Предлагаем вашему вниманию цикл материалов, в которых проанализирована актуальная судебная практика в сфере ИБ по различным отраслям: связь, промышленность, здравоохранение, финансы и госсектор. В статьях рассматривается отраслевая ИБ-специфика, выделяются типовые правонарушения и даются практические советы по минимизации рисков. Первый материал посвящен сфере здравоохранения.

Специфика ИБ в отрасли здравоохранения

Специфика отрасли здравоохранения — работа с большим количеством персональных данных сотрудников и пациентов. Причем многие из этих данных попадают в категорию врачебной тайны и должны храниться, обрабатываться, передаваться и уничтожаться согласно предписанным законодательством нормам.

Нарушения в этой отрасли часто квалифицируются либо как «разглашение информации с ограниченным доступом», либо как «неправомерное воздействие на критическую информационную инфраструктуру», так как медорганизации являются субъектами КИИ. Из других особенностей отрасли:

  • Наличие четких требований к информационной безопасности. Медицинские данные — одна из самых чувствительных категорий информации, принадлежащих к специальной категории ПДн и врачебной тайне.
  • Низкий уровень автоматизации информационного обеспечения государственных медучреждений. В большинстве случаев оборудование, которым они располагают, несовременное и разнородное.
  • Уникальные для отрасли устройства, ПО, протоколы и стандарты связи. Их также требуется защищать, так как они могут хранить и обмениваться друг с другом и локальной вычислительной сетью конфиденциальными данными.
  • Информационной безопасности в медицине внимание уделяется зачастую по остаточному принципу. Например, незащищенный информационный обмен между лабораторией и лечащими врачами является нормой. В других отраслях подобное было бы недопустимо. Здесь же скорость получения медицинской информации критичнее конфиденциальности.

Типовые правонарушения ИБ в отрасли здравоохранения

Самая частая схема нарушений в здравоохранении — сговор с ритуальными организациями для продажи им данных умерших пациентов. Реже встречается халатное обращение с врачебной тайной (передача неуполномоченным лицам, нарушение при утилизации документов) и внесение ложных записей в медицинские информационные системы (МИС). Самые частые нарушители — младший медицинский персонал, сотрудники диспетчерских служб и патологоанатомических отделений. Рассмотрим кейсы и составы преступлений.

Продажа медицинских данных

Продажа медицинских данных — передача крайне чувствительной информации о состоянии здоровья третьим лицам за вознаграждение. Ответственность зависит от квалифицированной статьи:

  • Неправомерное воздействие на КИИ. Штраф до 1 млн. руб. либо ограничение свободы на срок до 2 лет или лишение свободы на срок до 10 лет.
  • Неправомерный доступ к компьютерной информации. Штраф до 500 тыс. руб. либо ограничение свободы на срок до 4 лет или лишение свободы на срок до 7 лет.
  • Нарушение неприкосновенности частной жизни. Штраф до 350 тыс. руб. либо арест на срок до 6 месяцев, либо лишение свободы на срок до 5 лет.
  • Получение взятки. Лишение свободы на срок до 15 лет в зависимости от размера взятки.

Вот несколько кейсов по этим нарушениям.

Неправомерное воздействие на КИИ: ИТ-специалисты службы скорой продавали данные владельцу ритуального бюро. Для этого они установили шпионское ПО, выгружающее данные пациентов и маршруты скорой помощи. Нарушители были приговорены к штрафу в размере 350 000 руб, согласно апелляционному определению Оренбургского областного суда по делу № 22-459/2023.

Получение взятки: врач-патологоанатом продал за крупную сумму данные умерших пациентов владельцу ритуального бюро. Виновному назначен штраф 7 млн. руб. и длительный срок заключения.

Нарушение неприкосновенности частной жизни, получение взятки и служебный подлог: фельдшер за небольшие суммы передавал ритуальным агентам данные об умерших пациентах и их семьях. Также он «подрабатывал» выдачей больничных с недостоверными сведениями. Виновный был приговорен к штрафу в 200 000 руб, согласно апелляционному постановлению Омского областного суда по делу № 22-1780/2023.

Чтобы ограничить возможные действия инсайдеров и минимизировать риск продажи медицинской информации, организациям следует:

  • Использовать специализированные средства защиты информации, которые позволят контролировать действия пользователя и пресекать неправомерные попытки сбора, изменения или передачи информации. Особенное внимание стоит уделить контролю веб-версий мессенджеров.
  • Выделить группу риска — сотрудников, имеющих психологические и личностные мотивы для инсайдерства, продажи данных.
  • Провести обучение сотрудников по вопросам ИБ и личной ответственности за нарушения.

