Размещено на http://www.allbest.ru/

Проблемы приватности пользовательских данных в децентрализованных системах

Введение

Массовая интеграция децентрализованных систем может существенно изменить нашу жизнь и процессы благодаря принятию новых подходов к хранению, обмену и использованию данных, что позволяет создавать новые бизнес-модели в большинстве областей нашей жизни. Но внедрение таких систем несет большие угрозы людям с точки зрения конфиденциальности. Эта работа направлена на поиск возможных решений, которые могут помочь преодолеть проблемы приватности данных, а также на анализ актуального состояния этой проблемы.

Сегодня мы каждый день пользуемся большим количеством различных приложений и сервисов для множества целей. В то же время мы передаем этим сервисам свои персональные данные для регистрации и прочих процедур, при этом не задумываясь нажимаем на кнопку “Я ознакомился с политикой конфиденциальности компании”. Мы не знаем, как хранят и используют наши данные различные компании, защищены ли они шифрованием, и кто имеет к ним доступ. Однако за последние несколько лет регулирование защиты данных усилилось со стороны государства, что заставляет компании быстро принимать различные меры, чтобы соответствовать новым стандартам. Этот факт максимально ярко подчеркивает актуальность данной проблемы.

Однако, ввиду новизны проблемы, это направление слабо изучено. Только в 2015-2016 гг. законодательство в области приватности данных начало оказывать значительное влияние на бизнес, поэтому, на сегодняшний день, нам не доступно большое количество работ, посвященных решению проблемы приватности данных, а также многие решения не применены на практике и находятся только в стадии разработки пилотных проектов.

В качестве объекта исследования, в данной работе выступают различного рода децентрализованные системы, которые используются B2C компаниями, для хранения или обработки пользовательских данных. Под децентрализованными системами, в данном случае, стоит понимать не только системы распределенного хранения информации, такие как блокчейн и облака, но и прочие решения, в которых данные о пользователях доступны нескольким независимым организациям (к примеру, это могут быть интегрированные системы, обменивающиеся данными через определенные интерфейсы). В качестве предметной области для исследования выбрана медицинская сфера, так как проблема приватности данных для нее выражается особенно ярко.

Предметом этой работы будет проблема приватности данных, которая весьма характерна для децентрализованных систем ввиду их архитектуры. Целью исследования является анализ существующих решений приватности пользовательских данных и выработка системы оценки эффективности этих решений. Чтобы достигнуть цели исследования необходимо выполнить ряд задач:

1. Проанализировать основные проблемы приватности данных и причины их возникновения

2. Провести анализ отрасли здравоохранения, а также критичности проблемы приватности данных в ней

3. Рассмотреть общие стандарты и законодательство в сфере регулирования приватности данных, для того чтобы выявить влияние этих факторов на бизнес

4. Проанализировать и оценить существующие решения на рынке с точки зрения эффективности и целесообразности внедрения и провести их сравнительный анализ

5. Выявить критерии эффективности внедрения решений приватности данных

Основным методом исследования является анализ эффективности решений проблемы приватности пользовательских данных, применяющихся на практике. Для этого будут использованы различные отчеты и публикации компаний, которые имеются в открытом доступе. На основе этих данных будут получены критерии сравнения решений, по которым можно будет выявить их основные факторы эффективности.

С появлением GDPR вопрос приватности данных стал еще более острым, поэтому перед тем, как приступить к анализу решений, будет целесообразно рассмотреть правовое регулирование в области защиты пользовательских данных. В результате ожидается получить сравнительный анализ российского и европейского законодательства по основным критериям различия. Информация о законопроектах имеется в открытом доступе, а также существуют публикации экспертов, которые могут быть использованы для анализа.

Новизна данной работы заключается в том, что на сегодняшний день нет таких исследований, которые достаточно хорошо раскрывали критичность и пути достижения обеспечения приватности пользователей.

Эта работа сможет выступать в роли системы рекомендаций для компаний, которые ищут оптимальное решение для обеспечения приватности клиентских данных.

Данная работа включает в себя три главы. В первой главе будет проведен обзор основной литературы, которая описывает специфику децентрализованных решений, особенности медицинской отрасли, а также основные проблемы приватности данных в отрасли. Во второй главе будет проведен анализ норм права, связанных с регулированием защиты пользовательских данных, а также обзор основных технологий, применяющихся для решения проблем приватности данных. В третьей главе будут подробно рассмотрены решения, обеспечивающие приватность пользовательских данных. Для них будут выявлены критерии эффективности и будет проведена оценка решений по этим критериям.

Глава 1. Основные положения и анализ отрасли

1.1 Основные понятия

Для начала нужно определиться с понятием децентрализованных информационных систем. Децентрализованные системы -- это тип информационных систем, архитектура которых предполагает хранение и/или обработку информации на разных серверах, взаимосвязанных между собой, которые идентичны по осуществляемым функциям [1].

Условная схема децентрализованной системы изображен на рисунке 1. Мы видим, что она имеет сразу несколько узлов (выделены темно-синим цветом на рисунке), каждый из которых соединен с центральным узлом [1]. Несмотря на то, что данная структура называется централизованной, в ней все равно присутствует центральная система (изображена на рисунке черным). Примером такой системы может быть MDM система в организации, которая является точкой соединения для различных корпоративных приложений, под которые, как правило, выделяется отдельных сервер.

Рисунок 1. Схема строение децентрализованных систем. Источник: Централизованные и децентрализованные системы [1]

В статье Centralized versus Decentralized Information Systems приводятся следующие преимущества децентрализованных систем [2]:

1. Гибкость конфигурации. Под каждое приложение можно будет более гибко и оптимально настраивать сервер и ресурсы.

2. Позволяет более гибко реагировать на изменения в ИТ. Например, перестроить отдельно взятый сервер на новые стандарты проще, чем всю ИТ-инфраструктуру организации.

3. Повышение отказоустойчивости. Выход из строя одного из серверов менее критичен, чем отключение единого сервера организации. Более того, децентрализации снижает нагрузку на серверы и делает ее более предсказуемой.

Существует также распределенная структура -- это, на сегодняшний день, самый децентрализованный подход к проектированию систем (рисунок 2). В этой архитектуре все узлы в сети равны между собой и выполняют одноранговые задачи [3]. В качестве примера можно привести P2P - сети, где каждый узел в сети предоставляет в общий доступ свои вычислительные ресурсы для других узлов.

Рисунок 2. Схема строения распределенных систем. Источник: Централизованные и децентрализованные системы [1]

Под децентрализованными системами могут также пониматься системы, которые представляют собой структуру из множества централизованных систем, которые интегрированы между собой и принадлежат разным организациям или различным центрам ответственности в рамках одной организации. Примером такой структуры можно привести ситуацию, когда организация собирает анкеты о своих клиентах в базе данных, а затем предоставляет эти данные подрядчику, чтобы он, к примеру, провел статистический анализ данных.

Однако такие системы имеют недостаток с точки зрения приватности персональных данных, так как в децентрализованной системе сложнее обеспечивать конфиденциальность и контроль данных ввиду того, что разные пользователи имеют разный доступ к разным данным, а также данные часто передаются между узлами сети.

Что входит в понятие персональных данных? В General Data Protection Regulation (GDPR) персональные данные определяются как любая информация, касающаяся конкретного физического лица, такая как имя, идентификационный номер, данные о местоположении, или информация об признаках физического, физиологического, генетического, психического, экономического, культурного или социального характера этого физического лица [4].

Данная работа будет сфокусирована на проблеме приватности данных в медицинских организациях, поэтому необходимо определить, что входит в понятие персональных данных в медицине. Американский стандарт защиты персональных медицинских данных HIPPA определяет их как идентифицирующую информацию, включающую [5]:

· Информацию о прошлом, текущем или будущем физическом или психологическом состоянии здоровья человека

· Информацию об оказанных человеку медицинских услугах

· Прошлую, текущую или будущую платежную информацию за медицинские услуги

· Демографическую информацию человека

· Всю личную идентифицирующую информацию, включенное в стандартное понимание персональных данных

С точки зрения законодательства персональные данные должны быть тщательно охраняемыми со стороны организаций, которые проводят их обработку или хранение, то есть должна обеспечиваться приватность. Приватность данных -- это аспект информационных технологий, который касается способности организации или отдельного лица определять, какие данные в компьютерной системе могут быть переданы третьим лицам [4].

Компании должны в должной степени обеспечивать приватность данных для клиентов, как с точки зрения несанкционированных внутренних или внешних атак, так и с точки зрения соблюдения соответствующих регламентов и законодательства, и недопущения злоупотребления подобными данными.

1.2 Анализ медицинской отрасли

Отрасль здравоохранения является одной из самых важных сфер деятельности, так как подавляющее большинство людей регулярно пользуются ее услугами, будь то посещение стоматолога или покупка препаратов от простуды в аптеке. Именно поэтому, данная сфера является критичной с точки зрения обеспечения приватности данных.

Системы здравоохранения отличаются характеристиками в зависимости от страны юрисдикции. Во-первых, система здравоохранения может различаться по источникам финансирования, среди которых существует несколько следующие [6]:

? бюджетная - источником финансирования выступает общее налогооблажение. Имеет стабильный уровень финансирования, однако эта модель не позволяет выработать у граждан индивидуальную ответственность за свое здоровье, а также мешает развитию конкуренции между медицинскими учреждениями.

? социальное медицинское страхование - финансируется за счет взносов государства, работодателя и работника. Предусматривает солидарную ответственность всех участников процесса, а также позволяет стимулировать конкуренцию между медицинскими учреждениями.

? частное медицинское страхование - финансируется за счет добровольных взносов работников и работодателей

? накопительные счета - финансирование осуществляется только за счет работников

Во-вторых, системы здравоохранения могут отличаться по степени централизации. Децентрализация систем здравоохранения подразумевает отход от централизованного контроля за принятием решений и сокращение расстояния до потребителя услуг. Многие страны приступили к процессу децентрализации своих систем здравоохранения в качестве средства повышения их оперативности и эффективности [В результате децентрализации государство разделяет свои полномочия в здравоохранении с частными организациями или своими подотчетными структурами, что позволяет сделать систему здравоохранения более гибкой. Переход к децентрализации в системе здравоохранения представляет собой очень трудоемкий процесс, потому что подобные изменения должны сопровождаться законодательными изменениями, а также выработкой методологии лицензирования частных поставщиков медицинских услуг [7].

В нашей стране система здравоохранения начала проявлять черты децентрализации с начала 21 века, когда в 2004 году были введены платные медицинские услуги [8]. Изначально частная медицина была представлена преимущественно стоматологическими услугами, но со временем появились многопрофильные клиники, а сегодня уже существуют онлайн клиники. Сегодня частная медицина активно поддерживается государством. Об этом говорит участие коммерческих медицинских учреждений в программе обязательного медицинского страхования [9].

Здравоохранение РФ можно охарактеризовать как децентрализованную систему социального страхования. Во-первых, частные клиники могут выполнять весь спектр задач, возложенных на государственные, так как государство делегирует свои полномочия частным клиникам. Во-вторых, в системе здравоохранения в РФ присутствует как обязательное медицинское страхование, которое оплачивается в большей степени государством, так и опция дополнительного страхования, которое финансируется за счет работодателей и работников.

В данной работе я считаю целесообразным сфокусироваться на коммерческой медицине, потому что, как указано выше, именно частная платная медицина последнее время набирает обороты, и если государственных учреждениях конфиденциальность данных регулируется центральной властью, то в коммерческих учреждениях, скорее всего, этому аспекту уделяется меньшее внимание. Вторым фактором важности рассмотрения именно частной медицины является то, что компании больше нацелены на повышение коммерческий эффективности и активно могут интегрировать информационные технологии в свои процессы, которые, в свою очередь создают потребность в применении средств защиты данных.

