Как у нас защищают личные данные пациентов с учетом информатизации медицины.
Недавно сайт российского Министерства здравоохранения подвергся самой масштабной за последние годы атаке хакеров. Была ли это специфичная проверка госпортала на прочность либо же целенаправленная вылазка за некими данными, неизвестно. Но на следующее же утро россиян поспешили заверить: персональной информации пациентов либо составляющей врачебную тайну ничего не угрожает, поскольку они находятся в защищенной локальной части сети, в принципе не связанной с интернетом. И все же веский повод задуматься о новых рисках в связи с информатизацией медицины есть. В нашей стране тоже. Ведь Всемирный банк представляет Беларуси заем в 65 млн долларов на создание национальной системы электронного здравоохранения. Многие его сервисы, скажем, цифровой рецепт — уже не новинки. И чем дальше мы идем по этому пути, тем чаще возникает вопрос: а надежно ли защищена от чужих глаз глубоко личная, деликатная информация?
Cамое безобидное последствие утечки медицинских данных — пациенты с хроническими заболеваниями просто пополнят списки для обзвонов и обходов распространителей всевозможных БАДов. Но дело может дойти и до банального шантажа — все–таки некоторые болезни до сих пор вызывают неоднозначную реакцию окружающих. Так как же хранят врачебную тайну в цифре? За ответом корреспонденты «СБ» отправились в минскую клиническую поликлинику № 39, которая традиционно одной из первых обкатывает наработки в области информатизации. Начнем с того, что здесь не связанные напрямую с лечением специалисты могут получить доступ к цифровым данным только с разрешения самих пациентов. Ярким примером служит выдача специальных пластиковых карт медобслуживания, через которые и работает система электронного рецепта, рассказывает подробности главный врач поликлиники Ольга Есманчик:
— В информированном согласии, документе, который подписывает пациент при получении пластиковой карточки, есть строка «не возражаю против передачи моей ограниченной персональной информации» — и нас сразу же спрашивали, что это за данные такие. Приходилось каждому объяснять, что речь о том, чтобы в аптеке провизор увидел список выписанных лекарств и их дозировку за последние три месяца. Никакая личная информация не разглашается — ни история болезни, ни посещения врача, ни диагнозы. Чтобы у людей было больше стимулов пользоваться карточкой, к ней привязаны и другие услуги, например, возможность заказать через интернет талон к специалисту. Однако и в этом случае о пользователе указана лишь самая базовая информация о нем — никакой истории болезни здесь не видно.
Чтобы воспользоваться услугой, нужно ввести последние 5 цифр со штрихкода карточки, а также указать год своего рождения — пароль, как может показаться, не лучший, но на самой карточке нет даже номера поликлиники, указаны лишь фамилия и инициалы пациента. Даже если карточку потерять, вряд ли найдется злоумышленник, который будет пытаться действовать методом тыка или заниматься игрой в угадайку. Не поможет чужая карточка и в аптеке — без не действующей пока системы электронной цифровой подписи врача требуется бумажный вариант рецепта, так что лекарства случайному человеку не отпустят. Вообще, если карточка утеряна, то достаточно написать заявление на выдачу новой — совершенно бесплатно, кстати. А старая, как банковская, просто блокируется.
По сути, доступ к электронным амбулаторным картам или результатам исследований возможен только внутри поликлиники — это защищенная замкнутая система со своим сервером. И врачу нужно обязательно всякий раз вводить персональный пароль, причем весьма сложный — он состоит из цифр и букв разного регистра, рассказала Ольга Петровна:
— Некоторое время назад мы для надежности сменили пароли, которые могли выбрать сами врачи, на более сложные, сгенерированные уже автоматически, каждый специалист расписался за свой уникальный код доступа. Естественно, выходя из кабинета на продолжительное время, сотрудник выходит и из этой информационной системы, а затем заново набирает пароль. Причем устроена она таким образом, что для пользователя специально установлены разные уровни доступа. Скажем, у медицинского регистратора ограничен доступ к системе амбулаторной карты, он лишь видит базовую информацию о пациенте — фамилию, год рождения, адрес, куда и когда он заказал талоны. Больший доступ будет у медсестры — она увидит результаты анализов, сможет сформировать электронную заявку на анализы, выписать по назначению врача электронный рецепт. Дополнительно ко всему этому у врача добавляется возможность оформить дневник осмотра с указанием жалоб и объективного статуса пациента. У административного персонала, руководителей, главного врача будет полный доступ ко всем разделам, а также к статистическим базам данных, паспортам участков.
История запросов каждого пользователя системы — от медсестры до главврача — сохраняется: теоретически в спорной ситуации можно проследить, кто, когда и что просматривал. А вот извне получить к данным доступ невозможно — даже если врач захочет вдруг поработать с ними из дому, через незащищенное соединение. Исключение — семь планшетов, с которыми врачи–терапевты поликлиники № 39 начали приходить на домашние вызовы. Такие медбуки защищены личными паролями специалистов и связываются с сервером поликлиники по закрытым VPN–каналам с использованием шифрования — даже перехваченные данные будут представлять набор случайных символов, на расшифровку которых уйдут годы. К тому же через планшет можно получить лишь ограниченный объем информации из истории пациента, уточняет Ольга Есманчик: «Это рабочие устройства — врачи не устанавливают на них никаких приложений, не используют их в личных целях, что также важно для безопасности».
В общем, опасения подопечных медикам понятны, но ответ готов: здравоохранение и дальше будет использовать все современные технологии, однако с обязательной оглядкой на степень защиты. Чем выше она будет — тем спокойнее и доктору, и пациенту, который ему доверился.
Компетентно
Заместитель генерального директора по научной работе Объединенного института проблем информатики Национальной академии наук Владимир Лапицкий:
— Электронная медицинская карта сегодня формируется в учреждениях здравоохранения, в них созданы замкнутые информационные сети, не связанные с другими сетями, что и предусмотрено нашими требованиями. Кстати, требования в части защиты персональных данных в нашей стране достаточно жесткие и полностью соответствуют общемировому подходу. Предусмотрена не только парольная, но и антивирусная система защиты, в каждом учреждении установлены специальные межсетевые экраны, предназначенные для противодействия хакерским атакам. Такие же замкнутые корпоративные VPN–сети созданы в Минске и для обмена данными — если человек переводится из одной поликлиники в другую, поступает эпикриз из больницы, информация о вызове скорой помощи и так далее — в открытом виде ничего не передается. Займом Всемирного банка предусмотрено создание и усиление комплексной системы защиты, включая криптографическую. В будущем все данные, даже если они передаются через корпоративную сеть, будут шифроваться, и на их расшифровку уйдет немало времени. Ограниченно шифрование применяется и сегодня — если происходит передача данных через открытый канал.
Источник https://www.sb.by/