Главная причина утечки медицинских данных совсем не хакеры
Как следует из недавно опубликованных результатов исследования сотрудников бизнес-школы Джона Хопкинса Кари, большая часть утечек медицинских данных в США за последние годы не имела отношения к деятельности хакеров, а была связана либо с ошибками, либо с провалами в организации безопасности медицинских организаций.
Исследователи проверили данные американского Министерства здравоохранения и социального обеспечения о 1138 утечках, от которых пострадали 164 млн пациентов за период с октября 2009 года до конца 2017 года.
Хакеры прибрали к своим рукам медицинские записи 133.8 млн пациентов в процессе 233 отдельных инцидентов за весь период исследования. Но больше всего событий утечек, составляющих 42% случаев или 472 инцидента, были связаны с кражей оборудования или информации неизвестными лицами, а также существующими или прежними сотрудниками. Еще 25% были следствием разных событий, включая ошибки сотрудников, такие как отправка писем (обычных или электронных) неправильному адресату, пересылка данных в незашифрованном виде, использование записей дома или отправка данных на свой персональный адрес или личное устройство.
По словам авторов исследования,
Более половины утечек были связаны с небрежностью собственных сотрудников и, следовательно, их в определенной мере можно было бы предотвратить.
Некоторые медицинские организации размещают конфиденциальную медицинскую информацию на веб-сайте без всякой защиты просто из-за халатности, другие же не используют средства шифрования даже в тех случаях, когда они имеют доступ к таким инструментам.
Подобные и схожие с ними ошибки ответственны за более, чем половину утечек данных. И мы можем утверждать, что было бы несложно снизить риск утечки, если бы медицинские организации захотели обеспечить выполнение их сотрудниками несложных протоколов.
Что касается утечек информации, относящихся к неправильному их хранению, то медицинские организации должны обеспечить переход к безбумажным технологиям. Они также должны избегать использования мобильных устройств для просмотра и хранения защищенной информации, а также использовать шифрование, защиту при помощи брандмауэра и облачные хранилища данных.
Кроме этого, можно относительно легко избавиться от утечек, относящихся к использованию устаревших методов коммуникации. Для этого организациям необходимо обеспечить верификацию всех адресатов, убедиться, что никакая личная информация не представлена на конвертах пересылаемых документов, а при отправке электронной корреспонденции используется шифрование.
В отчете также указывается, что с мобильными устройствами были связаны 46% случаев утечек, в то время как с бумажными документами - 29%. Сотрудники, которые забирали медицинские данные с собой домой или пересылали их себе на личную почту, стали причиной 74 утечек информации или 6.5% случаев.