Разрешите сайту отправлять вам актуальную информацию.

23:56
Москва
1 июля ‘25, Вторник

Меньше клиник = меньше нарушений

Опубликовано
Понравилось?
Поделитесь с друзьями!

В России в ближайший год сократится количество коммерческих медицинских учреждений, а государственные ЛПУ обрастут дополнительными долгами.

Такие мысли в кулуарах Х Телемедфорума высказывали ряд экспертов. Одна из причин – неспособность большинства медучреждений выполнить нормативные требования по кибербезопасности, при этом штрафные санкции с 30 мая 2025 года выросли кратно.

Выбора платить или не платить за инфобезопасность у клиник больше нет.

На Х Телемедфоруме вопросу информационной безопасности медорганизаций была посвящена отдельная сессия “Необходимые и достаточные требования по кибергигиене”, к подготовке которой спикеры подошли с большой ответственностью – они создали специальную методичку, назвав выполнение необходимых для выживания базовых правил – кибергигиеной. Системно выполняя эти правила, считают эксперты, можно снять основные риски с медицинской организации. В противном случае есть очень высокий шанс попасть под новую систему штрафов, которая может обанкротить не один десяток ЛПУ.

Предупредить дешевле, чем бороться с последствиями инцидентов.

В российской культуре есть много пословиц, которые объясняют простую идею – “задним умом” пользоваться неэффективно, нужно отрабатывать угрозы на подступах. Но в малом и среднем бизнесе, как правило, самостоятельного ресурса на тщательную проработку возможных проблем при ведении предпринимательской деятельности нет. Поэтому, чаще всего предприниматели разбираются уже с последствиями неприятных событий. Этот распространенный подход стал причиной быстрого роста инцидентов в сфере информбезопасности. А первая реакция пострадавшего ЛПУ – делегирование своих задач по защите внешним партнерам. Андрей Руднев (CIO СберЗдоровья) был спикером на Х Телемедфоруме и экспертиза такого участника представляет особую ценность – СберЗдоровье агрегирует информацию об инцидентах и отрабатывает их по всей сети партнерских ЛПУ, на сегодняшний день их более 8 тысяч. Убедительные цифры из презентации Андрея Руднева говорят о том, что в 2024 году в области медицины количество атак увеличилось на 32% в сравнении с предыдущим годом.

Все эти инциденты заканчивались в 67–70% случаев «успехом», то есть злоумышленник получал доступ либо к информации, либо блокировал деятельность клиники, либо продавал данные.

Основные причины роста:

  • Порядка 40% инфраструктуры не обновляется, не поддерживаемый производителем софт достаточно легко становится уязвимой с точки зрения взломов и каких-либо целенаправленных атак.
  • Бурный рост количества медицинского оборудования со встроенной передачей данных, когда оно работает на базовых настройках – это легкий доступ ко всей инфраструктуре.
  • Рост стоимости медицинских данных на черном рынке ведет к увеличению направленных атак на инфраструктуру.
  • Высокая уязвимость российских медучреждений для фишинговых атак.

Основные группы инцидентов на российском рынке медицинских услуг, проанализированные специалистами СберЗдоровья, помогают понять, где лежат основные угрозы для ЛПУ.

Как начать готовиться к неприятностям.

Интересный факт: по данным продакт-менеджера МедФлекс Андрея Погонина (компания МедРокет), стоимость покупки данных банковской карты в Даркнете составляет в среднем от 5 до 30 долларов, а стоимость персональных медицинских данных — от 50 долларов. “То есть мы действительно уже живём в цифровую эпоху, где данные о здоровье пациента стоят дороже, чем данные о том, где у него деньги”, – утверждает Андрей Погонин.

Понимая, как устроен черный рынок медицинских данных и опираясь на систематизацию инцидентов СберЗдоровья, уже можно довольно четко очертить периметр задач, который должен быть решен внутри каждого медучреждения. Кроме прямых финансовых потерь и штрафов, инциденты, по данным СберЗдоровья, приводят к репутационным потерям: 30–40% клиентов после того, как узнают об инциденте, уходят на какое-то время, а часть из них больше не возвращается. Очевидно, что восстановление доверия потребует отдельного бюджета.

