W4MM
1 и информационные
технологии
Особое мнение
Б.В. ЗИНГЕРМАН,
заведующий отделом компьютеризации Гематологического научного центра РАМН, [email protected]
ПАРАДОКСЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
УДК 002:34
Зингерман Б.В. Парадоксы защиты персональных данных (Гематологический научный центр РАМН) Аннотация: В статье сделана попытка неформально оценить существующие подходы к защите персональных данных в здравоохранении, оценить реальные и «мифические» угрозы безопасности медицинских данных, проанализировать противоречие между безопасностью и доступностью медицинской информации для врачей, а также даны предложения по формированию модели угроз и проведению широкой дискуссии в среде профессионалов о выработке разумных мер защиты информации.
Ключевые слова: защита персональных данных, права доступа
UDC 002:34
Zingerman B.V. The paradocs of the protection of personal data (National Scientific Center for Hematology RAMS) Annotation: In this article there has been made an attempt to informally estimate the existing approaches to the protection of personal data in public health, to estimate real and «mythical» threats to the medical data safety, to analyze the contradiction between the safety and the accessibility of medical information for doctors, and also here are the proposals regarding the formation of threats model and organizing the broad discussion among professionals about the working out of reasonable measures of data protection.
Keywords: Protection of personal data, access permissions
I
1
27 июля 2006 года был принят закон «О персональных данных», и, я думаю, ни у кого не вызывает сомнения, что защита частной жизни граждан — важнейшая задача общества и государства. Однако нам как специалистам по медицинской информатике важно понять, кого и от кого мы будем защищать. Сразу оговорюсь, что я буду говорить о неформальной, житейской стороне вопроса, все сказанное далее — моя личная точка зрения. Более формальный и строгий подход к проблеме, основанный на анализе существующих нормативных документов, изложен в цикле блистательных статей А.П. Столбова [1,2].
Для начала две смешных истории.
История первая: Специализированный семинар IBM, посвященный новым технологиям. Получаю обычную анкету: Ф.И.О., должность, e-mail, желаете ли Вы получать нашу информацию по e-mail или почтой? Как Вы оцениваете данный семинар? И еще пяток обычных вопросов. И вот на последнем семинаре в конце анкеты вижу текст: «Даю согласие на обработку приведенных мной персональных данных...» Пока все нормально, но дальше... Я, кроме подписи, должен привести все свои паспортные данные. Ну, почему для сохранности моей фамилии и должности, которые я сам раздаю в виде визитных карточек1, я должен обнародовать еще и все свои
1 Интересно, не надо ли теперь давать такую подписку еще и на визитных карточках?
© Б.В. Зингерман, 2009 г.
48
□собое мнение
www.idmz.ru 2009, №4
■■■■
рчва
паспортные данные. И еще я подумал о том, а будут ли девушки, собирающие анкеты, сверять паспортные данные с паспортом? Пока не сверяли. Над всем этим можно было бы посмеяться, но я понимаю, что в компании IBM работают нехудшие юристы, и раз эта фраза появилась — значит, это требование закона.
История вторая: При редактировании перевода Технической спецификации ISO/TS 25238:20071 «Классификация угроз безопасности от программного обеспечения в сфере здравоохранения» обнаружил интересный пример: классификация угроз пациенту от «Исследовательской базы данных заболеваний, передающихся половым путем». Какие угрозы эта система представляет для пациента? Конечно же, это «значительная» психологическая травма у пациента, например, с ВИЧ в результате раскрытия этой конфиденциальной информации. Далее цитата:
«Следующий шаг — определение реальной вероятности осуществления последствий. Психологическая травма у пациента не возникнет, если пациент не узнает о том, что конфиденциальность информации о нем была нарушена. Это зависит от обстоятельств несанкционированного доступа. Если несанкци-онированны/й доступ бы/л осуществлен врачом, который непреднамеренно просмотрел эту информацию, то такой врач вряд ли будет распространять полученную информацию посредством каких-либо источников. Однако случайный или несанкционированны1й доступ к информации лицом, не связанны/м врачебными обязательствами, может привести к умышленному или случайному разглашению информации. Это особенно вероятно в случае, если пациент, информация о котором быта рассекречена, известен в местном сообществе. Тем не менее, до момента, когда пациент узнает о
происшествии, пройдет определенное количество событий, потому вероятность оценивается как средняя или низкая. Системе тем самым присваивается класс Г (это один из самых низких классов угрозы, определяемых от А до Д).
