Безопасность медицинских данных: и врачи тоже…

[totaltelecom]

Первого апреля начался второй этап реформы здравоохранения. Среди прочего, он предполагает фиксацию средствами eHealth-платформы всего, что происходит между нами, пациентами и лечебным учреждениями. Результаты анализов, анамнезы, заключения и диагнозы - всё это должно быть в цифровой форме, чтобы медики могли просить у НСЗУ частичное возмещение их издержек.

Очевидно, что подобная информация относится к наиболее чувствительной, предполагающей максимальную защищённость, как от умышленных посягательств, так и неумышленного искажения или уничтожения. К сожалению, созданная по инициативе Ульяны Супрун и её команды eHealth-платформа (она же - платформа электронного здоровья, eZdorovya) не предполагает сколь-нибудь надёжной защиты информации о пациентах. И это не прискорбная ошибка или чей то недосмотр, а результат осознанной политики.

Краткое содержание предыдущих серий

Первые сигналы о неблагополучии датированы 2017 годом, когда достоянием общественности стали приказы общественной организации "Transparency International Україна", взявшей на себя роль организатора разработки и внедрения eHealth-платформы МОЗ. Оказалось, что уже на этапе тестовой эксплуатации в систему вносятся реальные персональные данные (далее ПД) украинских граждан. При этом, вопреки требованиям законодательства за их сохранность, целостность, недоступность и так далее не отвечают ни чиновники МОЗ, ни сама общественная организация, ни сотрудники медицинских учреждений.

В мае 2018 года вдобавок к проблеме ПД обнаружилось, что разработчики т.н. медицинских информационных систем (далее МИС) используют для аутентификации (попросту говоря - проверки полномочий) пациентов дырявые, как решето, схемы с использованием номеров мобильной связи. МИС выполняют роль интерфейса к eHealth-платформе для 28 миллионов украинских граждан, подписавших декларации с врачами "первички". Мобильная связь категорически непригодна для контроля за доступом к сколь-нибудь ценной информации, в чём неоднократно на своём опыте убеждались клиенты финансовых учреждений.

Автор и его единомышленники сделали всё, что может сделать группа небезразличных граждан, не располагающая внешней поддержкой и ресурсами. Свою озабоченность ситуацией озвучили западные доноры, на деньги которых была создана и нещадно пиарилась eHealth-платформа. Провайдеры МИС отказались от наиболее кривых схем авторизации по номеру мобильной связи. В очередных "роадмэпах", описывающих этапы развития платформы, появились пункты, посвящённые решению проблемы безопасности данных.

По прошествии без малого двух лет приходится констатировать, что уязвимости для атак через пациентские подключения никуда не делись. Очередная рабочая группа под предводительством вездесущей Янники Мерило так и не смогла сделать, пожалуй, главный шаг в этом направлении. Как не было, так и нет руководящих документов, содержащих указания о том, какие схемы авторизации приемлемы, а какие нет, отсутствуют типовые регламенты и должностные инструкции, вся вообще нормативная база в этой области."Оружие себе добудешь в бою!.."

К сожалению, всё это время автор недооценивал степень пофигизма неудержимых реформаторов. Зная о том, что для медиков (лечащих врачей) доступ к МИС предоставляется с помощью ЭЦП, он поленился проверить, о каких именно ключах ЭЦП идёт речь. О полноценных, размещаемых на т.н. защищённых носителях, или же о наиболее распространённой, хочется сказать вульгарной их разновидности, когда в ход идут флешки, оптические диски и HDD самих ПК. Автор полагал, что Пабло Ковтанюк и Мария Квашнина, всё это скопище приличных людей с приятными лицами не дебилы же какие-нибудь. Автор был уверен, что хотя бы для врачей предусмотрена раздача ключей на защищённых носителях, во избежание очевидных, как он думал, неприятностей.

Наивный!

В январе 2020 года автор совершенно случайно узнал, что и с персоналом лечебных учреждений идеологи eHealth-платформы поступили точно так же, как и с её пациентами. Чтобы не обременять родное государство всегда чрезмерными издержками на защиту каких-то дурацких персональных данных, обязанность обзавеститсь ключами ЭЦП возложена на самих врачей. В отличие от полиции даже условный пистолет, т.е. специальное оборудование, с которым сопряжены значительные риски, родная держава не хочет медикам предоставлять за свой счёт. Вместо "вот тебе пистолет и крутись как хочешь" звучит сакраментальное "вот тебе кирпич, а оружие себе добудешь в бою!"
В этой парадоксальной ситуации украинские медики поступают вполне предсказуемо.