Первым шагом любой методологии информационной защиты является описание активов, которые есть у медучреждения. Чтобы понимать, как реагировать на угрозы, надо знать, каким объектам и что может угрожать.

Вторым шагом нужно изучить, какие меры защиты имеет основная медицинская информационная система (МИС) клиники, а также поставщики тех цифровых сервисов, которые клиника интегрирует со своей МИС для оказания услуг пациентам.

В этом месте у большинства клиник есть колоссальная зона риска. По словам Андрея Погонина, в клиниках часто даже не подозревают, какой “ящик Пандоры” они открывают, когда интегрируются с внешними сервисами, большинство из которых сфокусированы на развитии новых функций и реализации крутых сценариев. При этом правила цифровой гигиены уходят на второй план.

Анализ конкурентной ситуации на рынке у Андрея Погонина прицельный, ведь МедФлекс, по сути, представляет собой marketplace цифровых сервисов, которые закрывают ключевые потребности медицинских интеграций: от онлайн-записи с различных внешних площадок до сервисов по автоматическому сбору отзывов после приема. Только, в отличие от одновременной интеграции с разными поставщиками, МедФлекс дает возможность работать с 48 интеграциями через одно безопасное подключение с понятными и прозрачными правилами для клиник. Сегодня – это защищенная платформа обмена данными, которая с одной стороны подключается к клинике, а с другой — к цифровым сервисам. По словам Андрея Погонина, именно как ответ на вызовы по информационной безопасности был сформирован продукт, названный ИКГА (идеальное кибер-гигиеническое решение), который и лег в основу платформы МедФлекс и обеспечивает безопасную интеграцию с цифровыми сервисами уже более 11 тысяч российских клиник.

За периметром безопасных интеграций со стороны агрегаторов и отдельных IT-компаний (среди поставщиков сервисов есть, конечно, и ответственные разработчики) происходит следующее.

Во-первых, поставщики сервисов очень часто заявляют, что не хранят данные у себя, а работают с данными напрямую из МИС.

Но в МедФлексе считают, что это практически невозможно сделать технически из-за разнообразия МИС (МедФлекс работает с 85 МИС), а также данный метод не соответствует требованиям сервисов по скорости обмена данными между МИС и поставщиком сервисов. Наиболее простое решение – сделать слепок на стороне поставщика сервисов и работать с ним.

Во-вторых, поставщики сервисов чаще всего фокусируются на удобстве сервиса, а не на безопасности. Это приводит к тому, что сервис получает персональные данные, без которых можно было бы обойтись, и интеграция была бы более безопасной.

В-третьих, сами клиники не всегда понимают, что такое цифровая гигиена. Их можно понять, так как не все клиники могут позволить себе отдел информационной безопасности. В этом случае они часто доверяются поставщику сервиса.

Оценка безопасного взаимодействия с поставщиком сервиса – неподъёмная задача для малого и среднего бизнеса, так как у клиник с оборотом менее 100 млн. рублей в год, в принципе, нет выбора, кроме как довериться проверенному игроку на рынке, например, МедФлекс.

Кто и за что в клинике отвечает.

Спикеры, выступавшие по теме кибербезопасности, были едины во мнении, что большое количество инцидентов является прямым следствием простой административной халатности (столбик-лидер «Комплаенс» в статистике СберЗдоровья). Спектр этой беспечности широкий: от непонимания сотрудниками клиники своих обязанностей и ограничений, до умышленного причинения ущерба сотрудниками ЛПУ с целью заработать на торговле данными. Для кратного уменьшения рисков достаточно ввести правила доступа к данным разного уровня чувствительности и проводить обучение персонала, а в идеале иметь систему мониторинга доступа сотрудников к разным сегментам базы данных.

Двигаться, конечно, нужно от простого к сложному, чтобы сначала исключить из практики случаи, похожие на тот, что рассказал на форуме руководитель практики сопровождения медицинских организаций компании Legal UP Виталий Осадчий.

