Сократилось количество утечек данных в организациях здравоохранения США

В 2012 году общее количество крупных нарушений IT-безопасности в США возросло на 21,5% в сравнении с 2011 годом, в то время как инцидентов с утечками медицинских данных пациентов стало меньше на 77%.

Эта статистика представлена в новом исследовании Redspin Breach 2012 американской общественной организации Open Security Foundation, согласно которому в 2012 году число глобальных нарушений безопасности данных по всем отраслям достигло 2644, более чем удвоив количество инцидентов позапрошлого года. Несмотря на рост числа нарушений, положительная динамика в сфере здравоохранения налицо – в 2012 году было скомпрометировано всего 267 млн медицинских данных по сравнению с 412 млн записей в 2011.

Согласно отчету Redspin Breach 2012, 67% всех нарушений в сфере здравоохранения США были результатом кражи или утери устройства, на котором хранилась информация, в то время как на случаи с хакерской атакой приходится лишь 6% инцидентов. В 38% случаях предметом утечки стала информация, хранящаяся в незашифрованном виде на ноутбуке или другом портативном электронном устройстве, что говорит о серьезном недочете в общепринятых практиках по защите данных внутри корпоративных сетей.

Redspin предупреждает, что со вступлением в силу правила, объединяющего различные требования HIPAA, организации могут столкнуться с необходимостью предоставлять данные о большем количестве утечек, поскольку это правило расширяет пределы правового регулирования и теперь также подразумевает проверку систем ИБ бизнес-партнеров медицинских учреждений.

Основываясь на статистике прошлых лет, Redspin заявляет, что уязвимости в системе информационной безопасности компании, являющейся деловым партнером медучреждения, в пять раз увеличивают риск утечки данных пациентов. В 2012 году более чем в половине (57%) инцидентов с утечками данных пациентов участвовали бизнес-партнеры медицинских организаций (подрядчики и поставщики).

"Мы рекомендуем больницам провести всесторонний анализ корпоративной сети в целях определения уровня зависимости информационной безопасности от десятка или даже сотни поставщиков, подрядчиков и консультантов, с которыми они работают", – отмечают эксперты Redspin.

По заявлению Redspin, существует ряд мер, которые помогут медицинским учреждениям обезопасить свою корпоративную сеть от утечек информации. В первую очередь, это анализ соответствия информационных систем нормам безопасности HIPAA и стандартный процесс поиска и устранения текущих уязвимостей. Далее следует интегрирование этих отчетов в систему оценки риска нарушений IT-безопасности. Кроме того, нельзя забывать о необходимости использовать шифрование данных на всех портативных устройствах. Потеря или кража незашифрованных электронных носителей информации составляет более трети всех крупных нарушений на сегодняшний день. Также немаловажным шагом на пути к усилению защиты информации компании является организация и проведение регулярных, частых тренингов по вопросам информационной безопасности для всех сотрудников.

Ставки остаются высокими, несмотря на уменьшение количества обнародованных медицинских данных в 2012 году. "В последние годы уровень IT-безопасности отдельной компании имеет значение в масштабах всей отрасли, - говорится в отчете Redspin. – Нарушения IT-безопасности могут привести к значительным финансовым потерям, нанести ущерб репутации и привести к потере доверия потребителей. В сфере здравоохранения эта угроза достигает глобальных размеров, так как оказывает влияние на всю систему ведения медицинских записей в электронном виде, которая уже стала основой для повышения эффективности затрат, оказания скорой медицинской помощи и, в целом, оказывает положительное влияние на результативность лечения пациентов в рамках системы здравоохранения США".

Комментирует главный аналитик InfoWatch Николай Федотов: «Следует пояснить, что медицинские данные пациентов и врачей в США являются ходовым товаром на чёрном рынке. Поскольку практически вся медицина в США - страховая, возможны различные виды мошенничества. Начиная от простейшего получения медицинской помощи за чужой счёт и заканчивая организацией виртуальной клиники с фиктивными врачами и фиктивными пациентами.

Страховые компании просто не имеют возможности проверить все случаи оказания медпомощи. Они ограничиваются сопоставлением персональных данных пациентов и врачей, да и то не всегда. Ни пациенты, ни врачи не заинтересованы в пресечении мошенничества, т.к. они от этого деньги не теряют. А страховым компаниям, видимо, и так живётся неплохо. В итоге ведётся некоторая борьба с последствиями, но саму систему учёта, которая стимулирует махинации с персональными данными, никто менять не собирается».