Они идут в налоговую службу и там оформляют себе ключи ЭЦП на суррогатных носителях - флешках и дисках. Небезопасно, нулевая защита от копирования и дальнешейго клонирования ключей, зато совершенно бесплатно! А бесплатно - это самое важное слово, когда речь идёт о возможных стратегиях реформы украинского здравоохранения.

Опрос знакомых медиков подтвердил опасения. В силу особенностей организации внутренней жизни лечебных учреждений уже сейчас медики начинают обмениваться своими и чужими ключами. Во-первых, это удобно. Во-вторых... достаточно первого. В который раз всплывает проблема дискредитации инструментов поддержки доверия в результате бестолковой политики государства. Многолетнее потакание нездоровым инстинктам ширнармасс привело к тому, что ЭЦП воспринимается ими как средство сэкономить время и силы, причём непременно бесплатно.

Доктор зашивается и не успевает внести все данные в МИС? Можно привлечь "сестричку" или попросить о помощи коллег. Если надо, коллег не попросит, а привлечёт в обязательном порядке администрация заведения. Доктор приболел или хочет съездить в отпуск? Многие МИС не позволяют врачам подключаться, находясь за периметром локальной сети лечебного учреждения. Хочешь не хочешь, придётся передать свои ключи кому-то из доверенных лиц.

Стоит отметить, что подобный бардак давным-давно процветает в малом, среднем и даже довольно крупном бизнесе. Не редкость компании, где ключи первого лица розданы десяткам, а то и сотням подчинённых, как правило - бухгалтерам. Во-первых, это удобно…

Интегральным результатом всего это безобразия неизбежно станет массовый теневой оборот скомпрометированных ключей, открывающих доступ к данным eHealth-платформы. После того, как злоумышленники и проходимцы распробуют этот новый необычный вкус, оборот ключей коммерциализируется и возникнет теневой рынок.Национальные особенности ЭЦП

Ситуацию усугубляют хаотичные телодвижения государства и его представителей. В ноябре 2019 года завершился переходный период, установленный Законом "Об электронных доверительных услугах". Среди прочего, потеряли право рассматриваться как квалифицированные, т.е. юридически наиболее значимые, любые ЭЦП, для которых используются ключи на суррогатных носителях. Теоретически, ГФС должна была либо вовсе прекратить раздачу подобных ключей, либо начать вместо них выдавать уже полноценные - на защищённых носителях.

Неудивительно, что такой поворот категорически не устраивал нацию, подарившую миру феномен евроблях и вечных кредитов по 8 гривен/доллар. В свою очередь, смелые цифровизаторы не считали нужнымрасстраивать пасомый электорат. Сначала молодой Дубилет, а затем и юный Фёдоров заявили, что идея с переходом на защищённые носители является вредной и будет пересмотрена.

Для начала ГФС при молчаливом согласии Минцифры, ГСССЗИ и Кабмина проигнорировала нормы закона и продолжила выдавать ключи ЭЦП на суррогатных носителях. Пять (!) месяцев спустя Кабмин своим постановлением попытался придать этой практике видимость законности. Насколько можно судить, его разработчиками двигала здравая, в целом, идея. Чтобы не отказываться от полюбившихся народу бесплатных суррогатов и не нарушать при этом требования закона, решено понизить статус ключей, раздаваемых ГФС. Однако этот разумный, в целом, шаг предлагается сделать крайне нелогичным, непоследовательным образом.

Вместо того, чтобы без лишних затей присвоить таким ключам статус усовершенствованых (это второй уровень доверия, ниже квалифицированных, но выше просто электронной подписи), авторы постановления вводят новую сущность - "удосконалені електронні підписи чи печатки, які базуються на кваліфікованих сертифікатах відкритих ключів". Далее они делают неожиданный финт ушами и предлагают буквально следующее:

3. Установити, що:
1) удосконалені електронні підписи чи печатки, які базуються на кваліфікованих сертифікатах відкритих ключів, що відповідають затвердженим пунктом 2 цієї постанови вимогам, можуть використовуватися користувачами електронних довірчих послуг для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у разі, коли законодавством передбачено використання виключно кваліфікованих електронних підписів чи печаток (кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри.

