Разработка продуктов для области здравоохранения – одна из самых перспективных и быстро развивающихся областей в IT. Все больше и больше создается проектов и компаний, работающих на стыке высоких технологий и медицины. Однако, если ваша работа ориентирована в первую очередь на рынок США, вы можете столкнуться с разнообразными сложностями и ограничениями. К примеру, разрабатывая продукты для этой отрасли, вы неизбежно столкнетесь с PHI – конфиденциальной медицинской информацией. PHI является особо чувствительной информацией, и потому существует немало ограниченией по ее использованию. О том, как правильно обращаться с PHI и избежать возможных проблем, расскажет Максим Филипчик, опытный бизнес-аналитик ISsoft.
Что такое PHI
В первую очередь, необходимо разъяснить, что же представляет из себя PHI. PHI (Protected Health Information) – это конфиденциальная медицинская информация, которая раскрывает идентификационные данные пациента либо же данные о его здоровье. Этот вид информации регламентируется определенными правилами. В случае их несоблюдения у бизнеса есть риск получить большие штрафы, попасть под суд и полностью потерять репутацию на рынке.
Многие считают, что PHI – это сугубо медицинская информация (результаты анализов, МРТ, рецепты и тому подобное). Однако, это лишь один вид секретной медицинской информации. А именно, любая информация, с помощью которой можно идентицифицировать человека, тоже является PHI. Сюда относятся и более легко доступные фото в анфас, имена, e-mails, телефоны, и более закрытые social security numbers, номера медицинских карточек, факса, авто и т.д.
Есть и другие нюансы. К примеру, если вы являетесь разработчиком приложений для носимых устройств, у вас тоже есть шанс столкнуться с PHI. В частности, данные о калориях, пульсе, давлении изначально не считаются конфиденциальной информацией. Однако, если все эти данные привязаны к чьему-либо имени или же e-mail, они тоже попадают в категорию PHI.
Почему PHI является особо ценной для злоумышленников, и как законы США ее защищают?
Как ни странно, на черном рынке конфиденциальная медицинская информация стоит в десятки раз дороже, чем информация о кредитных карточках. Почему так? Дело в том что с помощью PHI можно совершать самые разнообразные мошеннические операции. К примеру, получать по рецепту незаконные лекарства, открывать поддельные финансовые счета для оплаты медицинских услуг и даже шантажировать людей, чья информация была украдена. Вдобавок ко всему, пропажу медицинской информации далеко не сразу заметят, а когда заметят – не так быстро смогут ее поменять. Все эти факторы делают PHI особенно ценной для преступников.
Для того чтобы предотвратить подобные ситуации, в 1996 году в США был создан законодательный акт HIPAA. Этот акт регламентирует основные критерии, как необходимо защищать и распространять секретную медицинскую информацию.
Изначально HIPAA относился только к медицинским учреждениям, однако в 2012 году была внесена существенная поправка – правило Omnibus. Эта поправка сделала ответственными еще и Business Associates (подрячики и субподрядчики). В частности, это компании, которые напрямую работают с медицинскими учреждениями.
Каким образом все это относится к тем, кто работает в Беларуси? Дело в том что после внесения поправки Omnibus, под ответственность HIPAA стали также попадать и разработчики медицинских приложений, и аутсорсинговые компании с американскими партнерами. Все они теперь тоже обязаны отвечать за сохранность PHI. Более того, при поиске аутсорсинговых компаний американские организации теперь больше учитывают, насколько хорошо у потенциальных партнеров организована политика безопасности. Также, они требуют заключения Business Associate Agreements (BAA) – стандартного HIPAA договора по защите PHI.
Тем не менее, юридической международной власти HIPAA не имеет. Поэтому, в случае каких-либо происшествий, у белорусской компании будет просто повреждена репутация на рынке — что, несомненно, тоже немаловажно.
Виды кражи информации, и как с ними бороться
Какие же самые популярные виды кражи и утечки информации, и как с ними бороться? Кражи делятся на четыре большие группы: неавторизированный доступ (раскрытие информации), кража, хакерские атаки и потеря персональных устройств с конфиденциальной информацией. Что приводит к подобным происшествиям?
