Пирамида безопасности современной клиники: интервью с медицинским юристом
- 11 мин
- 219
Медицинские информационные системы (МИС) с 2026 года официально признаны частью критической инфраструктуры страны (КИИ). Это означает, что теперь за нарушение правил хранения и передачи информации в МИС могут оштрафовать на полмиллиона рублей, а в серьезных случаях — возбудить уголовное дело.
За уничтожение, модификацию или копирование охраняемой компьютерной информации (преступление средней тяжести) грозит лишение свободы сроком до шести лет. При этом под удар попадают и те сотрудники, кто не обеспечил должную безопасность систем.
Законодательные нововведения, по мнению медицинского адвоката Ирины Клоповой, в целом ожидаемы. Меры связаны с усилением работы с персональными данными — эта тенденция действует уже больше года. Речь идет об утечках персональных данных, в том числе сведений составляющих врачебную тайну в сеть.
«Клиники редко подходят к этому вопросу [безопасности], они занимаются медицинской частью и упускают это из вида в 80% случаев, по моим наблюдениям. Редко какая клиника готова к четкой, правильной, выверенной работе по персональным данным. И на самом деле вопрос защиты данных находится зачастую в зоне небольших решений, и не всегда требует больших денежных затрат»
Ирина Клопова
медицинский адвокат, президент Ассоциации юристов медицинских клиник
Возможные факторы риска:
Эксперт напомнила о том, что клиникам необходимо проводить инструктаж с персоналом, назначить ответственных за «цифровую гигиену», регулярно проверять настройки безопасности корпоративных приложений и сервисов, а также передавать данные пациентов только через сертифицированные платформы.
«Историю с паролями чаще всего используют сами сотрудники, то есть речь идет не только о выходе информации за пределы медицинской организации, но и возможности просмотра этой информации в своих частных целях. Здесь вопрос сохранения врачебной тайны стоит не менее остро, потому что в итоге это все может выйти в статью 137 уголовного кодекса РФ».
Информационная безопасность — это программное обеспечение, это антивирусная защита, это регулярное обновление, это тренировки по ситуациям, которые потенциально могут быть. В том числе, тренировки работников, отмечает Клопова.
«Чтобы не допустить утечек данных, с данными нужно работать. Все начинается с безопасности и хранения данных внутри медицинской организации. Соответственно, для себя на первичном этапе надо определиться: мы готовим отдельный сервер, либо мы идем в облачное хранилище, защищенное, находящееся на территории РФ, соответствующее, аккредитованное ФСТЭК.
Второе — будет ли у нас специалист по информационной безопасности, технический специалист. Не просто администратор сайта, приходящий раз в месяц, может быть раз в три месяца, для того, чтобы сменить актуальный прайс, но человек, который будет системно этим заниматься.
Третья наша задача — сделать документальную обвязку по информационной безопасности. Сюда относятся все положения, все правила, аудиозапись, видеозапись, места хранения, места доступа, лица ответственные к данной информации, опять таки места, где хранятся серверы, пароли, ключи, коды, регулярное их обновление, в том числе их внутреннее содержание, невозможность их вскрыть, в связи с объемом цифр и данных, то есть сложность самого пароля. Работа с медицинской информационной системой, оператором передач персональных данных, облачным хранилищем, CRM-системой строго в распределительных зонах ответственности».
«На сегодняшний момент культуры работы с персональными данными нет. И, если честно, все сторонние организации-подрядчики, которые так и иначе касаются данных пациентов, к сожалению, зону ответственности перекладывают на саму клинику, а сама клиника для этого ничего не делает».
Ирина Клопова
медицинский адвокат, президент Ассоциации юристов медицинских клиник
Основные неблагоприятные последствия для клиники, это в первую очередь штрафы от Роскомнадзора, они самые чувствительные самые актуальные, они выше чем даже за нарушения лицензионных требований, ну и оборотные штрафы в том числе.
«Если коротко по моему опыту, то, естественно я не могу разглашать клиники, в которых это произошло. Одна клиника закрылась, потому что получила очень большой репутационный ущерб - данными воспользовались мошенники. Другие клиники восстанавливали базы данных и просто платили оборотные штрафы, выстраивали заново всю структуру в клинике».
Также врачей предупреждают: нельзя передавать данные пациентов через WhatsApp* или обычную почту, а тем более использовать непроверенные ИИ-сервисы. Бумажные истории болезни тоже нужно утилизировать правильно, чтобы случайно не выбросить их в общую корзину.
«Мне известны пути стандартного вскрытия баз данных по кейсам, которые приходили ко мне. Речь идет о переписке с пациентом в мессенджере, наличие подменного мессенджера, вдруг каким-то образом появившегося на рабочем столе администратора, из которого вытекает вся информация о номерах телефонов, данных пациентов, информация об их переписке. Также открываются какие-то непонятные ссылки, пришедшие на электронную почту — нет элементарного антивируса, нет элементарной культуры работы с переходом по разного рода ссылкам в разных мессенджерах. Это не только мессенджеры иностранных компаний, но и российских в том числе. Плюс электронная почта тоже является такой чувствительной зоной».
Если утечка произошла, естественно, любая медицинская организация старается этот инцидент замять и не сделать ее достоянием общественности, и это, по опыту адвоката, большая ошибка руководителей.
«Если инцидент все-таки произошел, первая самая главная ошибка, которую допускаю клиники — они пытаются замять эту историю. Я понимаю, что это страшно, что это большие штрафы, но на самом деле в течение суток вы должны известить Роскомнадзор о такой утечке и они вам действительно помогут. Отрубить все от сети, по возможности выключить все программы, выходы в онлайн, потому что есть необходимость четко выверенной стратегии по этим инцидентам. У вас должно быть положение на такой случай и натренированные сотрудники».
Ирина Клопова
медицинский адвокат, президент Ассоциации юристов медицинских клиник
О том как проводить инструктаж персонала «ДМЦ» писал здесь.
«Еще отмечу такую массовую проблему, если частные клиники хотя бы как-то пытаются это сделать, то государственные учреждения здравоохранения вообще по этому поводу не заморачиваются. Справедливости ради скажу, что их тоже не особо-то проверяют, но ситуация с персональными данными в государственной медицине еще гораздо хуже. Просто ситуаций утечек, мы с вами пока на данный период времени таких громких не знаем. Гораздо интереснее выцыганить базу конкретной клиники и потом ее перепродавать им же за деньги в даркнете, чем работать с госами. Но теоретически ситуация с госами будет еще более страшной и чувствительной».
«По сути это отголоски вскрытий Яндекса, отголоски вскрытий Аэрофлота — резюмирует Ирина Клопова — поэтому мы, к сожалению, приходим к тому, что медицина в работе медицинской организации становится далеко не самой важной, чувствительной и штрафной зоной с правовой точки зрения. И поэтому руководителям нужно быть более внимательными с этим».
* WhatsApp принадлежит Meta, запрещена в РФ.
Подписывайтесь на наши каналы:
Телеграм-канал — https://t.me/med_center
ВКонтакте — https://vk.com/dirmedcenter