1.3 Характеристика рынка частной медицины в России

Чтобы лучше разобраться в специфике отрасли нужно понять сложившуюся на рынке обстановку и тренды. Для этой цели были проанализированы аналитические отчеты компаний, проводивших исследования рынка платной медицины.

1.3.1 Общая ситуация на рынке

Компания KPMG в своем исследовании утверждает, что рынок частной медицины в России продолжает расти в среднем на 5,9% [10], а по данным РБК с 2005 года рынок платных медицинских услуг в России вырос в 3 раза (рисунок 3) [11].



Рисунок 3. Динамика роста рынка платной медицины. Источник: РБК [11]

В таблице 1 представлена подробная информация о соотношении частной и государственной медицины за последние пять лет по данным Федеральной службы государственно статистики РФ [12].

Таблица 1. Количество медицинских учреждений по форме собственности. Источник: Федеральная служба государственной статистики РФ [12]

Форма собственности	2014	2015	2016	2017	2018
Государственная	20 377	21 734	21 585	21 725	21 881
Частная	21 546	21 188	23 133	22 628	23 541
% частной медицины	51%	49%	51%	50%	52%

В этой таблице мы видим, что доля частной медицины за последние пять лет не имела значимых изменений, в то время как общее количество учреждений здравоохранения росло, при этом учреждения частной и государственной медицины делят рынок примерно пополам. Это говорит о том, что сеть медицинских учреждений в стране становится более плотной.

Компания Ernst & Young в своем исследовании выявила факторы роста рынка медицинских услуг с помощью опроса представителей частных медицинских клиник. Особую значимость имеют такие факторы, как снижение доступности медицинских услуг в государственных учреждениях, рост спроса на медицинские услуги, а также рост доходов населения [13]. Информация о роли прочих факторов приведена на рисунке 4.

Рисунок 4. Факторы роста медицинской отрасли. Источник: Ernst & Young [13]

В России наблюдается устойчивый тренд к снижению доли теневого рынка. По данным РБК на состояние 2005 года его доля составляла 50%, а уже к 2016 году этот показатель сократился до 22% [11]. Подробную информацию о доле теневого рынка можно найти на рисунке 5.

Рисунок 5. Доля теневой медицины. Источник: РБК [11]

В теневой рынок входят деньги, уплаченные врачам напрямую за какие-либо услуги. Такая тенденция может объясняться тем, что постепенно некоторые бесплатные услуги становятся платными, делая невыгодным для потребителя теневые платежи.

Данная статистика говорит о том, что на рынке складывается положительная ситуация. Наблюдается рост количества учреждений здравоохранения, как частных, так и государственных. Популярность платных медицинских услуг возрастает - об этом свидетельствует повышение объема рынка. И наконец, доля теневой медицины заметно снизилась за последние 10 лет, что позволяет медицинским организациям увеличивать свою прибыль.

1.3.2 Конкуренция

Децентрализация системы здравоохранения создает возможность для частных компаний начать предоставлять услуги в области здравоохранения. Однако, при выходе на рынок следует учесть некоторые факторы, например конкуренцию. Рынок частных медицинских услуг имеет относительно небольшой порог вхождения для учреждений, осуществляющих профильные услуги. Мы видим, сколько существует различных мелких стоматологических клиник и прочих специализированных учреждений на рынке, особенно в Москве и МО. В исследовании компании Ernst & Young, посвященном анализу тенденций на рынке частных медицинских услуг, утверждается, что конкуренция в этой сфере продолжает нарастать и обусловлена, первую очередь, такими факторами, как расширение спектра услуг, усиление ценовой конкуренции и появление новых игроков на рынке [13]. Эти и прочие тенденции, влияющие на конкуренцию, отображены на рисунке 6.

Рисунок 6. Факторы влияющие на конкуренцию. Источник: Ernst & Young [13]

Однако, государственные медицинские учреждения тоже оказывают значительное влияние на состояние конкуренции: 56% респондентов указали, что видят в государственных клиниках потенциальных конкурентов [13]. Это связано с тем, что государственные учреждения провели техническую модернизацию в рамках государственной программы переоснащения больниц. Бюджетное финансирование позволяет государственным клиниках устанавливать более низкие цены на свои услуги, делая их более привлекательными для потребителей.

В целом рынку наблюдается рост уровня конкуренции - в таблице 1, составленной на основе данных Федеральной службы государственной статистики РФ, мы видим, что с 2014 года намечается тренд роста количества медицинских учреждений [12].

Таблица 2. Прирост количества медицинских учреждений в России. Источник: Федеральная служба государственной статистики РФ [12]

Параметр	2014	2015	2016	2017	2018
Численность медицинских учреждений, тыс.	42,4	43,3	45,2	44,9	46
Прирост к предыдущему году		2,2	4,3	-0,7	2,4

Приведенные выше характеристики говорят о положительной динамике на рынке коммерческой медицины и позволяют сделать вывод о том, что в будущем, роль частной медицины скорее всего усилится, а услуги, которые ранее предоставлялись бесплатно, будут предоставляться на коммерческой основе.

1.4 Проблемы приватности данных в отрасли

1.4.1 Состояние безопасности пользовательских данных в медицинских учреждениях

Медицинские организации хранят большие объемы конфиденциальных данных, касающихся здоровья людей, однако они далеко не всегда обеспечивают должную степень безопасности для данных. Медицинские данные, кроме того, что являются очень чувствительными, обладают высоким спросом на рынке. По данным компании Trend Micro, предоставляющей решения в области информационной безопасности, целая один только номер социального страхования США можно продать за $1, в то время как целую базу данных можно реализовать за $500 000 на нелегальном рынке [14]. Этот фактор делает медицинские записи очень желанными со стороны злоумышленников.