В случае, если система имеет журнал регистрации событий, в котором отмечается факт несанкционированного доступа, требуется дополнительное рассмотрение. Владелец системы в подобных обстоятельствах обязан уведомить пациента о том, что таковое рассекречивание имело место. Тем самым вероятность последствий повышается до «очень высокой». Однако в случае, когда пациента информирует и консультирует опытный врач, вероятность нанесения психологической травмы пациенту может быть снижена.. Тогда класс, присвоенный системе, — В».
Что же мы видим в этом примере? Все наши усилия по ведению журналов регистрации несанкционированного доступа, европейские законодательные требования об обязанности информирования пациента о нарушении конфиденциальности его данных, все это приводит в результате к большему риску для пациента.
Что же мне особенно понравилось в этом примере? Этакая «раздумчивость», попытка непредвзятого и всестороннего анализа ситуации. К сожалению, у нас к защите персональных данных более формальные подходы. Кто у нас «защищает» персональные данные? Сегодня это Роскомнадзор (www.rsoc.ru), а также ФСТЭК и ФСБ, на которые возложены отдельные направления этой защиты. Сегодня подходы этих двух ведомств, традиционно занимавшихся защитой государственной тайны, положены в основу защиты персональных данных. И это вполне естественно, поскольку эти ведомства — единственные,
1 Перевод этого документа ISO сейчас проходит публичное обсуждение в качестве проекта национального стандарта РФ. Документ этот кажется мне мало интересным как национальный стандарт, но очень интересен как проблемная статья, в первую очередь исследованием того, почему программное обеспечение может представлять угрозу для пациентов, а также примерами классификации таких угроз.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 49 ■
W4MM
1 и информационные
технологии
Особое мнение
обладающие опытом и специалистами по защите информации. Но допустим ли прямой перенос методов по охране государственной тайны в новую сферу защиты персональных данных? Я думаю, что нет. Но любопытно, что так же думает и руководитель Роскомнадзора Сергей Ситников. Выступая 12 мая 2009 года на расширенном заседании коллегии Министерства связи и массовых коммуникаций с докладом «Итоги деятельности Роскомнадзора в 2008 году, задачи на 2009 год и среднесрочную перспективу», он, в частности, сказал [3]:
«Большое беспокойство вызывают сегодня требования смежных организаций к методологии защиты персональных данных, что не только требует от операторов высокой квалификации персонала, который должен принимать решения по определению категории защиты информации, но и влечет за собой большие финансовые затраты на технические средства защиты.
На наш взгляд, эта методология организационно сложна и финансово обременительна для многих операторов. Очевидно, что большая часть операторов не сможет до 1 января 2010 г. привести свои информационные системы персональных данных в соответствие с требованиями федерального закона «О персональных данных».
Если уж глава ключевого ведомства сомневается в приемлемости требований и реальности сроков, то и мы, «грешные», можем себе это позволить. Вот и давайте посомневаемся всем профессиональным сообществом и постараемся найти приемлемые меры и действительно полезные решения.
В чем будет состоять защита персональных данных, как это видится из существующих нормативных документов? В общих чертах это два основных направления:
1. Сбор, хранение и управление подписками, полученными у пациентов на право обработки их персональных данных в медицинских организациях. Это важное (и очень дорогостоящее) дело пройдет сугубо формально, даже еще более формально, чем сбор информированных согласий на некоторые виды медицинской помощи1.
