Кибербезопасность в медицине: человек

Согласно новому исследованию Университета Ваасы, Финляндия, безопасность медицинских данных остается под угрозой из-за человеческого фактора, а не только из-за технологических уязвимостей. Докторант Пиус Эвох утверждает, что для защиты конфиденциальной информации пациентов и поддержания доверия в сфере здравоохранения необходимы не только технические решения, но и комплексный подход, учитывающий взаимодействие технологий, людей и организационных процессов.

Стремительная цифровизация здравоохранения, охватывающая все: от электронных медицинских карт до медицинских устройств, значительно повысила эффективность и доступность медицинской помощи. Однако вместе с этим увеличилось и количество потенциальных векторов атак для злоумышленников. Эвох в своем исследовании в области информационных систем подчеркивает, что защита данных требует большего, чем просто технические меры.

«Чаще всего именно люди становятся самым слабым звеном в цепи кибербезопасности. Сотрудники могут не обладать достаточной подготовкой или осведомленностью, становиться жертвами фишинговых атак или использовать нестандартизированные приложения. Когда эти повседневные действия сталкиваются с устаревшими системами или нечеткими процедурами, риски возрастают в разы», — отмечает Эвох.

Несмотря на относительно высокий уровень кибербезопасности в системе здравоохранения Финляндии, уязвимости сохраняются, особенно в отношении устаревших систем и сторонних приложений. Старые системы часто подвержены взломам, так как больше не получают необходимых обновлений. Кроме того, многие сторонние приложения не соответствуют требованиям таких регламентов, как GDPR (Общий регламент по защите данных) и HIPAA (Закон о переносимости и подотчетности медицинского страхования), а также другим стандартам безопасности приложений.

«Анализ ответов финских специалистов в области здравоохранения и ИТ показывает, что даже высокоразвитая система нуждается в трех ключевых компонентах для обеспечения устойчивости: регулярных аудитах и оценках, более четких политиках и улучшенной коммуникации на всех уровнях системы», — добавляет Эвох.

Новая структура для повышения устойчивости здравоохранения

Для решения этих проблем Эвох разработал социотехническую структуру кибербезопасности, специально адаптированную для медицинских учреждений. Эта структура объединяет мониторинг поведения персонала, организационное обучение и интеллектуальные возможности реагирования на инциденты для выявления и предотвращения уязвимостей, а также для реагирования на кибератаки в системах здравоохранения.

В дополнение к этой структуре, диссертация предлагает практические стандарты соответствия и контрольные списки, которые помогают организациям оценивать свои политики, процедуры и технические системы. Эти списки направляют больницы в таких областях, как безопасность при проектировании медицинских устройств, безопасный обмен данными, анонимизация, многофакторная аутентификация и управление сторонними приложениями.

«Четкие указания и структурированный подход к проверке своей деятельности позволяют медицинским организациям укрепить свои системы, избегая утечек данных, которые могут привести к сбоям в оказании медицинской помощи или компрометации конфиденциальной медицинской информации», — заключает Эвох.

*Признаны экстремистскими организациями и запрещены на территории РФ.