Евгений Попов, Yandex Cloud: Нужно соблюдать баланс между защитой данных и стремлением развивать новые технологии в индустрии

Евгений Попов, Руководитель направления «Здравоохранение» Yandex Cloud рассказал порталу Cyber Media о роли информационной безопасности в современной медицине, уровне кибербезопасности в медицинских организациях.

Cyber Media: Насколько сегодня высока роль информационной безопасности в сфере здравоохранения и почему?

Евгений Попов: Роль информационной безопасности в сфере здравоохранения сегодня крайне высока. Есть такое понятие «триада информационной безопасности» - конфиденциальность, целостность и доступность.

1. Конфиденциальность медицинской информации. В медицине накапливаются огромные объемы чувствительной информации, и нарушение конфиденциальности может привести к серьезным последствиям.
2. Целостность данных. В медицине важно, чтобы информация оставалась точной и неизменной, ложная или искаженная информация может привести к ошибкам в диагностике и лечении пациентов, что может сказаться непосредственно на их жизни и здоровье.
3. Доступность данных. Практически вся медицина стала цифровой, медицинские учреждения должны быть доступны 24/7/365, чтобы обеспечить непрерывность медицинского обслуживания. Нарушение доступности данных или нарушение обмена данными может привести к простоям в работе медицинских организаций.

Cyber Media: Насколько защищено медицинское оборудование, которое находится в инфраструктуре компании?

Евгений Попов: В большинстве случаев медицинское оборудование находится в изолированной сети, доступ к нему физически ограничен, обслуживанием занимаются соответствующие организации. Конечно может быть такое, что где-то в регионе может не быть физически специалиста, который обслуживает сложное вендорское оборудование, и тогда такого специалиста могут подключать удаленно, например, инженера от вендора, чтобы не допустить простоя оборудования или излишнего удорожания его обслуживания. Но и это не патовая ситуация, тут нужно искать компромисс между требованиями безопасности и требованиями бизнеса.

Cyber Media: В контексте медицины и ИБ часто говорят о защите ПДн, но есть и не менее чувствительные направления. Например, широко разошлась история с исследователем Джеком Барнаби, который смог найти уязвимости в кардиостимуляторах. Как Вы оцениваете уровень кибербезопасности медицинских loT-устройств?

Евгений Попов: Вопрос кибербезопасности медицинских устройств, включая loT-устройства, вызывает серьезную обеспокоенность не только в России, но и в мире. На ТБ Форуме 2023 АНО «Цифровая Экономика» представила замечательный доклад на эту тему. На первый взгляд кажется, что проблема решается путем государственной регистрации IoT как медицинских изделий, но при каждом изменении необходимо вносить информацию в регистрацию, и если производитель будет фиксировать каждый патч безопасности официально, то он погрязнет в бюрократии.

Ключевой приоритет в обеспечении защищенности IoT сейчас – это стандартизация. Разрабатываются и принимаются стандарты, составлен перспективный план какие стандарты должны быть разработаны до 2030 года. При разработке таких стандартов важно совместное усилие регулятора, производителей, специалистов здравоохранения, специалистов по информационной безопасности и конечно международное сотрудничество.

Cyber Media: Если говорить о чувствительных медицинских данных, почему нельзя применить к ним процедуру маскирования, чтобы злоумышленник не имел возможности сопоставить реального человека с записью в медицинской организации?

Евгений Попов: А кто сказал, что это не применяется? Медицинская организация не работает одна в вакууме. Идет обмен медицинской информацией как минимум с ЕГИСЗ, а также, например при телемедицинских консультациях или при исследовательской деятельности с другими медицинскими организациями. Разумеется, передача не всегда идет по открытым каналам связи, и не всегда информация передается в необезличенном виде и достаточно часто применяется обезличивание персональных данных. Согласно методическим рекомендациям Роскомнадзора, есть 4 метода обезличивания ПДн:

• метод введения идентификаторов;
• метод изменения состава и семантики;
• метод декомпозиции;
• метод перемешивания.

Можно и нужно применять какой-то из этих методов или совокупность нескольких.

Cyber Media: Если говорить об инструментах, которые позволяют обеспечить информационную безопасность в здравоохранении, есть ли тут своя специфика и какая?

Евгений Попов: В целом инструменты ИБ единые для любой индустрии. Специфика тут может быть в том, что сейчас в медицине как в никакой другой отрасли наблюдается развитие цифровизации, в том числе сервисов ИИ, и нужно соблюдать баланс между защитой данных и стремлением развивать новые технологии в индустрии. Я не говорю о том, что нужно перестать защищать информацию, но нужно и разработать механизмы предоставления разработчикам доступа к медицинским данным. Одним из таких способов является федеративное обучение.

Cyber Media: Существует ли на сегодняшний день компромисс между необходимостью сбора личных данных о заболеваниях, защитой этих данных и врачебной тайной?

Евгений Попов: На одной чаше весов находится потребность обеспечить эффективную и своевременную медицинскую помощь и развитие современных технологий, а на другой обеспечение конфиденциальности и комплаенс. Бывает такое, что одно мешает другому. Из моего опыта, компромисс в большинстве случаев находится. Медицинская помощь оказывается, наука не стоит на месте, цифровизация идет широкими шагами, как мы видим. Главное – это люди. Если каждый не будет тянуть одеяло на себя и пытаться решить только свои задачи (будь то специалист по ИБ, врач, разработчик или научный сотрудник), а выполнять хотя бы базовые меры безопасности и будет понимать ответственность не только свою, но и других, то компромисс всегда найдется.

Cyber Media: Как Вы оцениваете уровень защищенности данных в российских частных и государственных медицинских учреждениях? Чего им не хватает?

Евгений Попов: Насчет уровня защищенности, я не могу знать всего, что происходит в медицинских учреждениях. Точно не хватает компетентных кадров для обеспечения ИБ. Относительно недавно взят вектор на то, что любой назначенный руководством человек не может отвечать за ИБ в медорганизации и эту роль должен занимать человек, прошедший специальную подготовку.

Нужно какое-то время, чтобы такие компетентные кадры появились во всех медицинских организациях и выстроили свою работу. Разумеется для этого нужно понимание проблемы со стороны руководства организаций и всесторонняя поддержка.

Cyber Media: Насколько применение публичных облаков приемлемо для хранения и обработки медицинских данных?

Евгений Попов: В целом в мире применение облачных технологий практически тождественно понятию безопасности, но в индустрии здравоохранения в России пока менталитет немного другой и бытует мнение, что если сервер разместить где-то у себя, то это безопаснее.

На самом деле, если грамотно выстроить процессы, начиная от безопасной разработки, заканчивая обеспечением работы решения в продуктовом контуре, то применение облачных технологий может существенно повысить безопасность продукта. Особенно это касается обеспечения доступности, ведь это неотъемлемая часть информационной безопасности. Также при применении облаков можно снять с себя часть забот по обеспечению безопасности, так как их полностью берет на себя облачный провайдер.