2. Установка в медучреждениях сертифицированного оборудования, каналов связи и программного обеспечения. Причем сертифицированные средства будут значительно дороже и сложнее в эксплуатации. На мой взгляд, эти сертифицированные средства будут защищать от мифических угроз общего характера2, но вряд ли будут отвечать специфике медицинской организации, которую даже мы, профессионалы медицинской информатики, пока еще не до конца понимаем.
Традиционно медицинским информационным системам присваивается самый высокий класс по защите персональных данных К1. Тем не менее, в совместном Приказе ФСТЭК, ФСБ и Мининформсвязи №55/86/20 от 13.02.2008 «Об утверждении порядка проведения классификации информационных систем персональных данных» четко указано, что класс К1 присваивается только типовым информационным системам (пункт 15 Приказа). В то же время пунктом 8 этого Приказа «информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персо-
1 Это будет просто формальным перекладыванием ответственности на самого пациента, который в этом вопросе будет совершенно подневольным. У него не будет никакого выбора, вряд ли он сможет даже получить информацию о том, как его данные будут обрабатываться. Да и как поступать с отказавшимися от подписи? Нельзя же отказать им в предоставлении медицинской помощи.
В этом деле уж гораздо честнее поступить так, как поступили в одной казанской клинике, где у пациентов уже год берут подписку, разрешающую публиковать их медицинские данные. Данные, разрешенные к публикации, становятся общедоступными, и защищать их никак не надо. Эту историю рассказал на конференции MedSoft-2009 Станислав Радченко. Он утверждает, что за год не было ни одного отказа от такой подписи.
2 Что, кстати, в некоторых вопросах не бесполезно, например, борьба с компьютерными вирусами или спамом.
50 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
□собое мнение
www.idmz.ru 2009, №4
■■■■
рчва
нальных данных», отнесены к специальным информационным системам.
Для специальных же информационных систем в пункте 16 указано:
«16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных1».
Вряд ли это ухищрение позволит нам понизить класс защиты персональных данных, но оно позволит разработать «модель угроз» и понять, что и от кого мы защищаем. Этой модели нет пока не только на бумаге, но и «в головах» специалистов.
Зададимся крамольным вопросом: «А надо ли вообще защищать персональные медицинские данные»? Конечно, на такой вопрос каждый ответит: «Да, я хочу, чтобы мои медицинские данные были защищены наилучшим образом». Но зададим более правильный вопрос: «Что для Вас важнее защита данных или их своевременная доступность в лечебном процессе?» Или даже еще грубее: «Что для Вас важнее, чтобы Ваш анализ не увидел случайный прохожий или чтобы его своевременно увидел Ваш лечащий врач?» Я думаю, ответ на этот вопрос вполне очевиден и явно не в пользу защиты данных. И это «или» в вопросе вполне оправда-
но, потому что мы, профессионалы, понимаем, что защита данных всегда противостоит их доступности2. Можно задать пациенту и еще один честный вопрос: «А сколько Вы лично готовы заплатить за защиту Ваших медицинских данных?» Мне лично ответ очевиден, а также очевидно, что защита данных будет стоить дорого.
Попытаемся вспомнить хотя бы один скандал с утечкой медицинских данных в нашей практике. Я лично не могу вспомнить ни одного3. Вспоминается одна история, которую мне со смехом рассказывали на одной станции переливания крови, когда сотрудница решила проверить невесту сына по картотеке кожновенерологического диспансера, к которой у нее был доступ. Уж не знаю, как все это выплыло, но большого скандала из этого не получилось. Зато я могу вспомнить несколько случаев заражения ВИЧ при переливании компонентов крови, связанных с отсутствием нужной информации в нужном месте или невнимательным к ней отношением.
Еще я помню много случаев, когда на защите медицинских данных настаивали врачи, которые беспокоились о защите своих «научных материалов», причем в первую очередь от своих же коллег. Это очень частая проблема при внедрении информационных систем: «Как же так, мы делали эти анализы, а они включат их в свои диссертации?!»
