Медкарта как средство атаки. Эксперты прогнозируют рост утечек диагнозов

Ирине было 35 лет, когда она узнала, что у неё гепатит С. На работе пришлось взять больничный, ведь предстояло много ходить по врачам. К тому моменту она уже около трёх лет занимала пост юриста в крупной консалтинговой компании. 

Через две недели Ирине позвонил начальник и попросил написать заявление об увольнении по собственному желанию. Оказалось, он знает о её диагнозе: просто позвонил в клинику, где Ирина лечилась, там ему всё и рассказали. 

Ирина пробовала обратиться в медучреждение с претензиями, но врачи с недоумением выслушали её и заверили, что никому не рассказывали о её диагнозе. Кто именно это сделал — врач, медсестра, санитарка или охранник, — Ирина так и не узнала. Ей предстояла борьба с болезнью, а бороться за свои права сил у неё уже не было. 

Личные данные развесили на столбах

И большинство таких утечек просто не фиксируются, отмечают в InfoWatch. Пациенты не жалуются в полицию, а сотрудники медучреждений могут не осознавать, что совершают преступление, разглашая медицинскую тайну. 

В первом полугодии 2016 года InfoWatch зафиксировала шесть утечек такого рода, в прошлом году их было 10. Как говорит ведущий эксперт по вопросам информационной безопасности компании Мария Воронова, не исключено, что цифра получилась такая небольшая из-за "низкого уровня внимания к информационной безопасности в этой сфере". То есть "утечки и инциденты уже есть, а системы фиксации таких утечек в медицинских учреждениях отсутствуют".

Мария Воронова назвала три основных сценария, по которым утечки происходят в России. 

Незаконное разглашение. Например, когда сотрудники медучреждений публикуют данные на интернет-сайте или выбрасывают карты пациентов в мусорные контейнеры. 

Так, в июне врач самарской поликлиники рассказала о диагнозе пациентки её бывшим соседям. В результате она была оштрафована на 4 тысячи рублей и получила выговор от начальства. 

В апреле в Костроме в здании бывшей поликлиники между остатками сломанной мебели нашли медицинские карты со всеми данными пациентов. Прокуратура обратила внимание на утечку после публикации в местных СМИ.

В Магнитогорске персональные данные клиентов страховой компании "Альфа-страхование" оказались развешаны на столбах. Дело в том, что сотрудники компании решили сэкономить на рекламе и расклеили по городу объявления, распечатанные на обычном офисном принтере. Причём они даже бумагу новую не стали покупать, а использовали ненужные документы. Объявления в скором времени стали отклеиваться, и весь город увидел то, что было на обратной стороне — имена, фамилии, паспортные данные пациентов. 

Передача заинтересованным лицам в корыстных целях. Например, информация о тяжелобольных пациентах нередко передаётся ритуальщикам.

Председатель регионального общественного объединения "Профсоюз работников ритуальных служб" Антон Авдеев говорит, что это давно стало нормой. 

— Это происходит сплошь и рядом, — сказал он. — Система, устоявшаяся годами. Руководители фирм, которые оказывают ритуальные услуги, налаживают контакт с больницами. Те в свою очередь передают им информацию о состоянии пациентов. Это бизнес.  

Фото, которые врачи выкладывают в Интернете. Пациенты могут находиться под наркозом или в коме — их согласия никто не спрашивает. 

В марте была уволена медсестра одной из больниц в Амурской области. Она отправила фото пациента с огнестрельным ранением своему знакомому через мессенджер WhatsApp, а тот выложил фото в открытый доступ в соцсетях. 

В марте, как сообщал Лайф, медсестра, фельдшер из Кирова выкладывала в соцсети селфи фото на фоне пациентов, которые находились без сознания. При этом девушка показывала на фото неприличные жесты, а в подписях к снимкам не стеснялась в выражениях, говоря, как ей надоела её работа.

В 2014 году медсестра больницы в Нижнем Тагиле выложила в Сеть свои фотографии на фоне оперируемого пациента — они тоже были непристойными. 

Дальше — больше 

По словам Марии Вороновой, "очевидно, что число утечек и объём скомпрометированных данных в дальнейшем будут стремительно расти". 

— Следует уже на горизонте двух-пяти лет ожидать существенного увеличения интереса киберпреступников и внутренних нарушителей (сотрудников медучреждений) к персональным данным пациентов, — говорит она. 