Халатное обращение с врачебной тайной

Халатное обращение с врачебной тайной — это несоблюдение правил хранения, обработки, передачи и уничтожения медицинской информации, прописанных в нормативно-правовых актах. Ответственность за халатное обращение с врачебной тайной зависит от квалифицированной статьи:

  • Нарушение неприкосновенности частной жизни. Штраф до 350 тыс. руб. либо арест на срок до 6 месяцев, либо лишение свободы на срок до 5 лет;
  • Нарушение законодательства в области персданных. Различные административные штрафы для граждан, должностных и юрлиц от 2 до 800 тыс. руб. В ближайшей перспективе ожидается введение оборотных штрафов за утечки ПДн. Точная сумма пока неизвестна, но она может достигать 3% от оборота компании.
  • Разглашение информации с ограниченным доступом. Административный штраф для граждан — до 10 тыс. руб., должностных лиц — до 50 тыс. руб., на юридических лиц — до 200 тыс. руб.

Рассмотрим примеры халатного обращения с врачебной тайной на нескольких кейсах. Нарушение неприкосновенности частной жизни: медсестра по просьбе подруги сфотографировала диагноз одного из пациентов и отправила фото в мессенджере. Медсестре был назначен штраф 15 000 руб.

Нарушение законодательства в области персданных: главврач больницы не организовал должным образом уничтожение документов с данными пациентов. В результате документы были найдены прохожим на несанкционированной свалке. Информацию об этом прохожий выложил в Интернет. Главврач был оштрафован на 8000 руб.

Разглашение информации с ограниченным доступом: врач разместил на своей странице в соцсети VK результаты анализов на COVID-19 с персональными данными пациентов. Медсотрудник был оштрафован на 40 000 руб. как должностное лицо, согласно постановлению по делу об административном правонарушении № 05-0307/264/2022 мирового судьи судебного участка № 264 г. Москвы.

Чтобы не допустить халатного обращения с каким-либо видом тайны, в организации нужно:

  • Провести обучение сотрудников по вопросам ИБ и персональной ответственности за нарушения закона в этой области.
  • Провести аудит всех процессов организации на предмет соответствия и соблюдения всех законов.
  • Разграничить права доступа к медицинской информации и ограничить возможности для её передачи за пределы медицинской информационной системы.

Подделка документов или внесение ложных данных в МИС

Подделка медицинских документов и внесение ложных сведений в медицинские информационные системы встречаются реже всего. Как правило, такие нарушения квалифицируются либо как служебный подлог, либо как подделка государственных документов и бланков. Ответственность зависит от квалифицированной статьи:

  • Неправомерное воздействие на КИИ. Штраф до 1 млн. руб. либо ограничение свободы на срок до 2 лет или лишение свободы на срок до 10 лет.
  • Неправомерный доступ к компьютерной информации. Штраф до 500 тыс. руб. либо ограничение свободы на срок до 4 лет или лишение свободы на срок до 7 лет.
  • Подделка, изготовление или оборот поддельных документов, государственных наград, штампов, печатей или бланков. В зависимости от подделанного документа наказывается либо штрафом, либо ограничением или лишением свободы на срок до 2 лет.

Рассмотрим кейсы из судебной практики. Неправомерное воздействие на КИИ и подделка медицинских документов: врач и три медсестры организовали выдачу поддельных сертификатов о вакцинации COVID-19. Виновные были приговорены от 2 до 4 лет условно.

Неправомерное воздействие на КИИ и неправомерный доступ к компьютерной информации: врач-терапевт формировала сертификаты о вакцинации со своего личного ноутбука, так как сохранила логины и пароли к регистру вакцинированных от COVID-19 в ЕГИСЗ. Врачу был назначен штраф 300 000 руб.

Чтобы не допустить подобных нарушений, нужно:

  • Контролировать действия сотрудников на рабочем месте, используя специализированные средства защиты информации.
  • Ограничить доступ к рабочим информационным системам через личные устройства.
  • Выделить группы риска среди сотрудников.

Заключение

Анализ судебной практики в отрасли здравоохранения показывает устойчивый тренд на правонарушения с использованием служебного положения: продажа закрытых сведений, подделка документов или внесение ложных сведений в медицинские информационные системы. Эти нарушения происходят из-за отсутствия контроля действий сотрудников, которые собирают и передают закрытую информацию третьим лицам. Иные же нарушения происходят из-за незнания правил информационной безопасности или по халатности, например, передача фотографий из медицинских информационных систем друзьям в мессенджерах.

Подводя итог, наиболее частые правонарушения в отрасли здравоохранения уже давно известны, но полностью побороть их крайне сложно — инсайдеры всегда будут присутствовать в медицинских организациях. Поэтому разумно будет использовать специализированные средства защиты информации, такие как DLP- и DCAP-системы. Они позволят предотвращать утечки информации, мониторить действия сотрудников, контролировать группы риска и снижать вероятность различных нарушений.

Продолжение следует.

Алексей Парфентьев, заместитель генерального директора по инновационной деятельности “СёрчИнформ”