К юристам за консультацией пришли представители клиники, администратор которой рассказала жителям дома о несовершеннолетней соседке, обратившейся в ЛПУ с подозрением на беременность. Виталий Осадчий обращает внимание, что персональные данные в медицинской организации тесно связаны с врачебной тайной.

Как оказалось, никакой работы внутри организации по защите персональных данных и врачебной тайны настроено не было, и администратор в процессе разбирательства не счел свои действия ни предосудительными, ни незаконными.

По мнению юриста, во многих клиниках не понимают базовых вещей и на уровне руководства. Недавно компания Legal UP проводила обучение в медицинской организации. Дошли до вопроса, касающегося персональных данных, от управляющего поступил вопрос: “Нам сказали, что быть оператором — это право медицинской организации. Хочу — буду, не хочу — не буду”. То есть для многих не очевидно, что это обязательное требование действующего законодательства: медицинская организация обязана принять на себя статус оператора персональных данных. И за это предусмотрены серьёзные штрафы.

По словам Виталия Осадчего, общие тенденции в области обработки персональных данных сегодня таковы:

  1. Повышаются размеры штрафов.
  2. Вводится уголовная ответственность за утечку персональных данных.
  3. Усиливается контроль со стороны государства за их обработкой.
  4. Пациенты все чаще предъявляют требования медицинским организациям по факту нарушения их прав в части обработки персональных данных.

В отсутствие определенным образом проведенных приказов и специально подготовленных документов об ответственности конкретных сотрудников (это обязательное требование законодательства), за любое выявленное нарушение в сфере безопасности будут отвечать генеральный директор медорганизации и главврач. А эти нарушения могут быть простыми, очевидными и заметными даже для невооруженного глаза. Один из спикеров сессии по кибербезопасности коммерческий директор компании ЕМП Здоровье (ГК «ИнфотТеКС») Андрей Трунов отметил, что ещё в марте 2023 года вступил в силу запрет на использование иностранных мессенджеров, но многие медучреждения продолжают практику. Из недавних кейсов — в одном регионе работает сервис, который замкнул на себе полное сопровождение беременных и даже встроен в ТФОМС. Путь пациента выглядит так: женщина приходит вставать на учёт в женскую консультацию, получает памятку с QR-кодом. По этому коду она попадает в Telegram, где проходит авторизацию, подгружает первую страницу паспорта и далее собирается первичная медицинская информация. “Знают ли главврачи тех ЛПУ, куда уходят данные? Знает ли местный Минздрав, что они ходят под статьёй?”, — задается вопросом Андрей Трунов.

В мировой практике уже есть кейсы, когда последствия киберинцидентов приводили к смерти человека, например, история в Германии, когда из-за блокировки системы не смогли оказать врачебную помощь вовремя и провести операцию. Проникновение в здравоохранение технологий делает и врачей, и пациентов все более зависимыми от них. Чтобы защитить бизнес, изучайте методичку по кибергигиене, многое из предложенного авторами не является дорогим или критически сложным.

Последние новости
Как подорожание электроэнергии повлияет на цены
Как подорожание электроэнергии повлияет на цены
22:02
На лицах арестованных россиян в Азербайджане обнаружили признаки насилия
22:02
Медик сообщила о рисках отказа от бюстгальтеров
21:54
Российская семья была выдворена из Турции по прибытии из-за украденных документов в самолете
21:48
Школьники из Башкортостана предотвратили пожар в деревне
21:42
Сын руководителя азербайджанской общины сообщил о задержании отца в Екатеринбурге
21:30
Боксерша Анастасия Лучкина извинилась за инцидент с орангутаном и вейпом
21:22
В более чем 500 тоннах молочной продукции и воды для школ выявили признаки подделки
20:52
В Никольске Вологодской области установили бюст Сталина у школы
20:52
Запрет на промышленный лов стерляди в Вологодском заказнике
20:33
Неожиданное открытие о жирных кислотах омега-3
20:29
С 2026 года страховые пенсии будут увеличиваться дважды в год
20:18
Реклама