Дело в том, что "подходы к медицинскому страхованию, использованию персональных, биометрических данных и прочей чувствительной информации в системах здравоохранения России и, например, США" схожи. И то, что есть на Западе, скоро появится у нас. 

А за рубежом ситуация выглядит так: 23% всех утечек информации — это медицинские утечки.    

Две самые крупные кражи медицинской информации в США произошли в 2015 году. В феврале были похищены данные почти 90 миллионов клиентов страховых компаний Anthem и Premera Blue Cross. В июле — данные более восьми миллионов клиентов клиники Los Angeles Health Калифорнийского университета и компании Medical Informatics Engineering.

— Десять лет назад не было никаких киберугроз для организаций здравоохранения, — говорила тогда Дениз Андерсон, президент Национального медицинского информационного и аналитического центра США. — Но теперь электронные медицинские записи, Интернет и система мобильной связи создают почву для атаки хакеров.

Медучреждения за рубежом уже учатся работать в новой реальности и защищать свои данные. Возможно, именно с этим связаны изменения в статистике — число взломов существенно не меняется, а число самих записей, которые пропадают, снижается. Если в первом полугодии 2015 года утекло 93 млн записей, то в первом полугодии 2016 года — 13 млн. 

— Возможно, медицинские учреждения начали активнее защищать свои данные и данные клиентов, потому что растут риски компрометации и последующего их использования, — говорит Мария Воронова.

По её словам, за рубежом на чёрном рынке данные из медицинской карты стоят примерно в десять раз больше, чем данные о банковской карте. Эксперт ссылается на данные Ponemon Institute (центр, которые мониторит утечки в США) — стоимость одной медицинской записи превышает $350.

Так что не исключено, что скоро вы сможете найти свой диагноз в базах, которые будут продаваться подпольно в России. 

Зачем мошенникам ваш диагноз?

Шантаж. Злоумышленник пугает больного (например, с ВИЧ или гепатитом), что расскажет окружающим о его диагнозе, и требует денег. Наиболее удачные жертвы для шантажа — конечно, обеспеченные люди. Власти США даже рассматривали версию о китайских преступниках, которые охотились за информацией о здоровье американских послов — чтобы их потом шантажировать. 

Таким же образом мошенники могут шантажировать и компании, у которых они украли данные. Ведь если об утечке станет известно — это удар по репутации. В начале 2016 года Голливудскому пресвитерианскому медицинскому центру в Калифорнии пришлось заплатить мошенникам $17 тысяч в биткоинах. Компьютерный вирус зашифровал электронные карты пациентов. После того как мошенники получили деньги, они дали руководству ключ-дешифратор. 

Фишинг. В России информация о диагнозе может использоваться для телефонного фишинга. Например, злоумышленник звонит пенсионеру, представляется врачом и убеждает его купить дорогое лекарство.

Конкурентная борьба фармкомпаний.

— Часто личные данные пациентов используют фармацевтические компании в борьбе друг с другом, — говорит председатель Совета по защите прав пациентов при Росздравнадзоре РФ Ян Власов. — Пишут письма от имени пациентов, указывая на недовольство конкурентными препаратами. Или же узнают о диагнозе пациента и навязывают ему свою продукцию для лечения. Никто не думает о защищённости данных пациентов. 

Тайну разглашать не страшно

Заслуженный юрист РФ Юрий Синельщиков говорит, что защитить свои права тем пациентам, данные которых были похищены, трудно. 

— Для того чтобы суд принял решение в пользу пациента, нужны весомые доказательства, — сказал он. — Например, копии документов, которые попали к работодателю из медучреждения. Но как узнать, кто держал в руках карту этой женщины? Разбирательство будет нелёгким.

По словам Яна Власова, история Ирины, которая потеряла работу из-за утечки, типичная. 

— Мы принимали участие в нескольких разбирательствах по похожим случаям, — рассказал он. — Заканчивалось всё обычно штрафом. То есть получается, что люди, как и ваша героиня, были уволены с работы из-за своего диагноза. А те, кто разгласил диагноз, оставались работать. 

Согласно 137-й статье Уголовного кодекса, за нарушение неприкосновенности частной жизни "с использованием своего служебного положения" положено наказание до четырёх лет лишения свободы. Но на практике медики отделываются небольшими штрафами, как уже упоминавшаяся врач из Самары.