исследование также показало, что российское распределение инцидентов в медицине по каналам утечек в существенно отличается от мирового. Так, для России характерна более высокая доля утечек через бумажные носители — 24% против 16% в мире, а также посредством мгновенных сообщений — 19% против 3% в мире.


В целом организации сферы здравоохранения занимают одно из первых мест среди всех отраслей мирового хозяйства по такому показателю, как воздействие на информационные активы со стороны внутренних злоумышленников. Именно по вине сотрудников, топ-менеджеров и системных администраторов медучреждений происходит подавляющее большинство инцидентов, утекает основной объем записей в данной сфере, заключили в Аналитическом центре InfoWatch.


«
Цена, которую медицинская отрасль вынуждена платить, ликвидируя последствия утечек информации, постоянно возрастает, — отметил Сергей Хайрук, аналитик ГК InfoWatch. — По оценкам профильных аналитических агентств, средний ущерб компаний различных отраслей от каждой утечки данных, которая произошла в результате действий внутреннего злоумышленника, увеличился за два года более чем в два раза и может достигать $8,5 млн. По мере роста ценности информации медицинских организаций, продолжит расти и число злоумышленников, которые стремятся ей завладеть.
»

Смотрите также