Защита информации уже давно стала стратегической задачей для коммерческих организаций. Банки, IT-компании, производители техники уже неоднократно сталкивались с различными утечками и хищениями. И как следствие – потерями прибыли, технологий, клиентов и партнеров. Наученные горьким опытом организации повсеместно внедряют различные средства защиты: шифрование данных, регулярные бэкапы, сложные системы идентификации персонала, мониторинг работников и круга их общения.
Однако когда речь заходит о медицинских учреждениях, обычно выясняется, что они не модифицировали защиту со времен определения пользователя по вводу логина и пароля в стандартном интерфейсе операционных систем. При этом, как бы странно это не звучало, самая ценная информация находится именно у них.
Недавнее хищение информации о 2 200 пациентах из центра Андерсона при медицинском университете Техаса – всего лишь один из десяти подобных случаев, произошедших вблизи Хьюстона за последние три года. Власти, встревоженные безопасностью информации в медицинской сфере, вплотную занялись проблемой. И одним из средств мотивации к обеспечению надлежащего уровня защиты, стали штрафы за передачу или утечку данных о пациентах.
Представители департамента здоровья США зафиксировали 489 случая утечки данных о пациентах с 2009 года. По приблизительным оценкам, более 21 миллиона человек пострадало из-за кражи их персональной медицинской информации.
Брюс Шнайер, специалист безопасности и автор нескольких книг, считает, что основная проблема медицинских учреждений – медлительность. Пока бюрократический аппарат только начинает задумываться о проблеме, злоумышленники уже в полную силу орудуют в корпоративных сетях, зарабатывая на краже данных. По словам Шнайера, тенденция к недооценке проблемы информационной безопасности существует во всех сферах деятельности. Однако именно медицинский сектор оказался наименее готов к новым угрозам. И это при том, что в нем сосредоточена самая ценная информация: начиная со счетов и адресов и заканчивая историями болезней. Вы бы хотели, чтобы ваша медицинская карточка попала в руки к третьим лицам? И только представьте, что они могут с ней сделать.
78% утечки данных можно было бы избежать, если бы информация хоть как-то защищалась, считают специалисты. И паролей на компьютерах персонала тут явно недостаточно. Очень часто именно «инсайдеры», работники организаций, помогают злоумышленникам, целенаправленно продавая ценную информацию. Когда вы владеете чьими-то персональными данными, у вас есть этическая, моральная и юридическая обязанность защитить эту информацию. И предотвратить потенциальный вред клиенту, который может нанести ее разглашение или передача третьим лицам.
Для защиты от злоумышленников достаточно внедрить несколько простых степеней защиты. Разграничить доступ к информации, отслеживать перемещение данных, и, конечно, ввести мониторинг сотрудников. Немаловажным является и биометрическая идентификация пользователей. Ведь злоумышленник может получить доступ к компьютеру прямо в стенах больницы. В таком случае анализ клавиатурного почерка поможет выявить нарушение периметра безопасности, оповестить ответственное лицо и предотвратить хищение.
Однако не только хакеры и инсайдеры представляют опасность. По данным статистики, один из главных источников утечки — самая обыкновенная кража или потеря оборудования. Например, в одной из Техасских больниц, из-за двух похищенных ноутбуков, информация о 30 000 пациентах оказалась в открытом доступе.
По данным департамента здоровья США, очень часто злоумышленники даже не подозревают о наличии персональных данных. Они просто крадут оборудование с целью продать. Несмотря на неосведомленность, зачастую информация о пациентах оказывается в руках злоумышленников, которые знают, что с ней делать и как получить из этого прибыль. Ну а жертвам краж – больницам, точно придется столкнуться с разъяренной толпой, и понести серьезные убытки.
При этом контроль оборудования может полностью решить эту проблему. Современные системы мониторинга и защиты данных, круглосуточно отслеживают состояние техники. И в случае попытки замены комплектующих, кражи ноутбука или компьютера, оповещают ответственное лицо.
По материалам журнала Chron