ГлавнаяБлогDLP, защита информацииЭпидемия в больницах: информация под угрозой?

Эпидемия в больницах: информация под угрозой?

94% медицинских учреждений в США теряли конфиденциальную информацию. Именно к такому заключению пришло издание Naked Security на основании проведенного исследования. Как мы уже говорили в предыдущей статье, современные клиники отлично справляются со своими прямыми обязанностями, однако когда дело касается защиты информации, они оказываются беспомощными, как младенец. Такой вывод можно сделать на основании исследования, проведенного среди […]

Эпидемия в больницах: информация под угрозой?

94% медицинских учреждений в США теряли конфиденциальную информацию. Именно к такому заключению пришло издание Naked Security на основании проведенного исследования.

Как мы уже говорили в предыдущей статье, современные клиники отлично справляются со своими прямыми обязанностями, однако когда дело касается защиты информации, они оказываются беспомощными, как младенец.

Такой вывод можно сделать на основании исследования, проведенного среди медицинских учреждений США, результаты которого оказались достаточно шокирующими и неоднозначными. Как выяснилось, 75% опрошенных организаций вообще никак не защищают информацию. Речь даже не идет о современных DLP системах, отсутствуют элементарные средства контроля доступа к информации или шифрования данных. При этом 94% опрошенных уже пострадали из-за утечки информации, причиной которой чаще всего была халатность персонала.

Не менее страшным выглядит и тот факт, что 69% организаций не заботятся о защите специфического медицинского оборудования, например такого, как беспроводные кардиостимуляторы. Они считают, что забота о безопасности устройств – прямая задача производителя, а персонала и администрации больницы эта проблема никоим образом не касается.

Представьте себе, что может сделать группа хакеров-злоумышленников, добравшись до внутренних сетей больницы. Но даже без столь печальных картин, больше подходящих для фильмов жанра «киберпанк», ситуация выглядит просто катастрофически. Ни для кого не секрет, что большая часть медицинских организаций перешла на электронный документооборот. Это значит, что терабайты информации хранятся на миниатюрных носителях, легко помещающихся в карман. А благодаря высокоскоростным беспроводным соединениям скачать нужные данные можно за несколько минут. Только представьте, сколько информации хранится в обыкновенной карточке пациента: начиная от детских болезней, и заканчивая адресом проживания и местом работы. Если такая информация окажется в руках у злоумышленников, трудно даже представить, какой вред она может причинить. От банального шантажа, вымогательства и краж, до попыток преднамеренного убийства.

Но, несмотря на опасность, не многие всерьез относятся к защите данных в медицинских учреждениях. При этом статистика утечек растет с невероятными темпами. Вот пример наиболее вопиющих случаев утечки данных, случившихся в организациях-респондентах в течение двух месяцев:

  • Данные о 100 000 пациентах пропали из госпиталя в штате Массачусетс. Причиной послужила кража одного из рабочих ноутбуков.
  • В медицинском центре штата Вирджиния у одного из фармацевтов был украден usb-накопитель с информацией о 2 000 пациентах.
  • Госпиталь святого Иоанна, Хьюстон, проводил специальную программу реабилитации спортсменов. Информация об участниках была продублирована на «флешку», которая в скором времени была похищена. Количество пациентов, данные которых были украдены, не разглашаются.

Как продемонстрировало проведенное исследование, самой распространенной причиной утраты ценной информации является безответственность, которая влечет потерю носителей или их кражу. На втором месте – вмешательство третьих лиц, хакеров, и кража информации с помощью взлома информационного периметра организации.

Цена, которую организации платят за потерю данных, весьма высока, и растет с каждым днем. Ориентировочно они составляют около 2,4 миллиона долларов для одного учреждения. И ежегодно сумма убытков увеличивается в среднем на 100-200 тысяч долларов.

Статистика, полученная в результате исследования, наглядно иллюстрирует все несовершенство систем безопасности медицинских учреждений США:

  • 94% организаций за последние два года столкнулись с проблемой утечки или хищения информации.
  • В среднем каждая организация страдает от утечки данных 4 раза в год.
  • Убытки для одного учреждения составляют около 2,4 миллиона долларов.
  • На каждую организацию приходится не менее 2 769 утраченных медицинских карточек.
  • Кроме медицинской информации обычно пропадают счета, страховки, и другая персональная информация.
  • 52% узнали о хищении информации при проведении планового аудита, 47% – случайно, благодаря бдительным сотрудникам.
  • Более 54% не смогли полностью восстановить утраченную информацию.
  • 81% разрешают сотрудникам пользоваться личными техническими устройствами (ноутбуки, планшеты, смартфоны) для подключения к сети.
  • 54% не уверены, что устройства сотрудников надежно защищены.
  • Не смотря на регулярные утечки данных, 69% респондентов говорят, что системы безопасности недостаточны или вовсе отсутствуют.

Если сопоставить цифры, получается, что около половины опрошенных компаний регулярно страдают от утечки данных. Причем, виноваты чаще всего не хакеры, а самые обыкновенные воры, позарившиеся на оборудование.

Недооценка угрозы ведет к тому, что компании каждый раз наступают на одни и те же грабли. При этом системы кодировки информации, контроля перемещения данных и мониторинга персонала могли бы значительно снизить риск.

Например, мониторинг почты и защита данных от несанкционированного копирования сделает невозможным вывод информации за пределы сети предприятия. Если сотрудник захочет копировать файлы на «флешку» или в «облако» современная DLP или заблокирует действие, или уведомит ответственное лицо. Как следствие, «слить» или украсть ценную информацию становится очень не просто.

Программные средства, позволяющие вести мониторинг оборудования, и в случае попытки кражи, мгновенно уведомляющие службу безопасности — полностью решают проблему. Ведь в такой ситуации незаметно украсть лептоп или HDD невозможно.

Учиться лучше на чужих ошибках. Например, похищенный из отделения полиции Манчестера диск с важной информацией стоил администрации 150 тысяч фунтов стерлингов штрафа. Это послужило отличной мотивацией для внедрения современных систем защиты данных.



Тоже интересно
Смотреть всё
Changelog для «‎Стахановец 10»: представляем минорное обновление v10.12
В «‎‎Стахановец 10.12» мы расширили DLP-возможности системы мониторинга, добавив анализ папок Outlook и маркировку...
18 марта 2024
Дайджест февраля
Рассказываем про главные мероприятия февраля в сфере информационной безопасности: легендарную «Магнитку-2024»,...
04 марта 2024
Employee Monitoring, или мониторинг сотрудников: что это такое и для чего предназначен
Если в пандемию такие решения руководители использовали для контроля удаленной команды, то теперь их активно применяют...
22 февраля 2024