Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nieuprawniony dostęp do dokumentacji medycznej to incydent bezpieczeństwa i naruszenie ochrony danych, w którym pracownik lub współpracownik placówki ochrony zdrowia przegląda rekordy pacjenta bez uzasadnionej potrzeby służbowej. W praktyce oznacza to naruszenie poufności jednych z najbardziej wrażliwych informacji, obejmujących dane identyfikacyjne, historię leczenia, wyniki badań, informacje o stanie zdrowia oraz relacje rodzinne.
W środowisku medycznym problem ma szczególne znaczenie, ponieważ dostęp do elektronicznej dokumentacji jest szeroko rozpowszechniony między personelem klinicznym, administracyjnym i pomocniczym. Sama techniczna możliwość otwarcia rekordu nie daje jednak prawa do jego przetwarzania.
W skrócie
Brytyjski organ nadzorczy ds. ochrony danych przypomniał pracownikom ochrony zdrowia, że dostęp do kart pacjentów musi być ściśle związany z wykonywanymi obowiązkami. Ostrzeżenie pojawiło się po kolejnych sprawach dotyczących przeglądania dokumentacji bez ważnego uzasadnienia biznesowego.
Tego typu incydenty nie wymagają zaawansowanego ataku zewnętrznego. Najczęściej wynikają z nadużycia legalnych uprawnień przez insidera, co dla organizacji oznacza jednocześnie ryzyko regulacyjne, prawne, operacyjne i reputacyjne.
Kontekst / historia
Sektor ochrony zdrowia od lat znajduje się pod presją z dwóch stron. Z jednej jest regularnym celem ransomware, kradzieży danych i kampanii wymierzonych w infrastrukturę krytyczną. Z drugiej nadal mierzy się z naruszeniami powodowanymi przez użytkowników wewnętrznych, którzy wykorzystują prawidłowe poświadczenia do działań wykraczających poza zakres obowiązków.
Przypadki nieuprawnionego wglądu w rekordy pacjentów są często związane z ciekawością, relacjami osobistymi, próbą sprawdzenia danych znajomych lub członków rodziny, a także z błędnym rozumieniem własnych uprawnień. Regulatorzy konsekwentnie podkreślają, że zasada „need to know” musi być egzekwowana równie rygorystycznie jak zabezpieczenia chroniące przed cyberatakami z zewnątrz.
Analiza techniczna
Z perspektywy bezpieczeństwa jest to klasyczny przykład zagrożenia typu insider threat. Użytkownik działa na legalnym koncie, z autoryzowanego urządzenia i zazwyczaj w ramach prawidłowej sesji w systemie EHR, HIS lub innym repozytorium danych medycznych. Z tego powodu tradycyjne kontrole, takie jak firewall, antywirus czy filtrowanie poczty, zwykle nie wystarczają do wykrycia nadużycia.
Kluczowe stają się mechanizmy pozwalające analizować kontekst dostępu i wykrywać anomalie. Organizacje powinny monitorować nie tylko sam fakt logowania, ale również to, jakie rekordy były otwierane, przez kogo, kiedy i w jakim celu. Istotne jest też ustalenie, czy dane zostały jedynie wyświetlone, czy także eksportowane, drukowane albo przekazane dalej.
- szczegółowe logowanie dostępu do dokumentacji pacjentów,
- korelacja zdarzeń z rolą użytkownika i zakresem obowiązków,
- alertowanie o nietypowych wzorcach przeglądania danych,
- okresowe przeglądy i recertyfikacje uprawnień,
- audyty dostępu do rekordów szczególnie wrażliwych,
- mechanizmy „break glass” z obowiązkowym uzasadnieniem awaryjnego dostępu.
Skuteczna obrona wymaga kontroli kontekstowych. Systemy powinny wychwytywać sytuacje, w których użytkownik przegląda rekord osoby spoza przypisanego oddziału, bez aktywnego epizodu leczenia, poza standardowymi godzinami pracy albo seryjnie otwiera dokumentację wielu pacjentów bez wyraźnego powodu operacyjnego. To właśnie takie wzorce często wskazują na nadużycie legalnych uprawnień.
