23,7% утечек - дело самих сотрудников медицинской организации. Но кого это волнует?

В мире современного здравоохранения есть одна величина, которая не меняется – это количество утечек данных в месяц. И прошедший месяц не был исключением.

Согласно данным DataBreaches.net (Breach Barometer), который поддерживает компания Protenus, в августе в США было зарегистрировано 33 утечки. Это только те, о которых стало известно Министерству здравоохранения США или прессе. По данным, известным по 31 утечке, были похищены данные примерно 674 000 людей. Примерно столько же было и в июле.

Примерно 54.5% августовских инцидентов были связаны с атаками хакеров. Еще 15.2% произошли из-за потери или кражи данных, а 3% - из-за неустановленных причин.

Остальные 27.3% утечек были связаны с действиями инсайдеров (сотрудников пострадавших медицинских организаций). Семь из девяти инцидентов произошли из-за ошибок персонала, оставшиеся два – из-за умышленных действий.

Причем персоналу потребовалось в среднем 138 дней на обнаружение факта хищения данных. Это время зависело от типа инцидента – для обнаружения хакерской атаки требовалось в среднем 26 дней, а вот чтобы раскопать ущерб от действий инсайдеров нужно было существенно больше времени – в среднем 209.8 дней.

Все это обозначает большую проблему в безопасности информационных систем в здравоохранении – инсайдеры все еще остаются незамеченными и в первую очередь потому, что они имеют стабильный доступ в системы электронных медицинских карт.

Хорошим решением, по мнению Protenus, является углубленная аналитика, которая поможет организациям своевременно понять, когда и как инсайдеры получают доступ к информации о пациентах. Но, к сожалению, такие системы практически не встречаются в здравоохранении.

Отметим также, что большая часть августовских инцидентов (72.7%) произошли в системах медицинских организаций, а 18.2% - у страховых компаний. Еще один инцидент произошел в фармацевтической компании и один у поставщика, связанного со здравоохранением.