Журналистка случайно раскрыла ряд инцидентов с утечками данных пациентов во Франции

Журналистка случайно раскрыла ряд инцидентов с утечками данных пациентов

Корреспондент французского веб-ресурса Actusoins, специализирующегося на теме  здравоохранения, опубликовала информацию об утечках данных в ряде медицинских учреждений Франции. Это доказывает, что подобные инциденты могут происходить даже в стране со строгим государственным регулированием в сфере защиты медицинских данных.

В ходе собственного расследования журналистка изучала различные статьи. Введя в Google имя врача, которое фигурировало в одной из статей, она с удивлением обнаружила среди первых результатов выдачи ссылку на отсканированную копию назначения на томографию больного раком, чье имя было указано в назначении. В ходе дальнейшего расследования журналистка обнаружила многочисленные случаи раскрытия других данных в других медучреждениях, в том числе списки пациентов, которые пользовались теми или иными услугами в различных больницах,  список имен взрослых и детей с ограниченными возможностями, а также результаты анализов пациентов, сообщает infowatch.ru.

Сайт Actusoins скрыл данные пациентов, прежде чем опубликовать статью, и сообщил, что соответствующие больницы и клиники были проинформированы и исправили допущенные нарушения защиты данных пациентов.

Стоит отметить, что во Франции существуют строгие законы, касающиеся защиты медицинских данных, нарушение которых влечет высокие штрафы и уголовные наказания различной тяжести. Кроме того, Франция является одной из немногих стран в Европе, где хостинг-провайдеру необходимо разрешение французского правительства на хранение медицинских данных. Несмотря на эти меры предосторожности, к выполнению требований законодательства иногда относятся довольно небрежно, в особенности это касается небольших медучреждений. Некоторые из клиник, упомянутых в статье,  совершили нелепые ошибки при организации хранения и защиты данных , в том числе, использование незащищенного протокола передачи данных. В настоящее время Франция не накладывает на поставщиков медицинских услуг обязательство раскрывать случаи утечек данных пациентов, но подобное требование, вероятно, будет введено с принятием предлагаемого постановления ЕС о защите персональных данных.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИБ-расходы растут: 83% инвестируют, но лишь 40% доверяют ИБ в стратегии

Институт изучения мировых рынков (ИИМР) представил результаты исследования «Взгляд топ-менеджеров: восприятие информационной безопасности – от понимания угроз до инвестиционных решений». Согласно выводам аналитиков, информационная безопасность больше не воспринимается исключительно как техническая задача.

Однако трудности с оценкой эффективности вложений в ИБ создают разрыв между осознанием значимости проблемы и готовностью инвестировать в защиту.

Исследование было представлено на Петербургском международном экономическом форуме. Как сообщают авторы, данные были получены в ходе глубинных интервью с руководителями российских компаний.

Ключевой вывод ИИМР: вопрос кибербезопасности перестал быть исключительно техническим, особенно в финансовом и медиасегментах. В производственной сфере такая трансформация выражена слабее. Тем не менее, российский рынок ИБ демонстрирует темпы роста, в 2–4 раза превышающие среднемировые. По данным исследования, 83% опрошенных компаний увеличили инвестиции в кибербезопасность.

«Раньше кибербезопасность была в большей степени теорией, а теперь мы сталкиваемся со сложными и серьёзными атаками. Понимание того, как правильно защищать активы, стало практическим вопросом», — отметил представитель ВТБ.

Основные факторы, влияющие на политику в области ИБ: геополитическая обстановка (100%), рост киберугроз (75%) и требования регуляторов (60%). Меньшее влияние оказывают собственный опыт, полученный в результате инцидентов (45%), и курс на импортозамещение (40%).

При этом сохраняется проблема взаимодействия между ИБ-подразделениями и руководством компаний. Это проявляется в разрыве между техническими подходами специалистов и бизнес-задачами. Только 40% респондентов считают, что руководитель ИБ-службы достаточно вовлечён в бизнес-процессы. Кроме того, отсутствует общее понимание, как оценивать эффективность инвестиций в безопасность.

«ИБ хочет всё максимально оградить, отключить любые внешние доступы, посадить сотрудников в защищённый периметр. Но бизнес не может эффективно работать в таких условиях: он просто становится неконкурентоспособным», — пояснил представитель одной из компаний.

Многие компании сталкиваются с трудностями при определении критериев эффективности работы ИБ-служб. Традиционные метрики вроде количества предотвращённых инцидентов или соотношения успешных атак к общему числу попыток считаются недостаточно показательными. Программы bug bounty на российском рынке пока остаются редкостью.

Дополнительную сложность создаёт и отчётность ИБ-подразделений: она часто не адаптирована под бизнес-язык и не содержит понятных метрик.

Авторы исследования выделили три сценария, которые приводят к заметному росту инвестиций в ИБ:

  • Ужесточение регуляторных требований, грозящее остановкой бизнеса,
  • Включение компании в перечень объектов критической информационной инфраструктуры,
  • Изменение бизнес-модели, например, выход на премиальные рынки.

Отрасли, в которых информация играет ключевую роль — финансы, телеком, электронная коммерция, — воспринимают защищённость как конкурентное преимущество. Для них инциденты вроде утечек данных или перебоев в работе являются серьёзным ударом по позиции на рынке.

В производственной сфере, напротив, кибербезопасность пока не считается приоритетной. Здесь на первый план выходят другие проблемы: нехватка кадров и сырья, регуляторное давление, падение спроса, конкуренция и санкции.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru