Химич Роман (totaltelecom) wrote,
Химич Роман
totaltelecom

Category:

Безопасность медицинских данных как функциональный тест

История о беззащитности персональных данных, которые накапливаются eHealth-платформой, обрастает всё новыми деталями. Могу заверить всех причастных и любопытствующих, что не оставлю её, пока сюжет не придёт к логическому завершению. Логическим завершением я полагаю вариант, при котором МОЗ напрягает операторов МИС заделать дыры в процедурах аутентификации.

Данный сюжет особенно интересен мне потому что вместе с парочкой других историй является функциональным тестом для администрации Зеленского. Чтобы понять, чего именно стоит ожидать от "государства в смартфоне", достаточно посмотреть чем закончатся следующие сюжеты:

1. Проблема с персональными данными, которые накапливаются "платформой электронного здравоохранения". Обзор вопроса здесь.
2. Проблема с переходом на защищённые хранилища для ключей, которые используются для ЭЦП. Эмоциональная реплика на сей счёт здесь.
3. История с компрометацией дочернего предприятия Госспецсвязи, которое в 2016 году противоправно выпустило ключ для ЭЦП, зарегистрированный на Руслана Рябошапку, ныне зам.главы Офиса президента. Кратенько здесь.
Все эти сюжеты хороши тем, что не предполагают обычного для наших мест доооолгого развития. От силы пару месяцев и всё станет ясно. При этом каждый из них характеризует состояние дел в одном из важных аспектов цифровизации страны.

Сюжет №1 это про то, насколько важны и важны ли вообще для дигитализаторов соблюдение прав и свобод граждан, в частности, права на конфиденциальность чувствительной информации. Сюжет №2 это о том, есть ли у них воля делать всё по-человечески или же их вполне устроит нынешний самолёт из соломы. Наконец, №3 это про наличие у них воли решать политические вопросы политическими методами, а не городить околотехническую заумь, прикрывая свою импотенцию.
В общем, довольно скоро станет понятно кто есть ху.

А пока вернёмся к проблеме персональных данных в контексте реформ МОЗ.
В отчёте КГГА за 2018 год утверждается (стр. 93-94), что за отчётный период свыше 1,3 млн. человек воспользовались тремя МИС - Helsi, Medstar и "Поликлиника без очереди", - для взаимодействия с коммунальными медучреждениями. Как обстоят дела с безопасностью данных пациентов в МИС Helsi мы уже выяснили. Плохо обстоят, огромных размеров дыра в процедурах аутентификации пользователей.

А что же у конкурентов? Да всё то же. И Медстар, и "Поликлиника без очереди" позволяют получить пароль для входа, имея один лишь номер мобильной связи, который был использован на этапе регистрации. Как этот пароль получить я уже не буду пересказывать, ограничусь ссылкой на всеобъемлющий обзор аналогичной проблемы, от которой много лет страдают клиенты банковских учреждений.

Стоит подчеркнуть - речь идёт о весьма популярных решениях для самой что ни на есть массовой аудитории. В ноябре 2018 года оператор Helsi утверждал, что записывает на приём по 24 тысячи пациентов в день, обслуживая примерно половину коммунальных центров первичной медико-санитарной помощи в стране.

"Поликлиника без очереди" рапортует про 1,8 млн пациентов и 4800 врачей в 22 областях по состоянию на конец 2018 года. Создатели Медстар в марте 2019 года сообщали про запись 400 тыс. пациентов ежемесячно.
И все эти системы имеют одну и ту же общеизвестную уязвимость, которая предоставляет несложный, а в случае Helsi ещё и поддающийся автоматизации доступ к данным пациентов. Включая, естественно, и данные, составляющие врачебную (медицинскую) тайну. Как обстоят дела с безопасностью пациентских данных в прочих
МИС я не изучал. Предположу, что не отличаются.

В этом месте поднятые по тревоге фахивцы и фахивчыни по вопросам пеара пытаются неуклюже навести тень на плетень. Они утверждают, что через уязвимости в МИС невозможно получить доступ к медицинским данным, только лишь записаться на приём и всё такое. Мол, неприятно, конечно, но ничего критически важного злоумышленники не смогут в вашем личном кабинете найти. А поскольку-де для таких операций как запись к врачу важны простота и удобство, было решено использовать относительно уязвимые решения.
Это, конечно, жалкий лепет и неудачная ложь. Для начала, к медицинской тайне относится даже сам факт обращения к врачу. Такова, в частности, позиция МОЗ. Это вполне логично, поскольку визит к венерологу, например, или онкологу сам по себе является красноречивым фактом. Далее, как минимум до конца 2019 года в личных кабинетах МИС коммунальных и государственных учреждений не будет информации об анализах, диагнозах и прочих "по-настоящему" конфиденциальных данных, поскольку прямо сейчас подобные данные туда просто не вносятся. Сейф есть, но он, условно говоря, пустой. Но это же не повод утверждать, что "взлом этого сейфа не даст доступа к деньгам наших клиентов", да? Сегодня не даст, а завтра даст.
В целом стоит признать - МОЗ оказался не способен организовать решение более чем тривиальной задачи подготовки руководящих документов в сфере безопасности персональных данных, накапливаемых eHealth платформой. Ни найти людей, способных сочинить такого рода методичку самостоятельно, ни перевести на украинский язык один из множества имеющихся в мире документов. И дело, скорее всего не в обычной для Павла Ковтанюка нераспорядительности или непонимании важности защиты персональных данных.

