Медицинская тайна под угрозой. Что может навредить украинским пациентам?

24 февраля 2020, 14:20

Проблема, которая проявила себя ещё в 2014 году, никуда не делась и грозит обернуться очередным скандалом.

Заявление главы Минцифры о том, что данные пациентов в «платформе электронного здоровья» надёжно защищены, вызывает изумление, если не оторопь. Проблема, которая проявила себя ещё в 2014 году, никуда не делась и грозит обернуться очередным скандалом.

Видео дня

18 января на своей странице в Facebook Михаил Фёдоров сообщил, что «система eHealth отвечает стандартам защиты, поскольку получила аттестат соответствия комплексной системе защиты информации». «Данные пациентов надёжно защищены!», — провозгласил ответственный за цифровую трансформацию страны. Увы и ах, вредители и враги народа, окопавшиеся в Министерстве цифровой дигитализации, ввели товарища Фёдорова в заблуждение. Фактически, дела с безопасностью данных, составляющих медицинскую тайну украинских граждан, обстоят прямо противоположным образом.

Первые сигналы о неблагополучии датированы 2017 годом, когда достоянием общественности стали приказы общественной организации «Transparency International Україна», взявшей на себя роль организатора разработки и внедрения eHealth-платформы МОЗ. Оказалось, что уже на этапе тестовой эксплуатации в систему вносятся реальные персональные данные (далее ПД) украинских граждан. При этом, вопреки требованиям законодательства за их сохранность, целостность, недоступность и так далее не отвечают ни чиновники МОЗ, ни сама общественная организация, ни сотрудники медицинских учреждений.

Мобильная связь категорически непригодна для контроля за доступом к сколь-нибудь ценной информации, в чём неоднократно на своём опыте убеждались клиенты финансовых учреждений

В мае 2018 года вдобавок к проблеме ПД автор обнаружил, что разработчики т.н. медицинских информационных систем (далее МИС) используют для аутентификации (попросту говоря — проверки полномочий) пациентов дырявые, как решето, схемы на базе номеров мобильной связи. МИС выполняют роль интерфейса к eHealth-платформе для 28 миллионов украинских граждан, подписавших декларации с врачами «первички». Мобильная связь категорически непригодна для контроля за доступом к сколь-нибудь ценной информации, в чём неоднократно на своём опыте убеждались клиенты финансовых учреждений.

В этом месте нужно, что речь идёт о действительно ценной информации. Сведения, содержащие медицинскую тайну, легко монетизируются, при этом могут стоить очень дорого, что создаёт предпосылки для целенаправленных усилий преступного мира. Не случайно закон отдельно защищает такого рода сведения, предусматривая за их разглашение ответственность вплоть до уголовной.

Кому и зачем они могут понадобиться, отчего такие строгости?

Во-первых, это та часть медицинского бизнеса, которая основывает продвижение своих услуг на агрессивных манипуляциях, попросту говоря, запугивает несчастных пациентов. Знание фактических состояния здоровья потенциальной жертвы, её анализы, диагнозы, назначения и прочая врачебная информация резко повышают их эффективность.

Во-вторых, за такого рода сведения охотно и щедро платят преступники, включая шантажистов, аферистов, всевозможных «целителей» и тому подобных мошенников. В цене информация о социально-осуждаемых (СПИД, ЗППП), тяжёлых и смертельных заболеваниях, репродуктивном здоровье и т. п.

В-третьих, нездоровый интерес к здоровью своих клиентов и сотрудников часто проявляют работодатели и страховщики. Не случайно законодательство содержит отдельную норму, которая запрещает работодателям интересоваться здоровьем сотрудников и соискателей.

Наконец, в-четвёртых, речь идёт о разного рода дураках, неадекватах и мерзавцах.

Летом 2019 года автор вместе с коллегами ещё раз изучил состояние дел с безопасностью пациентских данных. Выяснилось, что дела не только не стали лучше, но, по сути, имеет место дальнейший регресс. В частности, команда Супрун стала использовать в качестве аргумента тезис о том, что с самой eHealth-платформой всё в порядке, а проблемы с МИС — это ответственность самих разработчиков. Очевидно, что это ложь, поскольку МИС являются неотъемлемым компонентом eHealth-платформы. Государство в лице МОЗ и НСЗУ, как минимум, обязано разработать, ввести в действие и обеспечить соблюдение соответствующих регламентов. Ещё на этапе проектирования платформы разработчики МИС должны были получить официальные рекомендации относительно механизмов защиты пациентских данных — какие желательно использовать, какие использовать допустимо, а какие использовать вообще нельзя.

Автор разразился серией публикаций в соцсетях и масс-медиа, призванных «поднять волну» и привлечь внимание к проблеме. Эти усилия принесли некоторый результат. Разработчики МИС отказались от наиболее кривых схем, а международные организации, обеспечивающие своими ресурсами трансформацию системы здравоохранения, начали озвучивать беспокойство вопросами безопасности пациентских данных.

Обеспечение безопасности медицинских данных — нетривиальная задача, для решения которой нужны время, деньги и мозги. Не имея в достатке, как минимум, ни первого, ни второго, реформаторы решили попросту игнорировать и очевидные интересы украинских граждан, и требования законодательства. Теперь, увы, время ушло и простого выхода из ситуации больше нет. Бесплатные решения небезопасны, решения достаточно надёжные стоят немалых денег.

Начиная с апреля этого года в eHealth-платформе начнут накапливаться диагнозы, результаты анализов и другие сведения, составляющие медицинскую тайну. Сейчас их там просто нет, что и обусловило отсутствие скандалов с кражей или пропажей подобных сведений. На самом деле, кстати, тайной является даже информация о записи к врачу, поскольку визит к онкологу или венерологу сам по себе является красноречивым фактом. Однако для простоты картины будем считать, что это не так важно.

Как бы там ни было, до апреля НСЗУ и МОЗ должны найти способ хоть как-то усилить защиту данных, доступных посредством МИС. В идеале для этого необходимо:

Во-первых, закупить и раздать двадцати с лишним миллионам граждан то ли устройства контроля доступа, то ли ключи ЭЦП, то ли программы авторизации на базе смартфонов.

Во-вторых, необходимо научить людей пользоваться всем этим.

Наконец, в-третьих, каждому из них придётся снова прийти к своему врачу, чтобы в его присутствии активировать средство защиты. Всё это предполагает колоссальные затраты средств и времени медицинского персонала, которых, скажем прямо, нет.

Остаются разного рода компромиссные шаги и частные решения. В первую очередь речь должна идти о государственном сервисе электронной идентификации, с которым можно ознакомиться по адресу id.gov.ua Грубо говоря, это веб-страница, в которую встроены почти все используемые в Украины сервисы удалённой идентификации: традиционные ключи для ЭЦП всех видов, MobileID, BankID (только версия НБУ, Приватбанк проигнорирован). Разработчики МИС с минимальными затратами времени и сил могут подключить этот сервис как способ аутентификации тех пациентов, которые уже обзавелись чем-то из вышеперечисленного. Всё, что для этого необходимо, это воля органов власти поставить перед разработчиками такую задачу и проконтролировать её исполнение.

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X