Телемедицина: есть ли угроза для безопасности информации пациентов и врачей?

Ранее мы уже коснулись проблемы кибербезопасности в сфере здравоохранения. В нашем новом материале мы продолжим эту тему и вместе с нашими экспертами разберемся, что такое телемедицина, каковы ее перспективы в России и с какими угрозами для безопасности данных можно столкнуться при работе с этими технологиями.

Что включает в себя понятие телемедицины?

Арсен Нахапетян, руководитель региональных проектов центра компетенций «Здравоохранение» группы компаний Softline

Арсен Нахапетян, руководитель региональных проектов центра компетенций «Здравоохранение» группы компаний Softline:

«Согласно официальному определению Всемирной организации здравоохранения, телемедицина — это предоставление медицинских услуг в условиях, когда расстояние является критическим фактором, работниками здравоохранения, использующими коммуникационные технологии для исследования, диагностики, лечения и профилактики заболеваний, а также для непрерывного образования медицинских работников в интересах улучшения здоровья населения и развития местных сообществ. На практике же этот термин мыслится гораздо шире. В погоне медицинских организаций за исполнением поставленной им задачи по развитию телемедицинских технологий возникают самые разные его интерпретации. Так, мне доводилось отрабатывать запросы в диапазоне от «не могли бы вы установить веб-камеру в операционной, чтобы у нас главный врач мог в любой момент вести наблюдение за процессом» до «концепции создания рентгенологического кластера на территории республики с общим архивом исследований». И во многих случаях побуждающим мотивом была именно задача по реализации современных технологий удаленной диагностики и консультирования».

Игорь Котляр, CTO мобильной клиники DOC+:

«Телемедицина — это дистанционное оказание медицинской помощи с использованием IT-технологий. Телемедицина существует в двух форматах: врач-пациент — в настоящий момент наиболее обсуждаемая и горячая тема; врач-врач — для обмена экспертизой с целью повышения качества диагностики и лечения».

Насколько широко эти технологии внедрены в России? Будет ли расширяться присутствие телемедицины в РФ?

Арсен Нахапетян:

«Первые шаги в дистанционной медицине в России относятся к 70-м годам прошлого века – тогда передавали ЭКГ на расстоянии в диагностические центры. Постепенно уровень услуг совершенствовался. К концу 1990-х начали проходить видеоконференции между крупнейшими НИИ и медицинскими центрами РФ. В начале двухтысячных произошла интеграция российских телемедицинских сетей с мировым информационным пространством с закономерным импортом зарубежного опыта и технологий. На мой взгляд, именно этот момент послужил серьезным импульсом к развитию удаленных консультаций – в частности, в лучевой диагностике. Сегодня телемедицинские сети используются для проведения консультаций и удаленного обучения специалистов во многих регионах России. В первую очередь они представлены центральными архивами медицинских изображений. Также мы наблюдаем положительную динамику в развитии практики получения второго мнения от специалиста, находящегося на значительном расстоянии от пациента. 

На мировом уровне данный сегмент здравоохранения является одним из наиболее быстро растущих (около 20% в год). В России же все инновации в конечном итоге упираются в правовую регуляцию. Подписание летом 2017 года закона о телемедицине сделало понятнее правила игры в сегменте телемедицины. Также на законодательном уровне с начала 2018 года будет введена возможность оказания медицинской помощи с применением телемедицинских технологий путем проведения консультаций и консилиумов, обеспечивающих дистанционное взаимодействие врачей между собой, врача и пациента или его законного представителя, а также дистанционный мониторинг состояния здоровья пациента. Очень чутко на изменения в законодательстве среагировали коммерческие медицинские организации, мгновенно откликнувшиеся различными услугами в области дистанционного консультирования, что говорит о высокой востребованности таких продуктов».

Дмитрий Шепелявый, заместитель генерального директора SAP CIS

Дмитрий Шепелявый, заместитель генерального директора SAP CIS:

