Інформаційна революція ХХ сторіччя та подальший невпинний розвиток інновацій у сучасному світі не залишає жодної сфери діяльності людства поза межами впливу новітніх інформаційних технологій. Сфера охорони здоров'я не є виключенням. Водночас разом з перевагами і новими можливостями цифровізації сфера охорони здоров'я стикається зі значними викликами. Приватність та достовірність персональних даних пацієнтів є однією з важливих складових проблематики цифровізації галузі.

З одного боку сфера охорони здоров'я має порівняно низький рівень уваги до проблематики захисту інформації в цифровому вигляді, а з іншого – галузь покладається на технології й інформаційний цифровий простір, який є спільним з іншими секторами економіки, включаючи фінансовий сектор та сферу державного регулювання. Це так само означає, що сфері охорони здоров'я необхідно за стислий термін пройти ті ж етапи еволюції в області безпеки інформації, що відбувалися у фінансовому секторі та державних установах впродовж останніх п'ятдесяти років. Для розкриття базових понять безпеки інформації важливо використовувати наступні терміни та визначення.

Поняття захисту не обмежується цифровою формою інформації і як сфера знань виникла задовго до появи першого комп'ютера. Водночас саме загрози інформації в цифровому просторі є найбільш актуальними і масштабними. Відповідно це вимагає від організацій сучасних підходів і заходів захисту інформації. Сталим терміном для захисту інформації в цифрових (комп'ютерних) технологіях є «кібербезпека».

У спрощеній інтерпретації кібербезпека – це захист комп'ютерів, комп'ютерних мереж і програмного забезпечення від потенційних загроз, які можуть виникнути в процесі ведення діяльності.

Заклади охорони здоров’я у сучасному світі широко застосовують цифрові системи, щоб ефективно надавати медичну допомогу. Подібно до того, як захищаються фізичні об‘єкти, необхідно захищати «цифрові» активи, тобто інформацію в електронному вигляді.

ЗОЗ відповідно до законодавчих і нормативних вимог несуть відповідальність за забезпечення безпеки даних пацієнтів для збереження їхньої довіри. Окрім того, заклади повинні захищати свої цифрові активи та системи з метою забезпечення безперервності надання медичної допомоги пацієнтам та сталого функціонування важливих робочих процесів.

З огляду на це заклади і установи повинні впроваджувати політики та правила кібербезпеки, що допоможе знизити до мінімуму результати кібератак. Наслідками кібератаки можуть бути завдання шкоди репутації організації і погіршення фінансового становища. Заклади повинні дотримуватись нормативно-правових вимог для захисту конфіденційних даних пацієнтів, а також відповідати певним міжнародним вимогам, таким як Загальний регламент захисту даних (GDPR). Цей регламент вимагає від організацій, які володіють, обробляють та зберігають персональні дані громадян держав-учасниць ЄС, вжити ряд заходів з кібербезпеки.

У питаннях кібербезпеки фундаментальним завданням є розуміння яка саме інформація обробляється і зберігається в інституції, та від яких негативних факторів її необхідно захищати. Визначення цих критеріїв називається моделюванням загроз.

Типові загрози безпеці інформації – це загрози викрадення, пошкодження, змінення або знищення інформації. Крім того, цифрові пристрої можуть бути зламані і це може завдати прямої шкоди пацієнтам.

Стан захищеності інформації визначають через наступні параметри – конфіденційність, цілісність та доступність інформації.

Конфіденційна інформація передається від однієї людини до іншої під час ведення службових справ. Особа, яка отримала конфіденційну інформацію, повинна забезпечити її зберігання та обробку відповідно до умов, встановлених особою, яка надала згоду на передачу конфіденційної інформації (наприклад, обробку персональних даних) або вимог керівних документів стосовно захисту інформації, якщо конфіденційна інформація складає державну таємницю.

Працівники закладів повинні знати про чутливий характер медичних і персональних даних, що отримує заклад у ході свого функціонування, розуміти та дотримуватись правил роботи з конфіденційною інформацією; утримуватись від розголошення таких даних. Для досягнення цієї мети слід проводити регулярні навчання всього персоналу, щонайменше раз на рік.