Konsekwencje / ryzyko
Nieuprawniony dostęp do danych medycznych wykracza daleko poza problem dyscyplinarny. Dla placówki może oznaczać postępowanie regulatora, sankcje finansowe, obowiązki notyfikacyjne, koszty dochodzenia wewnętrznego oraz utratę zaufania pacjentów. Dla samych osób, których dane dotyczą, ryzyko obejmuje stres, naruszenie prywatności i możliwość wtórnego wykorzystania informacji zdrowotnych.
Z punktu widzenia cyberbezpieczeństwa najpoważniejsze jest to, że incydenty insiderowe bywają trudne do wykrycia i mogą przez długi czas pozostawać niezauważone. Jeśli organizacja nie analizuje wzorców użycia systemów, pojedyncze przypadki nieuprawnionego wglądu mogą przekształcić się w problem systemowy.
Rekomendacje
Placówki ochrony zdrowia powinny traktować nieuprawniony dostęp do dokumentacji jako pełnoprawny scenariusz bezpieczeństwa informacji. Wymaga to połączenia kontroli technicznych, nadzoru organizacyjnego oraz jasnej odpowiedzialności pracowników.
- egzekwowanie zasady najmniejszych uprawnień i dostępu opartego na roli,
- regularne recertyfikacje uprawnień użytkowników,
- pełne logowanie wszystkich operacji na dokumentacji medycznej,
- wdrożenie analityki UEBA lub podobnych mechanizmów wykrywania anomalii,
- alerty dla rekordów VIP i danych szczególnie wrażliwych,
- procedury „break glass” z obowiązkowym uzasadnieniem,
- szkolenia z zakresu prywatności, poufności i odpowiedzialności osobistej,
- szybkie procedury dochodzeniowe obejmujące HR, bezpieczeństwo i compliance,
- okresowe audyty losowo wybranych dostępów do rekordów,
- jasno komunikowane sankcje za nadużycie uprawnień.
Równie ważna jak technologia jest kultura organizacyjna. Personel powinien mieć pełną świadomość, że każda operacja w systemie pozostawia ślad audytowy, a dostęp do rekordu pacjenta musi być zawsze bezpośrednio powiązany z leczeniem lub inną legalną potrzebą operacyjną.
Podsumowanie
Ostrzeżenie skierowane do personelu medycznego pokazuje, że bezpieczeństwo danych zdrowotnych nie zależy wyłącznie od ochrony przed cyberprzestępcami z zewnątrz. Równie istotne jest ograniczanie ryzyka wewnętrznego oraz stała kontrola sposobu korzystania z systemów medycznych.
Dla organizacji oznacza to konieczność łączenia audytowalności, monitoringu, zarządzania tożsamością i regularnych szkoleń. W środowisku, w którym dane zdrowotne należą do najbardziej wrażliwych informacji, nawet pojedynczy nieuprawniony wgląd może stać się poważnym incydentem bezpieczeństwa i zgodności.
Źródła
- Health Adviser Fined After Illegally Accessing Medical Records – Infosecurity Magazine — https://www.infosecurity-magazine.com/news/adviser-fined-illegally-access/
- Secretary Fined For Accessing Scores of Patient Records – Infosecurity Magazine — https://www.infosecurity-magazine.com/news/secretary-fined-accessing-patient/
- ICO Probes Kate Middleton Medical Record Breach – Infosecurity Magazine — https://www.infosecurity-magazine.com/news/ico-kate-middleton-medical-breach/
- Kaiser Permanente staffer inappropriately accessed patient records, photos – Becker’s Hospital Review — https://www.beckershospitalreview.com/healthcare-information-technology/cybersecurity/kaiser-permanente-staffer-inappropriately-accessed-patient-records-photos/
- An Employee Accessed Patient Records Without Authorization — What Are My Obligations? – GuardWell Compliance — https://gwcomp.com/blog/employee-accessed-patient-records-without-authorization