Как защитить от утечки медицинские данные

Как защитить от утечки медицинские данные

Особую ценность для киберпреступников имеют персональные данные медицинского характера, ведь медицинские карты содержат в себе всю критическую информацию — номер социального страхования, дату рождения и т. д. Это позволяет злоумышленникам использовать такие данные для получения кредитов на стороннее лицо, для налоговых махинаций, выставления фиктивных счетов страховым компаниям, получения лекарственных препаратов строгой отчетности, продажи баз персональных данных распространителям лекарств и БАДов, и других противоправных действий. Как же защитить такие данные?

При всей очевидности угрозы корень проблемы в том, что учреждения, обрабатывающие данные медицинского характера, не обеспечивают необходимый уровень защиты персональных данных. Фактически многие организации в сфере здравоохранения ограничиваются лишь тем, что выполняют требования порой устаревших нормативных актов или имитируют их выполнение на бумаге. Со стороны регуляторов информационная безопасность в здравоохранении чаще всего сводится к проверке исполнения нормативных требований, которые в России определяются по большому счету только федеральным законом 152-ФЗ. Требования этого закона, к сожалению, во многом формальны — защищенное хранение персональных данных, регламентированный доступ, категоризация информации. Реализовать все эти требования чаще всего достаточно в бумажной форма — достаточно написать соответствующие приказы и положения, ознакомить с ними персонал и пациентов, опубликовать положение о защите персональных данных. Как результат, информация о подавляющем большинстве утечек из медучреждений попросту не доходит до общественности или даже не фиксируется как инцидент. Российские медицинские учреждения не обязаны раскрывать факты утечек. 

На Западе ситуация уже давно прямо противоположная: в США утечки или даже ненадлежащее хранение данных пациентов чревато колоссальными штрафами или даже уголовным преследованием. Медучреждения обязаны обеспечивать защиту информации по закону HIPPA (закон о защите данных по медицинским страховкам) еще с 1996 года. Мы следим за новостями об утечках, происходящих по всему миру, в том числе в медицине и страховом бизнесе, и при этом размеры штрафов также известны публике. Так, страховая медицинская компания Aetna заплатит 17,1 млн долларов США за утечку персональной информации тысяч ВИЧ-инфицированных. Нью-йоркская компания EmblemHealth согласно решению прокуратуры должна выплатить 575 000 долларов и выполнить план корректирующих действий, который будет включать тщательный анализ рисков. Медицинские компании действительно слишком часто страдают от потери и хищения данных — по мнению независимых аналитиков, в 2016 году организации здравоохранения подвергались в среднем одной атаке в день.

Помимо внешних атак, значимую долю среди утечек медицинских данных занимают внутренние утечки, вызванные действиями инсайдеров. Как правило, используются съемные накопители, передача файлов через социальные сети и облачные хранилища, и чаще всего — личная или корпоративная электронная почта. С сожалением стоит отметить, что уровень ИТ- и ИБ-подготовки сотрудников медучреждений по всему миру чаще всего весьма низкий, и доля случайных, непреднамеренных утечек также велика.

Свежий пример утечки без злого умысла — утечка из департамента здравоохранения штата Миссисипи. Сотрудник департамента по ошибке отправил электронное письмо со вложенным файлом Excel, содержащим медицинскую информацию пациентов, стороннему подрядчику.

Для решения задачи предотвращения утечек медицинских данных за пределы организаций, а также их несанкционированного распространения внутри корпоративных информационных систем необходимо использовать полноценные DLP-системы. Особо подчеркну, что ключевым показателем полноценности DLP-системы должно быть качество решения ключевой для DLP задачи — детектирования и предотвращения несанкционированной передачи защищаемой информации путем блокировки передачи (печати, сохранения на внешнем носителе и др.), а не только задачи мониторинга каналов передачи данных и последующего расследования инцидентов.

Рассмотрим на примере с утечкой медицинских данных из департамента здравоохранения штата Миссисипи, как должен был быть реализован DLP-контроль, в частности, канала передачи информации посредством электронной почты.

Прежде всего, должен быть определен ограниченный перечень отправителей и получателей электронных сообщений. Очевидно, что сторонние подрядчики вряд ли входят в число организаций, для которых возможен доступ к данным пациентов. Инспекция содержимого вложения в сообщение, которым в данном случае являлся файл MS Excel, позволяет детектировать наличие персональных данных. Для инспекции потребуется проведение в режиме реального времени контентного анализа файла Excel с использованием методов поиска по ключевым словам и шаблонам регулярных выражений, например номеров социальных карт. Сочетание двух описанных критериев проверки позволяет задать правило, предписывающее DLP-системе блокировать передачу такого сообщения, а следовательно, предотвратить утечку данных пациентов, а также зарегистрировать инцидент с попыткой передачи данных ограниченного доступа.

Среди представленных на мировом рынке одним из лучших и единственным российским DLP-решением, обладающим полным функциональным оснащением в соответствии с рассмотренным примером является DeviceLock DLP. Избирательный контроль всех каналов передачи, печати и сохранения данных, равно как и контентная фильтрация в DeviceLock DLP выполняются непосредственно на контролируемых компьютерах и не зависят от подключения к корпоративной сети.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru