​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​

Защита персональных данных по карману не всем ЛПУ

17.07.2017

В медицинских организациях сегодня хранятся огромные массивы персональных данных, причем значительная их часть содержит в определенной степени секретную информацию о пациентах. Недавний случай с сетью лабораторий «Инвитро», когда из-за компьютерного вируса Petya работа компании была парализована на несколько дней, лишний раз показал, насколько уязвимыми могут быть информационные системы медучреждений.

С развитием цифровых технологий киберпреступность будет только набирать обороты. Готовы ли к этому медицинские организации?

Антивирус нынче дорог

Как и следовало ожидать, крупные коммерческие медцентры довольно уверенно чувствуют себя в этом плане и практически не боятся кибератак. Как рассказал порталу Medvestnik.ru инженер информационной безопасности ОАО «Медицина» Сергей Смолин, в их клинике надежная система защиты персональных и медицинских данных. Антивирусная защита автоматически обновляется каждые 4 часа, поиск уязвимостей осуществляется сканером безопасности в ежедневном режиме, базы последнего обновляются также ежедневно.

Информационная система клиники аттестована на соответствие требованиям федерального закона №152-ФЗ (о персональных данных), ежегодно проводятся независимые аудиты системы управления информационной безопасностью организации на соответствие требованиям стандарта ISO 27001-2013. Также каждый год IT-система клиники тестируется на «взлом». Постоянно осуществляется резервирование информации. Наличие актуальных резервных копий проверяется ежедневно, периодически проводится их тестирование на предмет восстановления и корректности восстановленной информации. Большое внимание уделяется информированию, обучению и тестированию ответственных за этот сектор сотрудников.

«Опыт последних лет показывает, что в самом наихудшем случае мы сможем восстановить работоспособность основных информационных систем клиники в период от 30 минут до полутора часов, при этом существует риск потери только той информации, которая была создана с момента последнего резервного копирования до момента аварии (как правило, это не более 6-8 часов). На время восстановления информационных систем в клинике предусмотрены процедуры работы на бумажных носителях», – сообщил Сергей Смолин.

В небольших частных медицинских организациях и государственных ЛПУ дела обстоят не так радужно - все упирается в финансирование

Как рассказала главный врач одного из подмосковных медицинских центров, не пожелавшая раскрывать свое имя, они защищают свою информацию только с помощью антивирусной программы «Лаборатории Касперского» и строго-настрого запрещают сотрудникам открывать электронные письма от неизвестных отправителей. Такая «беспечность» связана только с одним – с нехваткой оборотных средств.

Распределение утечек по типам данных, 2016 год

Источник: аналитический центр InfoWatch 

В государственных медучреждениях примерно такая же картина – в крупных клиниках защита информационных систем поддерживается, как правило, на хорошем уровне, чего нельзя сказать о небольших организациях. И опять все упирается в финансирование.

Как сообщил порталу Medvestnik.ru руководитель Центра информационных технологий Боткинской больницыАнатолий Пыхтин, в их клинике предприняты достаточные меры безопасности. «Но нельзя забывать, что киберпреступность – это бич нашего времени, и от возможных кибератак сегодня не застрахован никто. В этом убедился весь мир на примерах вирусов Petya и WannaCry, от которых пострадали даже всемирно известные компании. Чтобы минимизировать угрозы, сотрудники информационной службы больницы регулярно проводят аудит системы, постоянно модернизируя программные и аппаратные средства защиты информации. Поскольку безопасность персональных данных пациентов – это первостепенная задача для нас, как крупнейшей многопрофильной клиники Москвы, мы в ежедневном режиме предпринимает все возможные меры как для защиты, так и для восстановления работоспособности системы обработки персональных данных в случае кибератак», - добавил он.

Врачам – закон

Несмотря на оптимистичные реляции представителей крупных клиник страны, проблемы с защитой, хранением и обработкой персональных данных в медицинских организациях страны остаются. Государство пытается регулировать ситуацию с помощью федерального закона №152-ФЗ от 2006 г., новыми изменениями в который предусмотрено ужесточение наказаний.

В соответствии с вступившими в силу  изменениями, за нарушения в сфере обработки персональных данных будут наказывать строже.

С 1 июля 2017 года вносятся значительные изменения в ст. 13.11 КоАП. В частности, новая редакция кодекса будет предусматривать ответственность за обработку персональных данных в случаях, не предусмотренных законодательством, а также без получения письменного согласия на это их субъекта; необеспечение оператором обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным; невыполнение должностными лицами государственного или муниципального органа-оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу.

Если обработка данных не соответствует заявленным целям, оштрафовать теперь могут на сумму от 30 до 50 тыс. рублей; при отсутствии письменного согласия субъекта (пациента или сотрудника) на обработку его персональных данных – от 15 до 75 тыс.; если медорганизация не разместила в открытом доступе документ, определяющий политику обработки персональных данных и требования к их защите – от 15 до 30 тыс.; за непредоставление в течение 30 дней информации пациенту по его персональным данным (по его запросу) – от 20 до 40 тыс.; за невыполнение в течение 7 дней обоснованного требования субъекта по уточнению или изменению его персональных данных – от 25 до 45 тыс.; за несанкционированный допуск к персональным данным – от 25 до 40 тыс. рублей.

