В феврале 2009 г. президент Обама поставил свою подпись под законом о технологиях защиты медицинской информации в экономике и медицине (HITECH Act), ставшим частью общей стратегии по стимулированию экономики. Этот закон предъявляет определенные требования к организациям, работающим с персональными медицинскими данными, с целью предотвращения риска нарушений конфиденциальности. Он продолжает курс, заданный ранее законом о перемещаемости и подотчетности страхования здоровья (HIPAA) и поощряющий перевод медицинской информации в электронный формат в сочетании с ужесточением норм, регулирующих защиту данных.
Одним из важнейших положений HITECH Act является требование об уведомлении федеральных органов о случаях утечки или кражи медицинских данных, не защищенных шифрованием. Кроме того, были усилены меры наказания за нарушение конфиденциальности таких данных. До принятия закона всего в двух штатах США медицинские данные включались в перечень информации, утечка или кража которой считалась поводом для обязательного оповещения федеральных органов (всего такие перечни действовали в 48 штатах). После утверждения HITECH Act требование об оповещении распространилось на всю территорию США, и все организации, занятые в области здравоохранения, а также их партнеры должны срочно ознакомиться с новыми требованиями и принять соответствующие меры.
Однако и после принятия закона проблема остается нерешенной, а угроза утечки медицинских данных сохраняется. В большинстве медицинских учреждений информация о здоровье пациентов не шифруется. Утвержденное в 2003 г. правило, регламентирующее нормы безопасности в законе HIPAA, предписывало подведомственным организациям выборочно использовать шифрование в зависимости от важности информации и степени риска ее утечки, однако шифрование не было обязательным.
Сейчас тысячи медицинских и смежных с ними организаций пытаются не только разобраться в тонкостях новых требований, но и понять, что вообще означает понятие “шифрование данных”. Между тем помимо введения нового требования об оповещении закон HITECH Act также расширил круг субъектов, подпадающих под действие правил HIPAA. Если раньше правила касались лишь “плательщиков, поставщиков и расчетных организаций”, то теперь они распространяются и на их партнеров по бизнесу.
С учетом всех этих ужесточений организациям следует незамедлительно приступить к выработке новой стратегии в области работы с данными.
Шифрование или уничтожение
В августе 2009 г. Министерство здравоохранения и социальных услуг США (HHS) опубликовало заявление, в котором говорилось, что лишь шифрование и уничтожение данных могут считаться методами защиты, позволяющими предотвратить несанкционированное чтение и использование медицинской информации. Таким образом, для защиты данных о здоровье пациентов и предотвращения утечек можно использовать только два пути — шифрование и уничтожение данных. Однако если необходимо сохранить данные для последующего санкционированного использования, то фактически остается лишь шифрование.
Работа с инфраструктурой открытых ключей (PKI) связана со значительными трудностями, поэтому у многих за последнее десятилетие сложилось не слишком положительное отношение к шифрованию. Но как бы ни относились те или иные заинтересованные стороны к этой технологии, внедрять ее придется, а значит, организации, занимающиеся здравоохранением, должны как можно быстрее совершенствовать свои навыки и возможности в области шифрования.
С 2003 г., когда требования HIPAA были окончательно сформулированы, корпоративные системы шифрования значительно продвинулись вперед. Сегодня компании могут защищать данные шифрованием, не снижая своей производительности, не внося дополнительных изменений в используемые приложения и не идя на дополнительные управленческие расходы. Организации, подпадающие под действие требований HIPAA, должны как можно быстрее уяснить себе все плюсы и минусы различных подходов к шифрованию.
Медицинские учреждения и их партнеры должны осваивать самые современные средства шифрования, понимая при этом, чем в плане менеджмента различаются точечные (автономные) системы такого рода от решений на базе централизованного управления.
Оцените свои риски
В период с 2008 по 2009 гг. имело место несколько широкомасштабных утечек конфиденциальных данных о здоровье пациентов, и обычно утечки происходили в результате осуществляемых извне или изнутри организаций атак на базы данных и файловые серверы. Чтобы избежать подобного в дальнейшем, организациям следует выработать стратегию шифрования, которая обеспечила бы адекватную защиту данных, хранящихся в распределенных информационных средах или в ЦОДах.
До введения HITECH Act лишь в Калифорнии и Арканзасе организации были обязаны оповещать федералов об утечке медицинских данных, и ситуация в этих штатах заслуживает особого внимания. Скажем, в Калифорнии за первые пять месяцев после введения этого требования было заявлено примерно о 800 случаях утечки данных о здоровье пациентов. Мы видим, что такие данные безусловно подвержены огромному риску. Очевидно также, что организации, не использующие шифрование, с большой вероятностью станут жертвой кражи информации и будут вынуждены оповещать власти.
Между тем издержки, связанные с утечками, не ограничиваются расходами на оповещение, а включают также потерю доверия клиентов, снижение стоимости бренда, а в случае подачи группового иска — еще и судебные расходы. Это надо учитывать при планировании инвестиций в системы шифрования.
Пересмотрите свое отношение к шифрованию
В 2003 г. закон HIPAA вступил в силу после года дебатов, и тогда шифрование не было обязательным требованием. Закон позволял организациям самим определять, надо ли им защищать шифрованием те или иные данные, принимать, документировать и выполнять соответствующие решения. В то время шифрование считалось слишком сложным делом, а регуляторы не очень строго следили за его применением, так что организации, как правило, принимали решение не использовать данную технологию.
Однако сейчас ситуация изменилась, и организациям стоит срочно пересмотреть их отношение к шифрованию: риски увеличились, требования регуляторов ужесточились, а технологии защиты стали совершеннее.
Гретхен Хеллман — вице-президент подразделения систем безопасности в компании Vormetric. У нее богатый опыт сотрудничества с компаниями из разных отраслей по обеспечению информационной безопасности и соблюдения регулирующих норм.