По данным аналитического агентства InfoWatch, За 2017 год в мире произошло 370 утечек персональных данных из медицинских учреждений, 48% из которых произошли из-за человеческой ошибки [15]. По сравнению с данными 2016 года число утечек снизилось почти на 8%. Это объясняется тем, что после утечек в 2015 годах клиники США всерьез задумались о мерах информационной безопасности - за тот год в сеть утекло более 113 миллионов записей с медицинскими данными [16]. Однако количество утечек за 2018 год резко увеличилось и достигло 429 случаев по всему миру [17].

По данным InfoWatch в подавляющем большинстве атак замешаны сотрудники компаний, которые умышленно или случайно способствуют утечкам данных (Рисунок 7).

Рисунок 7. Инициаторы утечек данных. Источник: InfoWatch [15]

Мы видим, что в России все утечки происходят по вине персонала, в то время как по миру только в 70% утечек фигурируют сотрудники компаний. Этот факт говорит о том, что медицинские компании должны уделять внимание контролю доступа персонала к пользовательской информации.

Что касается источников утечек данных, то по статистике около 50% утечек данных происходят через сеть, например через браузер или облако (Рисунок 8).

Рисунок 8. Источники утечек данных. Источник: InfoWatch [15]

Из этой сводки мы видим, что для России самыми распространенными источниками утечки информации являются сеть - 52,4%, бумажные документы - 23,8% и текстовые сообщения - 19%. В мировой практике утечки через текстовые значительно ниже, но велика доля такого источника, как электронная почта - 18,8%. Факт того, что доминирующая доля утечек приходится на сеть, говорит о том, что медицинским учреждениям необходимо внедрять решения по защите персональных медицинских данных при их хранении и передаче.

1.4.2 Используемые информационные технологии

Как мы уже выяснили, отрасль здравоохранения представлена множеством различных медицинских организаций: государственные учреждения, страховые компании, частные профильные и многофункциональные клиники и стартапы в области медицины.

Чтобы обеспечить себе конкурентное преимущество, частные компании должны сделать свои основные бизнес-процессы более эффективными с точки зрения стоимости, скорости и точности. Для решения этой задачи используются различные информационные системы, в том числе: системы электронных медицинских карт, системы электронной записи на прием к врачу, CRM-системы, аналитические системы и т. д. [18].

Подобные решение помогают значительно упростить процессы, избавляя врачей от значительной части бумажной работы, позволяя им сфокусироваться на своей основной деятельности, однако, все вышеперечисленные системы содержат большое количество персональных данных, что создает угрозы для приватности данных пациентов.

В книге «Health Care Information Systems: A Practical Approach for Health Care Management» подробно описывается история медицинских ИС, их назначение и развития [18]. Для понимания общей картины используемых технологий, на основании информации из книге была построена таблица 3, в который описаны МИС и оценена чувствительность данных, которые хранятся в подобных системах.

Таблица 3. Информационные системы, используемые в медицине. Источник: Health Care Information Systems: A Practical Approach for Health Care Management [18]

Тип ИС	Описание	Чувствительность данных
Электронные медицинские карты (ЭМК) [	Представляют собой цифровые аналоги обычных медицинских карт и историй болезни пациентов. В отличие от бумажной карты, электронная карта может быть одновременно доступна и врачу и пациенту, обеспечивает полноту и корректность данных, снижает вероятность ошибки врача [19].	Высокая - содержится идентифицирующая информация о диагнозах, лечении и состоянии здоровья
CRM системы	Маркетинговый инструмент для клиник, позволяющий отслеживать активность клиента, сегментировать клиентов, осуществлять бюджетирование и увеличивать полезность маркетинговых мероприятий. Обычно подобные системы содержат идентифицирующую, платежную и анкетную информацию о клиентах [20].	Средняя - может содержать информация о записи на прием или платежная информация
Системы интеллектуального анализа данных	Системы, выполняющие алгоритмы машинного обучения или анализа больших объемов неструктурированных данных, обрабатывающие медицинские записи, с целью создания инструментов, увеличивающих точность диагностики или предсказывающих возможные заболевания [21].	Высокая - содержится идентифицирующая информация о диагнозах, лечении и состоянии здоровья
Порталы пациента	Порталы позволяют пациенту вести свои личные данные в системе клиники, получать консультации, записываться на прием к врачу, а также хранить свою персональную информацию о здоровье. Такими система пользуются онлайн-клиники и системы телемедицины. Подобные решениях хранят большое количество чувствительных персональных данных [22].	Высокая - содержится идентифицирующая информация о диагнозах, лечении и состоянии здоровья, а также платежная информация и история записи на прием
Системы телемедицины	Данные системы помогают предоставлять медицинскую помощь на расстоянии с помощью коммуникационных технологий [23].	Высокая - содержится идентифицирующая информация о диагнозах, лечении и состоянии здоровья
Финансовые и вспомогательные системы	Системы, служащие для финансового учета и различных административных задач, таких как запись на прием, планирование загрузки на врачей [18]	Средняя - может содержать информация о записи на прием или платежная информация

Как мы видим, большинство систем имеют высокую чувствительность хранимых персональных данных, так как они хранят информацию о здоровье людей. Среднюю чувствительность имеют CRM и финансовые вспомогательные системы, так как они поддерживают такие функции как маркетинг, финансовый учет и административную деятельность и не содержат данных о заболеваниях или лечении.

Подобные системы могут иметь централизованную или децентрализованную структуру, включая развертывание в облаке. Способы развертывания систем напрямую зависят от размера организации, а также от разбросанности сети филиалов [24]. Таким образом, если мы говорим о специализированной клинике, которая имеет несколько филиалом по одному городу, то вполне можно обойтись централизованной ИС с использованием ограничений доступа.