Теперь, чтобы оштрафовать медорганизацию, представителям Роскомнадзора достаточно будет «погулять» по ее сайту. Предупреждать о такой проверке инспекторы не обязаны. При этом возбуждать дела об административных нарушениях отныне смогут сами проверяющие – без передачи информации в прокуратуру, как было раньше.

Смогут ли эти нововведения дисциплинировать клиники и в результате повысить культуру обращения с персональными данными и уровень их защиты или только в очередной раз увеличат нагрузку на медицинские учреждения – как организационную, так и финансовую?

«Ужесточение закона о персональных данных, безусловно, повысит нагрузку на медицинские организации. Вместе с тем со временем дисциплинирует и убедит их руководство в необходимости защиты данных. В дальнейшем эти меры помогут либо снизить, либо вообще исключить возможность использования таких данных злоумышленниками», – полагает Анатолий Пыхтин.

Заместитель директора по безопасности, начальник управления информационной безопасности Группы компаний «Медси» Дмитрий Горячев также оценил нововведения положительно: «Они заставят операторов персональных данных более внимательно относиться к выполнению требований федерального законодательства и подзаконных актов, обеспечивать как фактическую защиту данных – внедрять современные программно-аппаратные комплексы по их защите, так и заниматься всем необходимым документальным сопровождением в рамках выполнения требований законодательства».

Опрошенные главврачи небольших медицинских учреждений – как частных, так и государственных – видят в ужесточениях очередную попытку пополнить бюджет, в том числе и за их счет, поскольку допускаемые ими «нарушения» в части персональных данных зачастую свидетельствуют не о безалаберности, а, как правило, упираются в недостаточность финансирования. Кроме того, они отметили, что часто сталкиваются с некомпетентностью и предвзятостью проверяющих, и просили подчеркнуть, что они не против проверок как таковых, но ждут от них не неминуемых наказаний, как зачастую происходит сейчас, а объективного разбора ситуации с дальнейшей возможностью устранения обнаруженных недостатков. «Целью любой проверки должно стать не наказание, а исправление сложившегося положения дел, в этом мы, главврачи, заинтересованы как никто другой», – заявила главный врач подмосковного медцентра.

Человеческий фактор

К сожалению, глобальные усилия регуляторов в сфере защиты персональных данных пациентов не затрагивают участившихся случаев передачи медиками информации о тяжелобольных людях похоронным агентствам. По словам главного врача ГКБ №71 Александра Мясникова, такая проблема действительно существует. «И это мерзко. Я никогда не пойму врачей, которые за очень небольшие деньги продают совесть и преступают законы врачебной этики, как гиены карауля умирающего в надежде поживиться. К сожалению, их крайне трудно выявить. Мы иногда определяем, с какого телефона звонили в агентство, из какого отделения, вычисляем, кто был на дежурстве в это время, и предупреждаем: если только поймаем за руку или хотя бы подозрения будут достаточно обоснованы, сотрудник немедленно будет уволен. Но этих мер, конечно, недостаточно», - сетует он. 

По данным компании InfoWatch, в 68% случаев виновными в утечке информации оказываются сотрудники, в 8% случаев — руководство организаций               

Распределение утечек по виновнику, 2016 год

Вероятно, уже пришло время серьезно заняться этой проблемой и, называя вещи своими именами, перевести это деяние из разряда административного нарушения в преступление против личности. Остается только определиться, как правильно его квалифицировать и какую доказательную базу использовать для его раскрытия.

Партнер «Лиги защиты прав пациентов» адвокат Дмитрий Чипчиу разъясняет: «В действующем законодательстве нет какой-либо специальной нормы (статьи) уголовного права, предусматривающей ответственность за так называемую торговлю адресами умерших. Но такие деяния можно квалифицировать в рамках статьи 137 УК РФ – «Нарушение неприкосновенности частной жизни». За совершение преступления, подпадающего под часть 1 данной статьи (незаконное получение или распространение сведений о частной жизни лица, которые составляют его семейную или личную тайну, без его согласия и для получения личной выгоды), можно получить наказание до двух лет лишения свободы. Те же деяния, совершенные с использованием служебного положения, наказываются строже: медицинские работники могут быть лишены свободы на срок до четырех лет и права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Конечно, поймать за руку занимающихся таким «промыслом» бывает непросто, но если это удалось, доказательной базой могут послужить показания свидетелей (коллег, пациентов, иных лиц), которым стали известны какие-либо обстоятельства, а также любые другие доказательства, например, записи телефонных разговоров, с видеокамер. В отечественной практике пока нет примеров возбуждения дел по ч. 2 ст. 137 УК РФ в отношении медицинских работников. Однако случались прецеденты, когда правоохранительным органам все же удавалось пресечь факты торговли адресами умерших, но тогда возбуждались совокупные уголовные дела – в отношении медицинских работников и работников участково-уполномоченных служб полиции, и совсем по другой статье – «получение взятки должностным лицом», отмечает адвокат.

Кстати, именно по этой статье накануне было возбуждено уголовное дело в отношении фельдшера Саратовской городской станции скорой медицинской помощи, пойманного на передаче сведений, составляющих врачебную тайну, представителям ритуальных компаний.