Как предотвращать нарушения безопасности в здравоохранении

Нарушения в здравоохранении достигли рекордного уровня в 2021 году, продолжая тенденцию к росту, которая привела к тому, что количество взломанных медицинских записей США за последние три года увеличилось более чем в три раза. Медицинские записи являются популярной мишенью по простой причине: в «темной сети» такие записи стоят в 40 раз больше, чем украденные данные кредитных карт. Это связано с тем, что медицинские записи обычно содержат множество данных от номеров социального страхования до информации о бенефициарах плана медицинского страхования и даже биометрических идентификаторов, а также часто включают в себя информацию о финансовом счете.

Но важнее то, что растущее число нарушений безопасности в здравоохранении напрямую связано с цифровой трансформацией отрасли здравоохранения. Сегодня оказание медицинской помощи полностью зависит от данных. Подключенные устройства собирают показатели жизнедеятельности и другую медицинскую информацию о пациенте, на основании которой и предоставляется медицинская помощь. Эта информация хранится в электронных медицинских записях (EHR), которые определяют связанные с уходом рабочие процессы от авторизации до назначения лекарств. Все процедуры лечения, от самых простых до самых сложных и прогрессивных, теперь проводятся с использованием цифровых технологий. Цифровая инфраструктура служит основой для работы центров и помещений, где оказывается такая помощь: она используется для включения света, управления сложными системами ОВКВ, а также физическим доступом и безопасностью. Теперь быстрый рост уровней телемедицины обуславливает дополнительные потребности в защите данных. Поставщики интегрируют сторонние технологии и веб-платформы, чтобы сделать телемедицину максимально удобной для пациентов и эффективной для поставщиков.

Безопасность данных имеет решающее значение для защиты всей экосистемы. При грамотном подходе комплексная программа безопасности данных способствует достижению трех основных результатов:

1. Доверие и лояльность пациентов
   Сегодняшние пациенты как потребители имеют возможность выбирать «лучший» уход, и для них все более важной становится конфиденциальность данных. Эффективная программа защиты данных защищает от ущерба для репутации и, как следствие, снижения количества пациентов в результате утечки данных.
2. Качество медицинской помощи и безопасность пациентов
   Обеспечение непрерывного доступа к медицинской информации о пациентах и функционирование важнейших технологий и систем имеют основополагающее значение для достижения самой главной цели поставщиков услуг здравоохранения — обеспечение высококачественного ухода и снижение рисков для безопасности пациентов.
3. Предотвращение затрат, связанных с нарушениями
   Здравоохранение уже является одной из ведущих отраслей с точки зрения норм обеспечения конфиденциальности данных, и постоянное ужесточение требований означает, что даже небольшие нарушения могут привести к значительным штрафам. Но штрафы — это лишь верхушка айсберга затрат из-за нарушения безопасности. Например, из-за типичной кибератаки больница среднего размера может прекратить работу в среднем на 10 часов, что будет обходиться в 45 700 долл. США в час.

Главным вопросом является экспоненциальная цифровизация каждого аспекта здравоохранения, как упоминалось выше. Несомненно, эта цифровая трансформация обеспечивает огромные преимущества как пациентам, так и поставщикам услуг, и в ближайшие годы будет продолжать раскрывать новые широкие возможности и потенциал. Но она также представляет куда более высокие риски безопасности, главным образом потому, что создает гораздо более широкую и более сложную цифровую экосистему с гораздо большим количеством точек, где злоумышленник может получить доступ или может произойти утечка либо раскрытие данных. В весеннем отчете за 2022 г. определены пять ключевых источников проблем безопасности данных в здравоохранении:

1. Подключенные к интернету вещей и «интеллектуальные» медицинские устройства. Количество подключенных устройств в больницах и клиниках продолжает расти в геометрической прогрессии. Министерство здравоохранения и социального обеспечения (HHS) США сообщает, что больше половины наиболее часто используемых подключенных медицинских устройств уязвимы для кибератак.
2. Всплеск использования телемедицины. Вызванный пандемией переход на телемедицину и мобильное здравоохранение носит долгосрочный характер. Доступ пациентов к услугам здравоохранения за пределами традиционного «периметра» безопасности данных влечет за собой множество рисков и проблем в области безопасности.
3. Закон о лечении. Закон о лечении от 2016 г. направлен на устранение барьеров для совместимости систем и устройств в здравоохранении. Это напрямую поддерживает и ускоряет технологические инновации, но также и создает дополнительные точки, где возможна утечка или кража данных во время их передачи.
4. Недостаточно обеспеченные ресурсами ИТ-отделы. Нехватка персонала и дефицит бюджета затрагивают каждое отделение больницы, и из-за этого в системы безопасности не вносятся исправления, а стеки технологий не обновляются и не укрепляются, чтобы соответствовать современным требованиям и рискам. Более того, Министерство здравоохранения и социального обеспечения сообщает, что киберпреступники попросту превосходят типичные больницы с технологической и кадровой точки зрения.
5. Отсутствие подготовки сотрудников по вопросам безопасности. Человеческий фактор по-прежнему является самой большой угрозой безопасности, будь то переход по фишинговой ссылке, потеря или обмен учетными данными или пропуск незарегистрированных посетителей на объект.

Согласно оценкам, причиной трех из четырех нарушений безопасности в сфере здравоохранения становится одна из этих пяти основных проблем.

Начните с защиты данных пациента

Первостепенной стратегией обеспечения безопасности данных будет целенаправленная защита данных пациентов, которые обеспечивают современное медицинское обслуживание, за счет внедрения правильных технологий и процессов и создания культуры безопасности данных. Для обеспечения доступности и целостности данных пациентов больницы и системы здравоохранения должны принимать ряд перечисленных далее мер.

• Шифрование и токенизация всех данных пациентов во время передачи и хранения для защиты от несанкционированного доступа.
• Обеспечение цифровой подписи записей пациентов для поддержания безопасной цепи контроля над данными пациентов и снижения рисков мошенничества и подделки.
• При предоставлении или перемещении данных пациента вся информация, позволяющая установить личность (PII), должна быть токенизирована для дальнейшей защиты конфиденциальности пациента.

Соблюдайте все нормативно-правовые требования

В дополнение к клинической важности безопасности данных пациентов больницы и системы здравоохранения должны обеспечить и поддерживать соответствие ряду постоянно ужесточающихся нормативных требований от Закона об ответственности и переносе данных о страховании здоровья граждан (HIPAA) и Закона о стимулировании медицинских информационных технологий для оздоровления экономики и медицины (HITECH) до Общего регламента по защите персональных данных (GDPR), Закона Калифорнии о конфиденциальности потребителей (CCPA), регламента об электронной идентификации, аутентификации и доверенных услугах (eIDAS) и многого другого.

Для большинства организаций здравоохранения первоочередной задачей является соблюдение HIPAA. Вот четыре области, на которых следует сосредоточиться для соответствия требованиям HIPAA.

• Строгая аутентификация. В Законе об ответственности и переносе данных о страховании здоровья граждан первостепенное внимание уделяется ограничению, контролю и мониторингу физического и цифрового доступа к помещениям, активам и данным. Предоставьте авторизованным пользователям высоконадежную аутентификацию на основе учетных данных, которая позволяет им быстро и легко проверять идентификационные данные и права доступа.
• Цифровые сертификаты. Цифровые сертификаты дополняют надежную аутентификацию при подтверждении идентификационных данных устройства, сервера или пользователя. Надежная программа цифровых сертификатов становится все более важной для обеспечения бесконтактной, полностью интегрированной экосистемы подключенных устройств интернета вещей внутри больницы или системы здравоохранения.
• Защита данных. В Законе об ответственности и переносе данных о страховании здоровья граждан сказано, что защищенная медицинская информация (PHI) должна быть зашифрована, если только не предоставлено «разумное и надлежащее» обоснование. Кроме того, эффективное шифрование данных как во время передачи, так и во время хранения, может помочь организациям избежать значительных штрафных санкций в случае нарушения.

Повысьте степень защиты данных в критически важной цифровой архитектуре

Стандарты и рекомендуемые методы обеспечения безопасности данных, которые использовались для защиты настольных рабочих станций и устаревших локальных технологий, просто не могут успевать за облачными приложениями, возможностью подключения с помощью мобильных устройств и стеков технологий без периметра. Больницы и системы здравоохранения должны построить ориентированный на будущие требования стек безопасности, который сможет обеспечить необходимый мгновенный беспрепятственный доступ, одновременно предотвращая растущие риски кибератак, мошенничества и взлома. Вот три области, на которых стоит сосредоточиться.

• Принять меры по защите систем EHR. Цифровые сертификаты для устройств интернета вещей; беспарольные входы; высоконадежная аутентификация на основе учетных данных; аппаратные модули безопасности, проверенные в соответствии с Федеральными стандартами обработки информации (FIPS), могут помочь вашей организации защитить цифровую целостность вашей системы EHR и предотвратить нарушения безопасности в здравоохранении.
• Гарантия безопасности устройств интернета вещей. Согласно передовой практике создания безопасной среды следует всегда использовать шифрование корпоративного уровня и цифровые подписи вместе с корнем доверия, защищающим лежащие в их основе криптографические ключи.
• Защита аппаратного и встроенного программного обеспечения. В высоконадежной цифровой инфраструктуре также должны использоваться ключи, сертификаты и сквозное шифрование, чтобы обеспечить подлинность и целостность прошивки в интеллектуальных подключенных устройствах интернета вещей.