Наш коллега Н.Е. Шкловский, который много занимался психологическими аспектами тяжелых заболеваний, утверждает, что по-настоящему больной человек, наоборот, старается показать свои медицинские данные любому, кто готов его выслушать, в надежде
1 Собрание законодательства Российской Федерации. — 2007. — №48. — Ч. II. — Ст. 6001.
2 Наилучшая форма защиты выглядит, например, так: медицинские данные пациента зашифрованы и могут быть расшифрованы только в его присутствии его личным ключом. Данные защищены отлично, столь же отлично понятно, к каким последствиям это может привести в реанимационном отделении.
3 Могу вспомнить только свежую зарубежную новость: «18 мая 2009 года Калифорнийский госпиталь оштрафован на $250 000, 15 сотрудников уволены, 8 получили дисциплинарные взыскания, за многочисленные нарушения в защите персональных данных». Эта история имеет очень конъюнктурный оттенок и касается женщины, родившей 8 близнецов. Интересно, что в сообщении безжалостно упоминается ее фамилия и 8 близнецов, рождением которых она прославилась. Вряд ли ей будет приятно читать это сообщение.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■ ■ ■■ ■■ ■ ■ ■ ■ ■ ■ ■■ ■■■ ■ ■ ■ ■■ ■■ ■■■ ■ ■ ■■ Si ■ ■ ■■ ■ ■
W4MM
1 и информационные
технологии
Особое мнение
в
> Попробуем обсудить простые вопросы: «Как распределить права доступа к медицинским данным пациентов в медицинской информационной системе? Кто должен иметь доступ к медицинским данным конкретного пациента?»
Простой ответ выглядит так:
• Его лечащий врач.
• Заведующий отделением.
Дальше начинаются сложности: • Как обеспечить временный доступ для дежурного врача? Формально дежурный врач должен получать временный пароль (равносильный паролю заведующего отделением) только на время своего дежурства. Причем от дежурства к дежурству пароль должен меняться. Можем ли мы представить себе надежно работающий механизм ежедневной выдачи таких уникальных паролей? Достаточно один раз оставить дежурного врача без доступа к информации, и система себя полностью дискредитирует.
• Вопрос назначения и смены лечащего врача. Формально передачу прав доступа в этот момент (а это некая процедура) должен осуществить заведующий отделением. Будет ли он это делать достаточно оперативно? Станет ли он вообще этим заниматься? Еще сложнее ситуация с переводом. Тут в процедуре передачи прав доступа формально должны участвовать 2 заведующих.
• Кому принадлежат права доступа до назначения лечащего врача?
• Как предоставлять доступ врачам других отделений (хирур-
гам, реаниматологам), врачам-консультантам, диагностическим службам (рентгенологам, морфологам и др.)? Можно выбрать такой подход: если пациент направлен к Вам на обследование или консультацию, то Вам доступны его медицинские данные на время обследования. Но и тут возникает сложность. Пациент, как правило, направляется не к конкретному врачу-консультан-ту, а в отделение (например, рентгенологическое). Кому конкретно мы делегируем права в этом отделении? Можем ли мы формализовать процедуру назначения конкретного врача-консультанта на конкретное исследование?
• Кому принадлежат права доступа к информации после выписки больного?
• Отдельная проблема — доступ к информации для среднего медицинского персонала. Причем в этой проблеме две составляющие: к какой части информации имеют доступ медицинские сестры, как распределить права доступа между ними?
Все эти вопросы можно решить в условиях конкретной клиники. Но вот надежная и удобная работа
системы такого постоянного делегирования прав доступа представляется сомнительной. А вот ответ на неудобства и ненадежность будет простой: на стене ординаторской напишут пароль заведующего отделением, и все будут им пользоваться. И это в лучшем случае. В худшем — с системой просто перестанут работать.