Неправильное распространение информации
Одна из основных причин — это неправильное распространение информации. Требования по надлежащему использованию и хранению информации обязательно должны быть согласованы и четко прописаны в BAA договорах. Также, очень важно проводить регулярные тренинги по обучению персонала политике безопасности, на которых сотрудники смогут узнать все тонкости и нюансы обращения с PHI. Кто имеет право доступа к информации, для каких целей она может быть использована, каким образом должно происходить уведомление в случае утечки данных – эти и многие другие вопросы должны освещаться на тренингах. Более того, на тренинги должны приглашаться не только новые сотрудники, но и давние – чтобы напоминать им о правилах и рассказывать об обновлениях.
Неавторизированный доступ
- Идентификация пользователей и сотрудников должным образом
Во-первых, в компании обязательно должны быть четко соблюдены процессы идентификации сотрудников: как на электронном (доступ к файлам), так и на физическом уровне (доступ в помещение). Это могут быть и бейджи, и пропуски, и пароли, и непосредственно вы сами (некоторые компании используют для авторизации биометрические данные человека).
Также, важно проводить проверку биографических данных сотрудников, а именно требовать справки об отсутствии судимости, лечения в наркодиспансере и т.д. Вдобавок, пользователи, у которых уже есть доступ, должны и в дальнейшем проверяться уполномоченными лицами.
И, наконец, важно предусмотреть, как будут уничтожаться возможности доступа сотрудника, который уже окончил работу на проекте.
Основная цель подобных процедур – это возможность проследить манипуляции с медицинской информацией (что с ней происходило, кто ее удалил, кто добавил и т.д.) через лог. Это позволяет всегда найти ответственного за утечку информации человека.
- Защита информации
Еще один очень важный момент – это правильная защита PHI. В компании должны регламентироваться правила пользования рабочим местом, через которое можно получить медицинскую информацию. Сюда относятся такие меры предосторожности, как автоматическое блокирование компьютеров, установление уникальных идентификационных данных для каждого пользователя, регламентация сервисов обмена информацией, и, самое главное, шифрование. Также, немаловажно запрещать хранение конфиденциальной информации на столе. К примеру, такое правило практикуется в ISsoft на медицинском проекте WEX Health [Evolution1].
Хакерские атаки
Казалось бы, в наше время, когда целые организации занимаются хакерскими атаками, эта проблема не должна представлять из себя угрозу. Тем не менее, некомпетентность пользователя, либо же очень старое ПО, неспособное отбить хакерские атаки, все еще могут привести к подобным случаям.
Самая лучшая защита от хакерских атак – это надежные пароли. В организации обязательно должен быть предоставлен шаблон, по которому пользователи могут построить свой пароль. Также, пароли должны меняться с определенной периодичностью.
Неправильное уничтожение информации
Если информация хранится на бумажном носителе, то она должна уничтожаться через шредер. Если же на жестком носителе, то можно использовать специальные инструменты для его размагничивания и/или просверливания.
Кража/пропажа персональных устройств
По количеству утерянной информации, данная причина находится на первом месте. К основным процедурам предотвращения подобных инцидентов относятся: блокировка экрана; пароли; ПО, позволяющее удаленно уничтожать информацию, и, в особенности, шифрование. Особо важный аспект шифрования заключается в том, что, даже при пропаже устройства, санкции HIPAA применены не будут.
Недооценивать важность политики безопасности чревато очень серьезным проблемам. Более 136 миллионов медицинских записей были украдены с 2005 года, а это значит, что пострадало порядка 143, 4 миллионов людей. К сожалению, большинство подобных случаев можно было бы избежать, если бы соблюдались лишь некоторые из вышеизложенных рекоммендаций.
Максим Филипчик, бизнес-аналитик ISsoft.
*Доклад был представлен на встречах сообщества Healthcare разработчиков H-Files. Полную версию доклада вы можете посмотреть по следующим ссылкам:
Конфиденциальная медицинская информация. Часть 1.
Конфиденциальная медицинская информация. Часть 2.