Эксперты сулят рост утечек данных по мере цифровизации здравоохранения России

Пока в российском здравоохранении инциденты с «цифровой» утечкой данных случаются редко, поскольку медицинская документация остается бумажной и информация о пациентах почти не появляется в сети. Среди громких утечек за полгода известна лишь одна: на файлообменнике нашлась база данных скорой помощи в Мытищах, Дмитрове, Долгопрудном, Королеве и Балашихе. Документ содержал имена, адреса, телефоны пациентов и сведения об их здоровье. Ситуацией занялся Роскомнадзор.

В то же время с января по июнь в разных частях страны обнаружили сразу несколько свалок с документами из медучреждений. В Ростовской области нашли тысячи копий медицинских и личных документов из Багаевской ЦРБ; в Татарстане в неположенном месте выбросили строительный мусор, среди которого были и медицинские карточки с историями болезней.

Вторая категория утечек связана с разглашением врачебной тайны. Так, заместителя главврача Можгинской районной больницы в Удмуртии наказали штрафом за то, что он сообщил диагноз пациентки ее работодателю, а руководителя поликлиники в Санкт-Петербурге – за передачу данных о пациенте судебным приставам. Была наказана и практикантка Красноярской больницы скорой помощи за публикацию чужой истории болезни в сети. Управление здравоохранения Липецкой области тоже допустило промах, выложив на сайт госзакупок тендерные документы с конфиденциальными сведениями о пациентах.

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев прогнозирует, что цифровизация российской медицины станет вызовом информационной безопасности во всей отрасли. «Пока большинство медицинских утечек в России связано именно с бумагой, потому что цифровизация в отрасли только началась. В западноевропейских странах и США она идет давно и создает проблемы, которые нам только предстоят. Утечки баз данных пациентов – обычная история для зарубежных медорганизаций», – говорит эксперт.

Он объясняет проблему слабым финансированием, которое заставляет медиков использовать для хранения оцифрованных данных бесплатные сервисы. Специалист говорит также, что популярные облачные сервисы имеют достаточный уровень защиты, который при должной настройке работает хорошо, однако 152-й ФЗ требует хранить персональные данные россиян исключительно на территории страны.

Многие учреждения создают собственные хранилища и веб-сервисы, но из-за недостатка финансирования они построены на базе свободно распространяемых компонентов. Эти сервисы бесплатны и не гарантируют безопасности данных. «Одним из таких популярных компонентов является ElasticSearch (движок контентного поиска для веб-сайтов). Но его использование, судя по новостям, небезопасно. Например, одна из крупных утечек случилась в ноябре прошлого года, когда на открытом сервере ElasticSearch нашли персональные данные 57 млн американцев», – приводит пример Алексей Парфентьев.

По мнению эксперта, подход «бесплатно или почти бесплатно» для медучреждений России противопоказан. «Если пустить ситуацию на самотек, то потенциально после цифровизации мы получим такую же картину, как на Западе, и даже хуже. Пока инциденты в информационной безопасности зависят в первую очередь от людей, а не от технологий. Технологии сделают утечки масштабнее. Поэтому в бюджет на цифровизацию важно заложить закрытие человеческих рисков», – убежден Алексей Парфентьев.