Все реально работающие
медицинские системы выбирают очень простую модель прав доступа. Чаще всего все медицинские работники имеют доступ к информации всех пациентов, при этом четко описываются права на запись и корректировку определенных видов информации для определенных групп сотрудников. В редких случаях закрывают доступ к записям определенного типа.
Создание сложной, разветвленной модели прав доступа сегодня практически невыполнимо для медицинской организации. Точнее будет сказать, что «минусов» от ее внедрения будет значительно больше, чем «плюсов».
В соответствии с вышеизложенным, возможно, стоит перейти от предоставления прав доступа к фискальному учету реального доступа, то есть вести регистрацию всех фактов просмотра сотрудниками медицинских записей конкретных пациентов. В процессе работы нужно вести аудит и анализ этих фискальных журналов доступа и проводить «разбор полетов» в ситуациях, вызывающих сомнения. При этом сотрудники медицинской организации должны быть предупреждены, что все их действия протоколируются, и необоснованный доступ к персональным данным пациентов может стать причиной профессионального разбирательства.
Представляется, что такой подход значительно реальнее, чем классическая модель предоставления прав доступа. Хотелось бы знать мнение коллег по этому вопросу.
1 52 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
□собое мнение
www.idmz.ru 2009, №4
■■■■
рчва
на дополнительную помощь в борьбе с болезнью1.
Еще одно традиционное заблуждение. В защите своих медицинских данных нуждаются «звезды» и другие высокопоставленные лица. По мнению того же Н.Е. Шкловского, для «звездной сенсации» не нужны данные, вообще не нужна правда. Нужно правдоподобие и обязательно занимательное. Выдуманные факты для таких дел куда живее и интереснее. Недавно видел обложку журнала с анонсом «100 любовников Аллы Пугачевой». Видимо, так журнал решил поздравить певицу с юбилеем. Разве для такой статьи нужны факты? Можно, конечно, представить себе проблемы с утечкой данных из клиник пластической хирургии, но и тут, я думаю, раздуваются скорее сплетни, нежели факты. Да и вообще к здравоохранению это имеет лишь косвенное отношение.
Вероятно, серьезной проблемой являются взаимоотношения работодателя и работника, желающего сохранить в тайне свои медицинские данные. Совершенно понятен конфликт интересов при приеме на работу беременной женщины или человека, больного тяжелым хроническим заболеванием. Серьезная (и пока мало осознанная) проблема возникает и при проведении медицинской диспансери-
зации по месту работы. Предприятие платит за диспансеризацию сотрудников. Какие права оно имеет на доступ к медицинским данным? В последнее время наметился значительный интерес крупных зарубежных компаний к созданию хранилищ персональных медицинских данных для своих сотрудников [4]. Причиной этого может быть сокращение затрат на медицинскую страховку для сотрудников. Эта тема в нашей стране практически не обсуждалась.
Защита персональных медицинских данных может быть очень важна в системе добровольного медицинского страхования. Стоимость страховки может сильно зависеть от состояния здоровья страхуемого. И в этом месте тоже понятен конфликт интересов в связи с защитой персональных медицинских данных. Эта проблема активно обсуждается за рубежом. Как защищать персональные медицинские данные от страховой компании, совершенно не понятно.
Хотелось бы призвать журнал «Врач и информационные технологии» развернуть дискуссию, а коллег высказать свои соображения о том, в чем же реально состоит угроза персональным данным в медицине, как их стоит защищать и как этой защитой не нанести серьезного вреда здравоохранению.
ЛИТЕРАТУРА
1. Столбов А.П. Об организации обработки персональных данных в медицинских учреждениях//Менеджер здравоохранения. — 2008. — №4. — С. 29-32.
2. Столбов А.П. Особенности автоматизированной обработки персональных данных о состоянии здоровья//Менеджер здравоохранения. — 2008. — № 11. —
С. 39-50.
3. http://www.rsoc.ru/site/news/?id_news=2346
4. http://www.dossia.org/about-us
1 На этом, кстати, и строят свою деятельность многие околомедицинские шарлатаны.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 53 ■