Алексей Сабанов, "Аладдин Р.Д.": "Всё, что в России происходит с хранением данных в медицине, можно назвать коллективной безответственностью"
Интервью с Алексеем Сабановым, заместителем генерального директора "Аладдин Р.Д."
В относительно близком будущем медицинские учреждения в России и странах СНГ начнут переходить на облачные технологии в документообороте и электронные рецепты. Однако, эксперты считают, что при текущем положении дел с защитой данных в медицинской отрасли, новые технологии хранения данных могут стать для медиков едва ли не смертельными. Среди опасностей, которые наверняка поджидают Минздрав – разгул киберпреступности, подделка цифровых рецептов и кража личных карт пациентов больниц. О тонкостях профилактики виртуальных "заболеваний" медицины в России и СНГ Digital.Report рассказал кандидат технических наук, заместитель генерального директора компании "Аладдин Р.Д." Алексей Сабанов.
Как вы считаете, насколько вопросы защищённости личных данных сегодня волнуют пациентов клиник в СНГ? Я говорю о вопросах анонимности, доступности информации об анализах и лечении?
Все ниже перечисленные вопросы волнуют бОльшую часть пациентов современных ЛПУ. Оставшуюся часть пациентов можно условно разделить на три категории. Первая – пациенты, находящиеся в таком состоянии, что им ни до чего дела нет, вторая – пациенты, которые обращаются за помощью условно раз в 10 лет, а третья – так называемые безразличные пациенты. В любом случае если ваши данные обнародуются где-то, то это, как минимум, неприятно. Сами по себе медицинские данные неспроста называются персональными, а эти вопросы становятся все более актуальными в силу информатизации.
Будет ли пользоваться большим спросом клиника, которая будет гарантировать конфиденциальность услуг, нежели та, которая не делает на этом акцента?
Спросом пользоваться будет, однако мы все так часто слышим "обещания", что становятся актуальными два вопроса – как и чем ЛПУ будут это гарантировать. Если сервисы будут простыми и понятными, а также можно будет ответить на два вышеперечисленных вопроса, то спросом пользоваться будет. Информатизация ещё не вышла на тот уровень, чтобы всему доверять, а на все это нужно вкладывать деньги и немалые.
Известно, что за рубежом вопрос защиты личной медицинской информации стоит достаточно остро, а насколько он актуален для России и стран СНГ?
Для России, к сожалению, пока в своей массе остроты нет, эта проблема не столь актуальна как в развитых странах. У нас все очень хорошо информатизировано в части управления, отчётности, но в части непосредственно процесса лечения – далеко не в полной мере, мы пока ещё в начале пути. Кроме этого, самих медицинских данных не столь много в электронном виде, нежели на бумаге. Словом, мы ещё не набрали критическую массу.
Есть ли необходимость акцентировать внимание пациентов на защищённости клиник? Или проблем у отечественной медицины и без того хватает?
Проблем у отечественной медицины, безусловно, хватает. Однако необходимость акцентировать внимание пациентов на защищённости клиник есть уже сейчас, хотя клиник таких очень мало. Можно с уверенностью сказать, что за таким подходом будущее.
Могут ли в России случиться громкие скандалы, связанные с хищением медицинских данных? Если да, то какие данные могут спровоцировать общественный резонанс?
Вопрос достаточно непростой. Интернет полон жареными фактами о различных заболеваниях звёзд, о методах лечения. Единичные случаи кражи медицинских данных волнуют мало кого, потому что таких случаев слишком много. Если бы произошла массовая кража, причём достоверных данных высокопоставленных персон, то непременно произошёл бы скандал, но данных о таких случаях в СМИ нет.
Насколько возможны в России судебные прецеденты связанные с выплатой компенсаций за ненадлежащее хранение личных данных пациентов? Уже неоднократно становились достоянием общественности сведения о здоровье публичных персон, однако никаких последствий этих утечек не было.
Вопрос также весьма интересный. А кто будет выплачивать компенсации? Все, что у нас происходит, можно назвать коллективной безответственностью. Ответственность за хранение данных нести некому, как все это доказать? К тому же, что означает "надлежащее хранение"? Что является "ненадлежащим"? Надо отметить, что в большинстве ЛПУ по всей стране до сих пор карточки пациентов бумажные. Карточка пропала, концов не найти.
Должны ли пациенты обращать внимание на защищённость их личных данных? Или мы все привыкли со времён СССР, что личную карточку пациента может прочитать кто угодно, главное, чтобы понял почерк врача?
Должны, особенно те неравнодушные, о которых шла речь в первом вопросе. Конечно же, мы привыкли, в теории карточку может прочитать кто угодно, но только из допущенных лиц. Карточки обычно не валяются без присмотра, всегда была, есть и будет врачебная тайна.
Переход на электронные рецепты может вызвать всплеск активности хакеров, которые попробуют взламывать личные данные пациентов в погоне, например, за наркотическими препаратами? Почему процесс разработки электронных рецептов идёт отдельно от разработки системы защиты данных пациентов? Или это не так?
Совершенно корректный и актуальный вопрос, но достаточно непростой, потому что нужно понимать всю цепочку. Врач выписывает наркотические средства исходя из анализов, показаний, диагноза. Подделать сам документ и сразу две электронных подписи сегодня сможет не каждый. По большому счету, дело не в электронных рецептах, а электронной медицинской карте, к которой "привязывается" рецепт, и которую особенно нужно защищать. Вопросам защиты информации уделяется мало внимания, а эти вопросы очень важны. Безусловно, не только электронные рецепты, но и сам процесс продажи при создании регламентов должен проходить через сито экспертов.
Какие шаги по защите данных медучреждениям нужно предпринять до внедрения глобальных программ по электронному документообороту? Как должна, на ваш взгляд, выглядеть цифровая защита медучреждений?
Концепция развития АИС состоит в том, что в облаках будет все (справочники, методики и пр.). При доступе к облачным сервисам необходимо использовать строгую аутентификацию и защиту канала. 100% медучреждений оснащены программными продуктами отчётности, самыми разнообразными. Трудность информатизации и защиты информации заключается собственно в самом лечебном процессе, данных лабораторных исследований, диагностике. Для защиты документа, как и всякой конфиденциальной информации, кроме организационных мер, есть только одно средство – шифрование. Других средств не придумано. Типовая минимальная защита состоит в разделении и защите доступа, защите компьютера от НСД и шифрования.
О компании
Компания "Аладдин Р.Д." – ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений для обеспечения информационной безопасности и защиты конфиденциальных данных. Российская компания "Аладдин Р.Д.", основанная в 1995 году, является признанным экспертом и лидером по средствам надёжной двухфакторной аутентификации пользователей в корпоративных ресурсах, на web-порталах и в облачных сервисах.