Используйте интеллектуальные технологии защиты данных, необходимые современному персоналу для продуктивной работы

«Новая норма» изменила процессы работы сотрудников здравоохранения. Поставщики медицинских услуг взаимодействуют с пациентами виртуально через службы телемедицины и мобильной медицины. Клинический и административный персонал использует модели удаленной и гибридной работы. Обеспечение этих новых методов работы имеет большое значение для расширения и совершенствования методов оказания медицинской помощи. Это также имеет решающее значение для достижения экономических результатов, а также привлечения и удержания персонала перед лицом неустанного давления трудового законодательства.

• Интеграция технологий нового поколения. Темпы инноваций в мире технологий, ориентированных на продуктивность и сотрудничество, продолжают расти. Это инструменты и технологии, которые позволяют врачам и персоналу лучше работать в рамках новых и более продуманных процедур. Способность больницы или системы здравоохранения быстро интегрировать новые технологии зависит от наличия гибкого, ориентированного на будущее стека технологий безопасности, который позволяет настроить необходимую аутентификацию, шифрование и другие меры безопасности данных вокруг новых приложений, новых интеграций и новых рабочих процессов.
• Предоставление беспрепятственного доступа. Польза от инновационных новых технологий ограничена возможностью быстрого доступа к ним и перехода между ними для предоставления медицинского обслуживания и выполнения ключевых операций. Полное раскрытие потенциала цифровой трансформации — от преимуществ в плане производительности до повышения качества ухода за пациентом и удовлетворенности персонала — зависит от обеспечения такого беспрепятственного доступа.
• Поддерживайте гибкость персонала с помощью физической безопасности. Одной из особенностей гибридной рабочей модели, которые чаще всего упускают из виду, является то, что она часто требует изменений в программах физической безопасности и контроля доступа. Больницы и системы здравоохранения должны повторно оценить пробелы и проблемы в программе физической безопасности, которые могут представлять риск для конфиденциальности и безопасности данных пациентов, например при предоставлении уполномоченному персоналу доступа к объектам не в стандартные смены, при бесконтактной регистрации пациентов и посетителей либо при найме и увольнении персонала и волонтеров.

Обеспечивайте помощь и защиту при оказании дистанционных услуг здравоохранения и проведении цифровых транзакций

Спрос пациентов на телемедицину, мобильный уход и другие варианты виртуального и удаленного ухода за пациентами носит долгосрочный характер. Медицинские организации также признали многочисленные преимущества этих новых способов оказания медицинской помощи. Но предоставление удобного, персонализированного и индивидуального обслуживания, которого ожидают пациенты, и реализация потенциала для охвата малообеспеченных групп населения одновременно с повышением эффективности создают ряд совершенно новых проблем безопасности данных.

• Обслуживание и аутентификация удаленных пациентов. При дистанционном оказании медицинской помощи простейшей задачей, связанной с безопасностью данных, является подтверждение личности пациента, который не присутствует физически. Медицинские организации должны внедрить технологии, обеспечивающие безопасную самостоятельную проверку личности пациентов. Им также необходимо построить новые рабочие процессы для обслуживания новых пациентов в рамках полностью виртуальной медицинской помощи.
• Защита PHI при оказании медицинской помощи в облаке. Связь с пациентами и предоставление медицинской помощи через веб-приложения и облачные приложения означает, что невероятное количество PHI теперь перемещается в обе стороны далеко за пределами безопасной и защищенной традиционной сети. Комплексная стратегия защиты данных должна включать в себя прогрессивное сквозное шифрование, надежные сертификаты и инфраструктуру открытых ключей (PKI), чтобы гарантировать беспрепятственный обмен данными пациентов, одновременно защищая их от утечки или кражи.
• Безопасность носимых предметов и устройств за пределами периметра. Помимо оказания первичной медико-санитарной помощи, основным фактором, способствующим дистанционному медицинскому обслуживанию, является развитие подключенных медицинских устройств, которые позволяют поставщикам медицинских услуг отслеживать информацию о здоровье пациентов и реагировать в режиме реального времени. Это целый ряд систем от «интеллектуальных» медицинских устройств, таких как CPAP, диализные аппараты и кардиостимуляторы, до невероятно популярных сейчас носимых устройств, таких как умные часы и непрерывные мониторы глюкозы. Медицинские организации должны не только защищать PHI, отправляемые с этих подключенных устройств во внутренние системы, но и внедрять надежные технологии защиты аппаратного и микропрограммного обеспечения самих подключенных устройств.
• Безопасность цифровых транзакций и платежей. Сложные технологии цифровой подписи играют решающую роль как во внешнем, так и во внутреннем компонентах системы дистанционного обслуживания. Медицинским организациям нужна безопасная и органичная процедура быстрого и надежного подтверждения подлинности заказов поставщиков, таких как лабораторные заявки и рецепты. С точки зрения внутренних процессов они должны гарантировать подлинность страховых требований, а также обеспечить технологическую инфраструктуру, позволяющую пациентам производить безопасные платежи.