«В данный момент мы находимся на этапе становления, формирования базы для дальнейшего развития цифровой медицины. Уже работает единая государственная система здравоохранения (ЕГИСЗ), постепенно к ней будут подключаться сервисы и появятся новые возможности, за счет дополнительных услуг, в том числе и в области телемедицины. Кстати, отдельные регионы уже используют возможности удаленной медицины – в Санкт-Петербурге средства телемедицины применяют для помощи недоношенным детям, страдающим ретинопатией. Мы работаем над проектом с Тюменской областью, он будет связан со сбором информации с носимых датчиков и дальнейшей глубокой аналитикой данных. Пока телемедицина остается лишь способом удаленного мониторинга, это, конечно, тоже важно, так как позволяет на базе собранных данных и их аналитики персонализировано подойти к лечению и профилактике. Однако стоит задуматься над более четким определением границ оказываемой помощи. Необходимы ясные критерии, определяющие целесообразность и возможную эффективность дистанционных мероприятий. Особенно, когда речь заходит об оплате телемедицинских услуг за счет программы ОМС. На мой взгляд, инструменты телемедицины будут активно внедряться, сейчас эти возможности используются в основном коммерческими клиниками и научными институтами. Говоря о развитии этого направления, следует уточнить, что оно жизненно необходимо российским регионам, где есть трудности с доступом к врачам. Не менее важным становится и временной фактор, телемедицина – это высокая скорость принятия решения, которая во многих случаях может значительно повысить шансы больного на выздоровление. Помимо очевидной социальной значимости, цифровая медицина сможет решить проблемы эффективного расходования бюджетных средств. В частности, SAP для своих решений, созданных для медицины, активно использует опыт автоматизации бизнес-процессов. Система позволяет отслеживать ключевые показатели медицинского учреждения – расходование средств и материалов, трудозатраты, заполняемость, отклонения от разнообразных норм и так далее».

Игорь Котляр:

«Так как ажиотаж вокруг телемедицины существует уже больше года, технологические частные компании (как IT, так и медицинские) активно готовятся к полноценному запуску телемедицины с 1 января 2018 года. Первые эксперименты в сфере телемедицины показали актуальность и полезность услуги, особенно для жителей отдаленных регионов, у кого нет доступа к полноценной помощи. Предложение и доступность телемедицинских услуг будут расти. Однако активному внедрению телемедицины препятствует отсутствие проработанной законодательной базы и стандартов оказания телемедицинских услуг. Кроме того, государство пока технологически не готово к повсеместному внедрению телемедицины по всей стране. Для того, чтобы это произошло, требуется еще как минимум несколько лет. Также распространению телемедицины мешает недоверие многих пациентов к «лечению по интернету».

Существуют ли угрозы для безопасности медицинской информации, персональных данных врачей и пациентов? Могут ли быть последствия для здоровья пациентов? Какие меры следует принять для обеспечения защиты информации?

Дмитрий Шепелявый:

«Вся собранная с пациентов информация является медицинской тайной и должна соответствующим образом обрабатываться согласно требованиям закона о персональных данных. Для передачи такой информации должны использоваться только защищенные каналы. Это же касается и всех приборов, и датчиков, собирающих информацию, они обязаны иметь сертификаты безопасности. Эти факторы требуют доработки уже существующей ЕГИСЗ, необходимо будет повсеместное внедрение электронной регистратуры, персонифицированного учета услуг для пациентов, а также механизмов идентификации как врачей, так и пациентов. Для полноценного внедрения потребуется достаточно высокий уровень автоматизации не только медицинских учреждений, но также и аптечных пунктов, так как со временем появится и возможность выписки электронных рецептов».

Игорь Котляр:

«Угрозы для безопасности в информационных системах существуют для любых типов информации, в том числе для медицинской информации и персональных данных. А вот какова вероятность реализации угрозы безопасности зависит от особенностей информационной системы и применяемых в ней мер защиты.

В результате реализации угрозы безопасности могут быть нарушены конфиденциальность, целостность и доступность информации. Если в части конфиденциальности медицинской информации и персональных данных ущерб для граждан больше относится к нанесению морального вреда, то нарушение целостности и доступности информации может привести и к нанесению вреда для здоровья. Например, внесение злоумышленником изменений в данные медицинского назначения может привести к применению неправильных лекарственных средств. Несвоевременное принятие выписанных лекарственных средств ввиду недоступности информации о назначениях (если у пациента нет бумажного назначения, и он не запомнил наименования выписанных лекарственных средств) может привести к усугублению болезни.

Набор мер защиты зависит от структуры информационной системы и применяемых в ней информационных технологий. Так как медицинская информация является частью персональных данных, то при выборе базового набора мер защиты необходимо руководствоваться нормативными документами регуляторов. Базовый набор мер защиты включает применение средств сетевой безопасности (Firewall, IPS, VPN IPSec/TLS), антивирусных средств, средств разграничения доступа и анализа защищенности информационной системы. Дополнительно стоит использовать такие средства, как Web Application Firewall и Database Firewall, — для защиты прикладного ПО информационной системы, SIEM — для оперативного выявления и реагирования на инциденты информационной безопасности. Также, учитывая, что прикладное ПО информационной системы постоянно совершенствуется и дорабатывается, будет не лишним внедрить процедуры выявления и устранения уязвимостей в коде приложений».