誰かがかつて「情報を所有し、世界を所有している」と言ったのは無理ではありませんでした-インターネットの出現により、情報技術とその開発により、情報は境界を失い、私たち一人一人が必要なものを簡単に見つけることができるからです。 ただし、コインの裏側は省くことができません-情報は常に個人的な利益のために使用することができ、誰かが自分に属していない情報を所有し、個人的な利益のために、または他人を脅迫したり害したりするために使用したい場合があります。
問題
医療部門の情報の急激なデジタル化により、医療サービスが改善されました。 ただし、この開発には、情報セキュリティリスクという危険な副作用があります。 2016年、医療部門の情報セキュリティ侵害は、2700万件を超える患者記録に影響を及ぼしました。 今後数年間で、盗難の数は増加するだけです。
患者データを保護するために開発された戦略は、データに対応して保護するだけでなく、サイバー犯罪者が犯す攻撃的な行動を予測して防止する必要があります。
ハッカーは常にメソッドとアプローチを「ポンピング」するのに忙しい。 さまざまな方法を使用して、システムやネットワークの最小の抜け穴も特定して使用します。
患者データは、ハッカーにとって非常に便利です。 盗まれたデータを闇市場で販売し、詐欺で使用し、外国の機関に販売し、患者の身元に関する情報を他の犯罪者に販売し、違法な金融取引でデータを使用できます。
医療データフロー図
個人情報の盗難の場合
イスラエルでは、病院や診療所から患者データが大量に盗まれています。
アルタイ準州のサイトの1つで、 患者の個人データがパブリックドメインで見つかりました:名前、登録場所、診断に関する情報。
リトアニアのインテリジェンスサービスは、整形手術のためのコンピューターハッキングクリニックを調査しています。ハッカーはデータベースから患者の写真と個人データを盗みました。
しかし、ここに質問があります:国内のハッカーは、米国のように詐欺師に興味がないのに、なぜロシアの病院システムをクラックすべきなのでしょうか? この種の情報詐欺師は電話フィッシングに使用します。 患者の平凡な脅迫(情報開示の脅威)は引き続き重要です。 組織は脅迫されることもあります(患者による漏洩企業の訴追の脅威)。 残念ながら、盗まれた銀行情報とは異なり、盗まれた医療情報には制限がありません。
これらすべてをどうするか?
もちろん、情報システムの保護を確保し、それを完全に保護する普遍的な方法やプログラムはありません。 ただし、一連の方法は、医療機関にある情報システムを保護する可能性が高くなります。
西部の同僚は、 CSO (Chief Security Officer)と略されるセキュリティ部門を率いる専門家を雇うことを申し出ています。 このような専門家は、保護システムが規制要件に準拠しているかどうかのチェックと認証を受ける必要があります。 わが国では、このような検査はFSTEC-技術および輸出管理のための連邦サービスによって実行されます。
また、さまざまな戦略を使用すると、データ侵害やデータ盗難を防ぐことができます。 情報を保護するための既存の技術の1つはVDI技術です。
このプログラムを使用すると、多くの仮想マシンが動作する1台のサーバーに基づいて、仮想ITインフラストラクチャと本格的な職場を作成できます。 VDIテクノロジーの選択に影響を与える主な利点と要因はセキュリティです。 セキュリティレベルが非常に高いため、ユーザーは患者データをUSBフラッシュドライブにコピーしてVDIの外部に転送することはできません。 医療スタッフは、コンピューターに直接ダウンロードまたは保存することなく、クラウドから患者情報にアクセスできます。
VDIテクノロジーは外国の開発ですが、数年前から医学を含むさまざまな分野でわが国でうまく使用されています。
別の保護方法はブロックチェーン技術です。
多数の患者が医療機関を訪れ、大量の書類と医療記録が同時に使用されています。 棚にほこりを集めているこのすべての情報が単一の形式で保存され、オンラインに配置されるとしたらどうでしょうか。 おそらく、これはすべてのヘルスケアにおいて大きな前進となるでしょう。
ブロックチェーン技術はこのような問題を解決し、簡単にアクセスでき安全なオンラインカタログを提供する方法です。 この技術は、使用中の匿名性を可能にします。 医療では、このテクノロジーはデータストレージに適用できます。 この分野では、個人データの機密性と、緊急時の医師によるアクセスの必要性との間に矛盾があります。 このテクノロジーは、安全なデータベース管理を提供できます。
実際には何ですか?
ロシアでは、ヘルスケア分野(EGISZ)で統一された国家情報システムを作成する試みがあります。
EHISSプロジェクトの枠組みの中で、医療機関にコンピューター、通信機器、情報セキュリティツールを装備し、地域の医療近代化プログラム、システム内の情報交換標準、医療情報システムの要件を作成し、システム全体のコンポーネントを適用した連邦データセンターを作成する作業が進行中です。
立法規制--152を基礎として
連邦法No. 152-FZ「個人データの保護について」は、医学における情報の保護を管理する文書です。 医療機関は個人データの運営者であるため、このデータのセキュリティを確保することは彼らの責任の範囲です。
また、たとえばロシアのFSBおよびFSTECによって開始された多数の規制および方法論文書があります。 それらに規定されている方法と手順に従って、医療を含む個人データのセキュリティが確保されます。
問題の財政面
海外では、情報セキュリティのコストは重要です。情報セキュリティの専門家の採用、外部および内部の脅威に対する情報保護システムのインストールとメンテナンス、およびスタッフのトレーニング。 ロシアでは、特に大きな予算は割り当てられておらず、 市立病院だけではそのような贅沢を買う余裕はありません。
まとめ
すでに述べたように、100%のデータ保護を保証する普遍的なソフトウェアや技術はありませんが、データシステムを保護せずに放置することは容認できず無謀であるということを理解することが重要です。 サイバー攻撃のリスクは、たった1つのIT部門の関心事ではなくなりました。 現在、これは医療機関の管理者が検討すべき重要な問題です。
医療サービスの範囲は、患者データの保護、およびこの特異性に関連するすべてのものをバイパスしてはなりません。 国家は、その国で医薬品の自動化を希望する場合、データ保護のための資金を割り当てようとしました。 sayingにもあるように、「あなたは乗るのが好きですか、運ぶのが好きで、そりが好きです」 悲しいかな、これなしでは仕方ありません。