Наряду з конфіденційністю, важливою властивістю медичної інформації пацієнта є цілісність, адже спотворені дані можуть призвести до лікарських помилок у лікуванні пацієнтів з дуже серйозними та навіть тяжкими наслідками.

Ще однією властивістю інформації, яку повинна забезпечувати кібербезпека, є доступність. На практиці це означає, що лікар повинен мати можливість отримати доступ до електронної медичної картки пацієнта або до медичної інформаційної системи, з правами доступу в межах своїх повноважень, саме тоді, коли йому це потрібно. Система контролю доступу включає як внутрішні засоби захисту (паролі, шифрування даних, таблиці контролю доступу, налаштування інтерфейсів користувача тощо), так і зовнішні (пристрої захисту портів, брандмауери, автентифікацію на основі хоста тощо).

Для належного рівня кіберзахисту необхідно забезпечити спостережність і контрольованість систем та підсистем, в яких циркулює інформація. Це означає, що інформація повинна бути спостережна і захищена не тільки при її збереженні, а також при передачі чи обробці.

Дані й інформація, що передаються каналами зв'язку, повинні бути захищені від несанкціонованого доступу (забезпечена конфіденційність) та/чи змін (цілісність). Крім того, повинна бути забезпечена їхня доступність абонентам, які передають та отримують інформацію.

Дані й інформація, що обробляються, повинні бути захищені при обробці таким чином, щоб була забезпечена їх конфіденційність, цілісність та доступність.

Дані й інформація повинні зберігатися захищено і в такий спосіб, щоб було забезпечено виконання принципів інформаційної безпеки із забезпечення конфіденційності, цілісності та доступності.

Зберігання і передача конфіденційної інформації має здійснюватися в зашифрованому вигляді. До конфіденційної інформації відноситься будь-яка інформація, яка може бути використана для ідентифікації особи, та медичні дані пацієнта. Алгоритми і засоби, які використовуються для шифрування, мають відповідати вимогам, що встановлені Державною службою спеціального зв'язку та захисту інформації України.

Для управління системою кібербезпеки необхідно призначити відповідальну посадову особу. За належний рівень кібербезпеки організації відповідає керівник цієї організації, проте він/вона не зможе приділяти достатньо часу даному процесу, який потребує значної залученості, обізнаності та відповідної підготовки. Тому в тих ЗОЗ, де визначено багато інформаційних активів та систем, що потребують захисту, керівник призначає окремого відповідального за кібербезпеку/інформаційну безпеку (ВІБ).

Зазначена посадова особа контролює всю поточну діяльність, пов'язану з розробкою, впровадженням та підтримкою політики інформаційної безпеки ЗОЗ, забезпечує дотримання належного рівня кіберзахисту, оптимізує методи цифрового захисту та ефективно використовує наявні ресурси.

Безумовно, обмежитись лише одним ВІБ для забезпечення кіберзахисту ЗОЗ неможливо. Щонайменше повинна бути сформована група реагування на інциденти інформаційної безпеки. Якщо ЗОЗ невеликий, з обмеженою кількістю інформаційних систем і цифрових активів, група може складатися з персоналу, який окрім виконання штатних обов’язків залучається до реалізації завдань з підтримання рівня інформаційної безпеки на належному рівні. Якщо ЗОЗ великий, з досить розвиненою ІТ-інфраструктурою, доцільно створювати штатну команду фахівців з кібербезпеки.

Забезпечення інформаційної безпеки ЗОЗ на належному рівні залежить від рівня обізнаності та підготовки персоналу ЗОЗ протистояти загрозам кібербезпеці. Більшість працівників ЗОЗ не освічені щодо сучасних загроз й існуючих рекомендацій з безпеки для захисту пристроїв, мереж та даних. Навчання працівників ЗОЗ принципам кібербезпеки дозволяє знизити ризики порушень політики інформаційної безпеки, що призводять до негативних наслідків. Відповідальність за організацію і проведення навчання персоналу покладається на функціональні обов’язки ВІБ.

Підвищення обізнаності і навчання працівників принципам кібербезпеки – один з багатьох напрямів роботи ВІБ. Проте головним завданням ВІБ є побудова ефективної системи кіберзахисту.

Джерело: веб-сайт МОЗ України https://moz.gov.ua/uk/baza-znan-ehealth