Если мы имеем сеть крупных клиник, то здесь уже есть потребность в децентрализации среды выделяя, например, для каждого филиала отдельный сервер, который будет синхронизирован с центральной средой. Однако использование такого подхода обходится дороже, например, из-за лицензионных ограничений. Поэтому, компаниям приходится искать баланс между безопасностью пользовательских данных и расходами на ИТ-инфраструктуру.

1.5 Основные причины проблем приватности данных

В предыдущих разделах мы рассмотрели статистику утечек информации в медицинской отрасли и основные информационные системы, используемые в медицинской отрасли. Теперь рассмотрим основные причины, которые вызывают угрозы приватности медицинских данных в подобных системах, выявленные при анализе утечек данных в медицинской отрасли.

1.5.1 Данные распределяются между несколькими организациями

На практике распространены ситуации, когда информационные системы организаций взаимодействуют друг с другом, обмениваясь при этом персональными данными для выполнения взаимных обязательств. При этом угроза приватности данных увеличивается, так как количество источников, в которых хранится персональная информация увеличивается и ее становится сложнее контролировать.

Примером этого может служить инцидент компании Doc+, который произошел 2 месяца назад: была найдена незащищенная база ClickHouse (аналитическая СУБД от Яндекс, предназначенная для обработки структурированных больших данных), которая хранила логи запросов к серверу, содержащие личные данные и ключи авторизации [25].

Данная ситуация говорит о том, что, когда медицинские организации отправляют данные в сторонние организации или системы, они теряют контроль над этими данными. Поэтому, при передаче данных сторонней организации, медицинские компании должны быть уверены в том, что данные будут надежным образом защищены.

1.5.2 Низкий уровень шифрования

На сегодняшний день далеко не все компании используют шифрование для персональных данных клиентов, что делает их весьма уязвимыми с точки зрения приватности. В исследовании Ponemon Institute, которое рассматривает глобальные тренды шифрования, было выявлено, что только 43% компаний из более чем 5000 исследованных имеют строго определенные корпоративные стратегии шифрования данных [26]. Это говорит о том, что с высокой долей вероятности сервис, которым вы пользуетесь не предоставляет должной защиты вашей информации и она может быть скомпрометирована.

Более того, при анализе утечек данных в медицине было выявлено, что более 50% утечек происходит через сеть, а это свидетельствует о том, что персональные медицинские данные не защищаются криптографическими алгоритмами при хранении и передаче.

Однако, исходя из того же исследования, следует отметить, что наблюдается положительный тренд в развитии шифрования. На диаграмме 1 изображена динамика развития шифрования в топ-4 отраслях по темпу его роста. Самым быстрым темпом развития шифрования обладает медицинская отрасль (рост составил 13% по сравнению с предыдущими шестью годами), за ней идут ритейл и FMCG, финансы и производство.

Рисунок 9. Темп роста популярности шифрования по отраслям. Источник: Ponemon Institute [26]

Высокий рост шифрования в здравоохранении может объясняться тем, что в последнее время появляется множество Digital-проектов в этой сфере: от онлайн-клиник, до различных предиктивных систем, которые используя машинное обучение способны предсказывать заболевания и с высокой точностью проводить диагностику.

1.5.3 Проблемы авторизации и управлениями правами доступа

Иногда компании слишком мало внимания уделяют разграничению прав доступа между пользователями системы или же наоборот, используют слишком сложную систему прав доступа. При анализе утечек информации было выявлено, что доминирующая часть утечек происходит из-за действий внутренних пользователей - может произойти инцидент, при котором будут выдаваться некорректные или избыточные права доступа к данным.

Для решения подобных уязвимостей в основном используются решения, позволяющие администрировать групповые политики для пользователей и назначать соответствующие права и ограничения, создать иерархию пользователей, конфигурируя для них индивидуальные или групповые настройки [27]. При этом важно контролировать доступ как клиентов медицинских учреждений, так и сотрудников.

1.5.4 Высокая сложность IT-инфраструктуры

В современных компания информационная инфраструктура может состоять из более чем десятка информационных систем, служб или сервисов, которые взаимосвязаны и непрерывно обмениваются данными между собой. При повышении сложности инфраструктуры становится сложнее ее контролировать ее целостность и оценивать риски безопасности, а также увеличивается количество потенциально уязвимых точек, через которые злоумышленники могут получить доступ к пользовательской персональной информации [28].

Выводы

Рынок медицинских услуг стабильно развивается - ежегодно открываются новые учреждения, а существующие клиники расширяют спектр услуг. В целом стране намечается тренд перехода к доминированию платных медицинских услуг. Мы видим, что сегодня существует большой выбор технических решений для цифровизации медицины и клиники постепенно внедряют информационные системы.

Однако, это создает дополнительные угрозы для потребителей с точки зрения безопасности их данных. Мы видим, что клиники, в настоящее время, не могут обеспечивать должной приватности персональным данным клиентов - об этом говорит статистика утечек, в которой до 2019 года не наблюдалось устойчивого тренда к их снижению. В медицинской отрасли высока доля утечек по вине сотрудников организаций. Самым распространенным каналом утечки является сеть.

Угрозы безопасности возникают из-за таких причин, как отсутствие или низкий уровень шифрования, недостаточный контроль доступа, высокая сложность ИТ-инфраструктуры. Более того, большой риск приватности данных вызван передачей пользовательской информации между несколькими организациями.

Глава 2. Регулирование защиты пользовательских данных и технические средства ее обеспечения

В данной главе анализируются основные современные нормы права, которые применяются в области обеспечения приватности пользовательских данных, а также рассматриваются технические решения, обеспечивающие защиту данных.

Общие стандарты защиты данных

Когда возникает потребность в установлении определенных рамок в конкретной деятельности, то в первую очередь, мы должны создать такие правила, которые должны будут неуклонно выполняться всеми участниками. Основным видом таких правил являются законы, предписывающие определенные модели поведения и предполагающие санкции за их нарушение. В связи с этим, необходимо рассмотреть основные НПА и их влияние на бизнес.

Учитывая, что предоставление медицинских услуг переходит в цифровой формат, стало необходимым, чтобы пользовательская медицинская информация была защищена таким образом, чтобы минимизировать риск ее потери или компрометации. Законодательство в этом процессе играет ключевую роль, закрепляя основные принципы защиты данных. Далее приводится анализ норм права на территории Европейского Союза и России при помощи рассмотрения таких законов, как GDPR и ФЗ-152 «О персональных данных».

GDPR

GDPR был создан Европейским парламентом в 2016 году после четырех долгих лет переговоров и обсуждения особенностей политики. Регламент был разработан как попытка внедрить современный подход к цифровой безопасности в Европе [4]. Цель состоит в том, чтобы предоставить гражданам ЕС более надежный контроль над личной информацией, которой они обмениваются в Интернете, и уравнять все государства в ЕС в вопросе приватности данных.

Основные положения и принципы

В первую очередь, GDPR вводит понятие следующих субъектов правоотношений:

? Контроллер данных -- это сторона, которая определяет, для каких целей будут обрабатываться персональные данные и как должна выполняться обработка.

? Обработчик (процессор) данных -- это сторона, которая обрабатывает персональные данные от имени и по указанию контроллера данных.

? Уполномоченный по защите данных (DPO - Data protection officer) - этот человек несет ответственность за надзор над стратегией защиты данных и обеспечение соблюдения компанией требований GDPR.

Требования GDPR предусматривают повышение ответственности контроллеров и процессоров данных за обработку и защиту персональных данных физических лиц. Благодаря этому закону теперь существует несколько условий, касающихся обработки персональных данных, созданых для обеспечения законной и прозрачной обработки данных.

Для того чтобы квалифицировать правомерность обработки персональных данных закон вводит шесть основных критериев законности обработки данных [GDPR, Статья 6.1.]:

1. Получено согласие субъекта данных на их обработку

2. Обработка персональных данных необходима для исполнения договора, заключенного с субъектом данных

3. Обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер

4. Обработка необходима для защиты интересов субъектов

5. Обработка необходима для выполнения полномочий и обязательств, возложенных на контролера

6. Обработка необходима для соблюдения законных интересов контроллера, за исключением тех случаев, когда такие интересы превышают интересы или основные права и свободы субъекта данных.

Контроллер информации должен быть в состоянии доказать, что информация пользователя обрабатывалась в соответствии с одним из шести вышеуказанных пунктов. Однако пункт 6.1.с., на мой взгляд, довольно размыт, так как здесь не указано какого рода обязательство может быть у контроллера и перед кем.

GDPR закрепляет основные принципы обработки персональных данных, которыми должны руководствоваться контроллеры [GDPR, Статья 5]:

1. Данные должны обрабатываться законно и честно, с возможностью субъекта обозревать их использование.

2. Ограничение по целям - данные могут собираться и использоваться только с изначально заявленными и законными целями. Их дальнейшая обработка не должна им противоречить

3. Минимальный объем данных - контроллеры вправе запрашивать только минимальное количество данных, необходимых для осуществления целей обработки.

4. Точность данных - необходимо исправлять неточные данные или удалять устаревшие

5. Ограничение длительности хранения - данные, идентифицирующие пользователя, должны храниться не дольше срока необходимого для осуществления обработки данных. Исключением является архивирование данных для общественных, научных, исторических или статистических целей, при использование должной меры защиты персональных данных.

6. Обеспечение целостности и приватности - данные должны обрабатываться таким образом, чтобы была обеспечена защита от незаконной обработки, утери или компрометации данных

Настоящие принципы накладывают значительные требования к организациям, так как обеспечение большинства этих принципов требует внедрение решений, обеспечивающих информационную безопасность, что налагает значительные затраты на медицинские учреждения, особенно на мелкие специализированные клиники. Для выполнение данных требований необходимо выработать политику конфиденциальности, а также применять решения по защите данных, такие как шифрование и контроль доступа.

Как уже было сказано ранее, обработка персональных данных является законной с того момента, когда было получено согласие от субъекта данных. Статья 7 GDPR содержит требования к согласию на обработку.

Во-первых, контроллер данных должен быть в состоянии продемонстрировать это согласие. Во-вторых, форма согласия на обработку должна быть сформулирована понятным языком для любого пользователя, используя общедоступную терминологию.

В-третьих, субъект данных должен иметь отозвать согласие на обработку также легко, как его предоставить. При этом, обработка информации, осуществленная до отзыва согласия, считается законной, поэтому субъект должен быть об этом проинформирован заранее.

И наконец, отсутствие согласия не должно влиять на получение субъектом услуг или на выполнение контроллером договора. Допустим, если клиент заходит на сайт, и на нем появляется форма согласия, не позволяющая продолжить работу на странице, то такое согласие будет недействительным, так как вынуждает пользователя его принять.

Таким образом, требования Статьи 7 предписывают компаниям сделать процесс подтверждения согласия на обработку более прозрачным для субъекта данных и предоставляет пользователям больший контроль над своими данными.

Права субъектов данных

В GDPR значительное внимание уделяют закреплению за субъектами данных их прав на защиту информации. Закон закрепляет, что процесс обработки пользовательских данных должен быть прозрачен для субъекта, который имеет право запросить подробную информацию об обработке его данных. Кроме этих прав, субъект обладает еще несколькими важными правами:

? Право на исправление данных - закрепляет право за субъектом потребовать от контроллера исправления неточных персональных данных [GDPR, Статья 16]

? Право на забвение - субъект данных вправе потребовать удаления своих персональных данных, если персональные данные больше не требуются для целей обработки; если субъект данных отозвал свое согласие; субъект данных возражает против обработки; персональные данные обработаны незаконно [GDPR, Статья 17]

? Право на ограничение обработки - субъект может требовать ограничения обработки данных, если субъект заявляет, что данные неточные; если обработка данных является незаконной; контролеру не требуются эти данные для обработки [GDPR, Статья 18]

? Право на перенос данных - субъект вправе запросить у контроллера свои данные и передать их другому контроллеру без препятствий со стороны изначального контроллера [GDPR, Статья 20].