Дело в том, что безопасность, как ни странно, не бывает бесплатной. Внедрение сколь-нибудь адекватных механизмов аутентификации потребовало бы денег. А платить в МОЗ не любят, зато очень любят на халяву.

Например, на халяву была проведена подписная кампания, когда 28 млн. деклараций были оформлены врачами без какой-либо дополнительной оплаты, не вместо, а после и по ходу своих штатных обязанностей. В том числе - очень часто, - во внеурочное время по причине неработоспособности этой самой eHealth платформы. МОЗ получил несколько миллионов человеко-часов на шару, прям как во времена наркома Семашко, с которым не покладая рук сражается.

Теоретически можно было бы возложить расходы по внедрению механизмов безопасности на операторов МИС, но здесь другая засада. Если верить Tim Badikov, оные операторы до сих пор ничего не зарабатывают на своей деятельности. МОЗ, по его словам, до сих пор не подготовил нормативную базу для коммерческих отношений коммунальных и государственных лечебных учреждений с операторами МИС и неизвестно когда подготовит. В такой ситуации далеко не все могли согласиться увеличивать свои издержки.

Аутентификация по номеру мобильного телефона устраивала всех как бесплатное и как-бы более-менее адекватное решение. Точно так же, как всех (не всех, конечно, но почти) устраивала и устраивает практика использования ключей для ЭЦП на флешках, компакт-дисках и т.п. "Будьте осторожны, аккуратны и ничего с вами не случится"
История с персональными данными очень-очень наглядно демонстрирует и позволяет, как мне кажется, объяснить даже самым упоротым Свидетелям Супрун почему Мать Реформ вызывает такое раздражение у самых разных людей, включая и меня, грешного

С первых её шагов в качестве руководителя МОЗ стало очевидно, что у мадам Ульяны не просто карт-бланш, но индульгенция. Причём не только у неё, но и всей команды, которую она завела в коридоры ведомства. Даже самые нелепые ошибки, в том числе с тяжёлыми последствиями вроде сюжета с сыворотками никак не отразились на позициях и.о. министра.

Если называть вещи своими именами, Ульяна Супрун и её команда четвёртый год демонстрируют дистиллированную безответственность. Безответственность порождает ощущение безнаказанности, безнаказанность провоцирует всё новые и новые эксцессы.
Отличная, кстати, иллюстрация к разговору, который несколько месяцев назад случился у меня с Oleksiy Honcharuk по поводу того, уместно ли говорить об ответственности Супрун и в чём конкретно эта ответственность заключается. Моя позиция сводится к тому, что тезис о политической ответственности и.о. министра всего лишь эвфемизм, призванный прикрыть неприглядную наготу её безответственности и безнаказанности. Типа "если сильно накосячит, её уволят". Ну-ну.

При этом приличные люди прогрессивных взглядов уже сейчас начинают возмущаться: "Вы чё, тупые?!! Вам же ясно сказано, что МОЗ никаким боком к проблемам коммерческих МИС!" Вообще удивительно, насколько вера в Мать Реформ подрывает способность делать корректные умозаключения даже у компетентных людей. Вот бывший CIO (!) клиники Борис (!!!) пишет: "причём здесь косяк коммерческого продукта от Хелси к разработке центрального компонента eHealth?".

Повторю ещё раз: и МИС, и центральная компонента являются неотъемлемыми составными частями платформы электронного здоровья, идеологом и заказчиком которой является МОЗ. Да, у них разная функция, да, они обособлены друг от друга. Но это всё части одной единой системы. Примерно как мозг и прямая кишка. Функции разные, структурно обособлены, но это всё про один и тот же организм.

Тот факт, что МИС управляются и развиваются частными компаниями никак, ну никак не отменяет того факта, что структурно это всё та же eHealth платформа. Стратегию развития которой определяет один-единственный центр, находящийся в МОЗ. Уязвимости в МИС это уязвимости всей платформы. Как-то опровергнуть этот факт невозможно, разве что заболтать, как это пытается сейчас сделать МОЗ.

Как бы то ни было, момент истины близок.

С одной стороны, задача обеспечения безопасности данных, накапливаемых платформой, вполне тривиальна в том смысле, что её решали много-много раз. Некоторые из аспектов вроде безопасной и надёжной аутентификации решают относительно просто.

Однако корень нашей проблемы имеет не технический и даже не организационный характер, а политический. Руководство МОЗ в лице куратора данного направления Павла Ковтанюка и его непосредственного руководителя Ульяны Супрун привык действовать без оглядки на кого бы то и что бы то ни было. Скорее всего именно это станет камнем преткновения для администрации нового президента.
"Кто же сильнее, слон или кит?"
Tags: digital identity, здравоохранение
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment