Rambler's Top100
Статьи
28 ноября 2016

Б.Зингерман: Упоминание 152-ФЗ способно убить неокрепший проект

Практически любые применения информационных технологий сейчас упираются в проблемы информационной безопасности. Не являются исключением и технологии информатизации здравоохранения, в том числе uber-подобные сервисы.

Читайте полную версию Дискуссионного клуба «ИКС», №9-10`2016, «Прием ведет доктор: Uber? Ватсон? Айболит?». Часть V.

?ИКС: Как при использовании uber-модели медицинского обслуживания могут решаться вопросы информационной безопасности персональных медицинских данных?

Сергей РЫЛОВ

 

Сергей РЫЛОВ, начальник, ВЦ ФГБУ «Центральная клиническая больница с поликлиникой» Управления делами Президента РФ: С точки зрения защиты персональных данных необходимо выделить два сегмента – логистический – непосредственно поиск услуги, в которой могут быть использованы ФИО пациента, банковские реквизиты и тип необходимой услуги (эта информация не попадает в категорию сведений о состоянии здоровья и алгоритмы защиты таких данных реализованы не раз) и второй сегмент – непосредственно медицинская информация (правила ее обработки определены нормативными документами и существует масса примеров реализации).

Артур ДОРМИДОР

 

Артур ДОРМИДОР,  директор, Центр патологии органов кровообращения: Очевидно, что без обеспечения надежного хранения информации о пациентах не обойтись. Насколько мне известно, разработчики uber-системы предусматривают различные схемы идентификации и защиты персональных данных, но даже и это порой не спасает от утечки персональных данных. Ведь обладая информацией о социальном страховании, номере кредитной карты, имени, месте проживания и прочем, любой человек сможет обмануть систему и монетизировать имеющиеся данные. Важно этого не допустить и, конечно, в этой области необходимо не только серьезное техническое, но и законодательное подкрепление.

 

Александр КОНСТАНТИНОВ

Александр КОНСТАНТИНОВ, основатель и CEO медицинского сервиса ONDOC: Сейчас уже есть технологии, которые помогают обеспечить высокий уровень безопасности хранения и использования персональных данных. Нужна только более глубокая формализация требований по работе с медицинскими персональными данными и регулярный аудит информационных систем на соответствие. Например, для платежных систем существует стандарт безопасности данных PCI DSS. Пока потенциальный провайдер не пройдет проверку на соответствие этим стандартам, Visa и MasterCard не разрешат ему принимать платежи. Причем в стандарте PCI DSS предусмотрены разные уровни требований к платежным системам и банкам. Так же будет и при реализации модели uber'изации медицины – в зависимости от того, какими данными будет владеть провайдер медицинских услуг, требования будет отличаться. Сейчас в России существует 152-ФЗ, есть требования ФСТЭК и ФСБ по защите данных. С принятием закона по телемедицине и решением вопроса о том, в каких форматах будут оказываться услуги, в 152-ФЗ,скорее всего, будут внесены поправки и дополнения, которые помогут сформировать четкие стандарты информационной безопасности.

Алексей КАРПИНСКИЙ

 

Алексей КАРПИНСКИЙ,  заместитель генерального директора iCore: Такая модель может только усугубить эти вопросы. Самое худшее, что с тобой может случится при общении с Uber или «Яндекс.Такси», это кража денег с карточки, а тут могут украсть или изменить твои медицинские данные. Во многих онлайновых медицинских сервисах есть некое подобие медкарты, но клиент должен понимать, что заполняет ее на свой страх и риск. Единственная легитимная модель – это соединение виртуальной клиники с каким-то сервисом аутентификации, а пока есть один такой достоверный сервис – gosuslugi.ru. В принципе можно создать специальный единый сервис медицинской аутентификации, но нужно грамотно его монетизировать, чтобы медицинские клиники, сами хотели за небольшую плату подключаться к нему.

Андрей СВИРИДЕНКО

 

Андрей СВИРИДЕНКО,  председатель правления компании SPIRIT: Коммуникация «врач-пациент» должна осуществляться через серверы, находящиеся на территории России и под контролем аккредитованных поставщиков медицинских услуг. Также возможно использование дополнительных средств шифрования для еще большей защиты от любых утечек информации, чтобы полностью гарантировать сохранность медицинской тайны и персональных данных пациентов.

 

Павел КОРОСТЕЛЕВ

Павел КОРОСТЕЛЕВ, менеджер по маркетингу продуктов, «Код безопасности»: С точки зрения информационной безопасности я вижу два типа основных рисков: несанкционированный доступ к данным и несанкционированный доступ к метаданным. Отсюда вытекает необходимость защищать как инфраструктуру, так и автоматизированные рабочие места. Это либо стационарные компьютеры, либо мобильные устройства. У каждой категории – различные риски, и надо защищать их по-разному. Для стационарных ПК актуальна защита от вредоносного ПО и средств для несанкционированной слежки за пользователем компьютера. Для мобильных компьютеров на первый план выходит защита от кражи и возможность блокировки доступа к информации при потере устройства. Поэтому актуальными для медучреждений будут системы управления мобильными устройствами (MDM). С помощью такого продукта администраторы ИТ-служб могут быстро и качественно решать проблемы пользователей, а в случае кражи мобильного устройства – дистанционно удалить приложение и стереть все данные до того, как гаджет попадет в руки злоумышленнику.

Борис ЗИНГЕРМАН

 

Борис ЗИНГЕРМАН,  заведующий отделом ИТ, Гематологический научный центр Минздрава России, руководитель проекта, Мед@рхив: Я считаю, что тема персональных данных излишне раздута. Объективно такой проблемы нет. Да и защита персданных сегодня осуществляется по формальным признакам, а не по сути. Но любое упоминание 152-ФЗ способно легко убить неокрепший проект в сфере дистанционной медицины.

 

Подготовила Евгения ВОЛЫНКИНА 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!