Эти права дают пользователю больший контроль над своими данными и ограничивают действия компаний с пользовательскими данными.

Требования к контроллерам и процессорам

Вместе с правами пользователей закон закрепляет обязанности организаций, осуществляющих обработку персональных данных. Кроме того, что компании должны быть способны доказать наличие соответствующего согласия на обработку и законность обработки, к ним предъявляется целый ряд жестких требований. GDPR предусматривает следующие требования к компаниям, работающим с пользовательскими данными:

? Защита данных по дизайну и по умолчанию - означает, что бизнес, должен осознавать существующие риски приватности данных и заранее предпринимать технические и организационные меры обеспечения безопасности данных [GDPR, Статья 25]

? Ограничение на вовлечение процессоров - в обработке данных могут участвовать только те процессоры, которые удовлетворяют требования GDPR. Процессор не имеет права, без уведомления контроллера, привлекать к обработке данных третьи лица. Процессор не имеет права обрабатывать данные без указания контроллера, если только этого не требуют сделать законы ЕС или страны ЕС [GDPR, Статья 28]

? Каждый контроллер и процессор должен вести регистр обработки данных, с указанием информации о контроллере, целях обработки, обработанных данных, а также информацию о получателях данных [GDPR, Статья 30]

? Контроллер и процессор должны применять технические решения, способные преодолеть риски потери или раскрытия персональных данных, а также проводить оценку этих рисков с целью обеспечения безопасности обработки [GDPR, Статья 32]

? Уведомления об утечках данных - контроллеры и процессоры должны оперативно уведомлять своих пользователей, а также органы надзора ЕС, о любых нарушениях приватности данных [GDPR, Статьи 33 и 35]

Надзорные органы

На территории каждого государства ЕС учреждены специальные органы, которые осуществляют задачи в сфере регулирования приватности данных [GDPR, Статья 51]. В их полномочия входят следующие действия [GDPR, Статья 58]:

· Требовать от контроллеров и процессоров, а также их представителей любой информации об обработке персональных данных, а также доступ к обрабатываемой информации

· Проводить ревизию защиты данных в организациях

· Проводить проверку сертификатов безопасности

· Уведомлять организации о подозрении их в нарушении GDPR

· Получать доступ ко всем помещениям организаций контроллеров или процессоров

Данные полномочия предоставляют надзорным органам все условия для подробного аудита работы с персональными данными, что позволяет им идентифицировать нарушения приватности пользователей и они уже в полную силу исполняют свои обязанности. Например, за 2018 год было зафиксировано около двухсот тысяч случаев нарушения конфиденциальности и выставлено штрафов на 56 миллионов евро [29].

ФЗ-152 О персональных данных

Данный закон вступил в силу в 2006 году и получил значительные правки в 2017 году. Он весьма схож с GDPR по основным положениям, однако в некоторых местах есть расхождения, поэтому целесообразно сделать сравнительных анализ ФЗ-152 [30] и GDPR, вместо того чтобы описывать его полностью.

Таблица 4. Сравнительный анализ GDPR и ФЗ-152. Источник: Тексты законопроектов GDPR [5] и ФЗ-152 «О персональных данных [30]

Критерий сравнения	GDPR	ФЗ-152	Комментарий
Цель	Защита прав и свобод человека при обработке его персональных данных	Оба акта одинаково определяют свою цель
Территориальная зона действия	Европейский союз и компании, осуществляющие деятельность на территории ЕС	Российская Федерация и компании, осуществляющие деятельность на территории РФ
Кто обрабатывает данные	Контроллер и процессор	Оператор - государственное, муниципальное, юридические или физическое лицо, организующее или осуществляющее обработку персональных данных.	В GDPR разделяют операторов на контроллеров и процессоров, так как контроллеры имеют более широкую зону ответственности
Принципы обработки ПД	Должна осуществляться законно и справедливо
	Данные должны собираться для заранее определенных целей.
	Закрепляет право использования данных с целью архивации для общественных целей [Ст. 6.9. ФЗ-152 и ст. 5.b. GDPR]
	Обработке подлежат только те данные, которые нужны для осуществления целей обработки [Ст. 5.c. GDPR и Ст. 5.4. ФЗ-152]
	Данные должны быть точными. Исполнитель должен принимать все меры для устранения их неточности (удаление, уточнение и корректировка) [Ст. 5.6. ФЗ-152 и статья 5.d. GDPR].
	Хранение данных в форме, позволяющей идентифицировать субъекта, должно осуществляться не дольше, чем того требуют цели обработки данных
Когда допускается обработка данных	Согласие субъекта данных [Ст. 6.1. ФЗ-152 и Ст. 6.a. GDPR].
	Если законом предусмотрено обязательство или полномочие оператора/контроллера проводить обработку данных [Ст. 6.2. ФЗ-152 и Ст. 6.с., 6.e. GDPR].
	Если обработку ПД предусматривает договор, заключенный с субъектом данных по его инициативе [Ст. 6.5. ФЗ-152 и Ст. 6.b. GDPR].
	Если обработка нужна для защиты жизненно важных интересов субъекта данных [Ст. 6.1. GDPR, Ст. 6.1. ФЗ-152].
	Если обработка ПД необходима для осуществления прав и интересов оператора/контроллера или третьих лиц, за исключением, если интересы или основные права и свободы субъекта данных являются более важными [Ст. 6.1. GDPR, Ст. 6.1. ФЗ-152].
		Если обработка ПД осуществляется в связи с участием лица в судопроизводстве [Ст. 6.1. ФЗ-152].
		Если обработка ПД необходима для исполнения полномочий органов власти [Ст. 6.1. ФЗ-152].
		Если обработка ПД необходима для осуществления деятельности СМИ [Ст. 6.1. ФЗ-152].
Согласие на обработку ПД	Оператор/контроллер должен иметь возможность продемонстрировать согласие пользователя [Ст. 9 ФЗ-152 и ст. 7 GDPR]
	Обработка информации после отзыва считается незаконной. [Ст. 7.3. GDPR]	В некоторых случаях обработка информации после отзыва считается легальной. [Ст. 9.2. ФЗ-152]
	Форма согласия на обработку должна быть сформулирована понятным языком для любого пользователя, используя общедоступную терминологию. [Ст. 7.2. GDPR]	ФЗ-152 не предъявляет особых требований к форме согласия
	-	Детально описывает обязательную информацию, которая должна быть включена в форму согласия на обработку ПД. [Ст. 9.4. GDPR]
Право на доступ к своим данным	Субъект ПД вправе требовать от оператора/контроллера информацию о том, как используются его данные, где хранятся и т. д. [Ст. 15 GDPR]	В ФЗ-152 есть ограничения на доступ к ПД, если обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности или если субъект ПД обвиняется в совершении преступления [Ст. 14.8 ФЗ-152]
Право на исправление данных	Субъект ПД вправе требовать исправить неточность в своих данных, ограничить обработку или требовать удаления устаревших или неполных данных [Ст. 14 ФЗ-152 и Ст.16 GDPR]
Право на получение копии данных	Субъект данных в праве запросить копию данных или перенос своих данных к иному контроллеру, а контроллер не должен препятствовать ее получению [Ст. 20 GDPR]	Законодательство РФ не предоставляет такой возможности
Право быть забытым	Субъект ПД вправе требовать удаления своих персональных данных, если персональные данные больше не требуются для целей обработки; если субъект данных отозвал свое согласие; субъект данных возражает против обработки; персональные данные обработаны незаконно [Ст. 17 GDPR]	Законодательство РФ не предоставляет такой возможности
Уведомление об утечках данных	Контроллеры должны уведомлять субъектов ПД, а также надзорный орган об утечках данных [Ст. 33-35 GDPR]	В российском законодательстве такого требования нет
Требования к информационной защите	Операторы/контроллеры/процессоры должны предпринимать технические, организационные и правовые меры для защиты информации от внешних и внутренних угроз [Ст. 32 GDPR и Ст. 19 ФЗ-152]	В GDPR предусмотрена защита данных по дизайну - контроллер всегда должен знать какие действия ему нужно предпринять для обеспечения безопасности данных на всех этапах работы с данными
Регистр обработки данных	Контроллеры и процессоры должны вести регистр обработки ПД [Ст. 30 GDPR]	Оператор должен уведомить уполномоченный орган об обработке ПД, но к регистру требований нет [Ст. 22 ФЗ-152]
Обязанность предоставить субъекту ПД отчет об использовании данных	В обоих актах организации обязаны предоставлять субъекту ПД подобную информацию по его запросу о том, как его данные были использованы. [Ст. 18.3 ФЗ-152 и Ст. 15.1. GDPR]
Сотрудник по защите данных	GDPR требует наличие специального сотрудника в компании, который должен консультировать контроллера и процессора по вопросам обработке персональных данных [Ст. 37 GDPR]	-
Надзорный орган	Осуществляет инспекцию и коррекцию деятельности организаций по обработке ПД, а также выполняет консультирующие функции [Ст. 58 GDPR]	Помимо функций своего европейского аналога выполняет карательные функции, включая возбуждение уголовных и административных дел [Ст. 23 ФЗ-152]
Санкции	от 2% до 4% годового оборота компании или от EUR 10 000 000 до EUR 20 000 000 в зависимости от нарушенной статьи	За нарушение ФЗ-152 компания может быть оштрафована на сумму от 15 000 до 75 000 рублей	Разница в размере штрафа говорит о том, как оценивается конфиденциальная информация в России и в ЕС

Из этого сравнения видно, что российское законодательство отстает по сравнению с GDPR. Во-первых, в ФЗ-152 отсутствуют важные права субъектов и обязанности операторов, которые критичны для обеспечения прозрачности и безопасности в области регулирования приватности пользовательских данных - в ФЗ-152 нет закрепленных прав субъекта данных на забвение, на получение копии данных, а также ограничено право на доступ к своим данным. Дополнительно, закон разрешает обработку персональных данных без согласия, если ведется судопроизводство в отношении субъекта или нужна для осуществления деятельности органов власти, что, на мой взгляд, противоречит цели закона.

Во-вторых, GDPR предъявляет к контроллерам и процессорам требование, чтобы при обработке данных обеспечивалась приватность по дизайну и приватность по умолчанию. Эти требования заключаются в том, что обработка персональных должна быть спроектирована и настроена таким образом, чтобы обеспечивалась безопасность данным пользователей.

В-третьих, мы видим огромную разницу в штрафах, которые налагаются за нарушения и в GDPR их размеры значительно больше, чем в ФЗ-152. На мой взгляд, это говорит о том, насколько серьезно GDPR намерен отстаивать права субъектов данных, в то время как ФЗ-152 предусматривает лишь символические штрафы от 15 000 до 75 000 рублей.

Все вышеперечисленные факторы говорят о том, что ФЗ-152 значительно слабее, чем его западный аналог. Более того, в данный момент инновационным центром «Сколково» был предложен документ, который вносит правки в закон о персональных данных [31]. Например, в нем предлагается внести изменения в статью 10, которое позволяет обрабатывать данные, касающиеся здоровья, без согласия субъекта данных в случаях, установленных федеральными законами, актами Президента Российской Федерации или Правительства Российской Федерации. Это говорит о том, что российское законодательство двигается в противоположном направлении от европейского курса.

...