Прикольно, да? Всё равно как если принять"на переходный период" атомную массу золота равной не только 197, но "в том числе" и "если законом не предусмотрено иное" также 63 (как у меди) или 107 (как у серебра). Выглядит как будто кто-то хочет кого-то обмануть. Так что же это такое функционально и юридически, квалифицированные подписи или всего лишь усовершенствованные? Закон же не просто так разделяет их между собой.

Подозрения ещё более усиливаются после ознакомления с исключениями, которые предлагают сделать хитромудрые цифровизаторы. Фактически всего лишь усовершенствованные, но всё равно как бы квалифицированныеподписи и печати не будут приниматься в случаях:

використання кваліфікованих електронних підписів чи печаток органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності, державними реєстраторами, нотаріусами та іншими суб’єктами, уповноваженими державою на здійснення функцій державного реєстратора, а також кваліфікованими надавачами електронних довірчих послуг і центральним засвідчувальним органом;

використання кваліфікованих електронних підписів чи печаток на об’єктах критичної інформаційної інфраструктури для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб, якщо використання електронних довірчих послуг для таких цілей пов’язане з високим ризиком для інформаційної безпеки, що визначається власниками відповідних інформаційних та інформаційно-телекомунікаційних систем;

вчинення в електронній формі правочинів, що підлягають нотаріальному посвідченню та/або державній реєстрації у випадках, установлених законом.

Неизбежен вопрос, а зачем тогда городить огород? Кто эти тихие умом чудаки, готовые принять медный пятак за полновесный золотой?

Чтобы не бередить душу бесплодными размышлениями, автор задал вопрос на странице Министерства цифровой трансформации: "Поясніть, будь ласка, який саме різновид електронного підпису необхідно використовувати медикам для доступу до eHealth платформи МОЗ/НСЗУ. На захищенному носії чи достатньо звичайної флешки/диску?"

Аналогичные вопросы он задал Людмиле Рабчинской, зам. минстра цифровой трансформации. А для верности - отправил письменный запрос сразу в МОЗ, НСЗУ и Минцфиры.

Прошло четыре недели, но ответа нет. Минцифры прислала образчик канцелярита на четырёх страницах, содержание которых можно без малейшей потери смысла свести к единственной фразе: "враховуючи, що питання, порушенні у зверненні, належать до компетенції НСЗУ, Міністерство направляє зверення для розгляду за належністтю".

Причина затянувшегося молчания вполне очевидна - поставленные вопросы загнали все три ведомства в глухой угол. Публично заявить, что государственная система обработки сведений, составляющих медицинскую тайну, не является элементом критической инфраструктуры и не заслуживает максимальной защиты означает спровоцировать грандиозный скандал. Признать, что врачи должны использовать наиболее защищённые решения - подставить множество очень приличных людей, которые всего лишь хотели немножко упростить себе жизнь, а теперь будут вынуждены что-то лепетать в своё оправдание.Где же выход?

Выход из сложившейся ситуации, безусловно, существует, хотя и сопряжён с известным дискомфортом. Во-первых, МОЗ и НСЗУ необходимо сделать над собой усилие и родить, наконец, нормативную базу защиты информации, которая накапливается в eHealth-платформе. Сама по себе подготовка соответствующих регламентов, инструкций и типовых документов выглядит тривиальной задачей. Стоит она недорого, тысяч десять долларов представляются автору вполне достаточной суммой. Хотя, конечно же, при необходимости можно и за пятьдесят. А если действительно нужно, то можно попробовать и за сто.

Главной проблемой для разработчиков нормативки окажется согласование предлагаемых решений с заказчиком в лице центральных органов власти. Дело в том, что безопасность бесплатной не бывает. Полноценная эксплуатация МИС в лечебных учреждениях предполагает значительные инвестиции с их стороны. Однако на этапе смелого визионерства в 2017-ом идеологи eHealth-платформы даже не задумывались о том, каким образом обеспечить, например, учёт требований GDPR, о чём остались более чем красноречивые свидетельства.

Они обещали разработчикам МИС, что коммунальные предприятия будут платить за пользование этими продуктами. Мимикой и жестами давали понять, что МОЗ со своей стороны сделает всё необходимое, дабы сподвигнуть прижимистых коррупционеров в белых халатах поделиться звонкой монетой. Уже после того, как разработчики инвестировали в разработку и запустились, концепция внезапно поменялась.

Оказывается, медики не готовы платить за пользование МИС, а МОЗ и НСЗУ не готовы выкручивать им руки, как обещали. Немногочисленные примеры платы за пользование МИС не меняют общей картины.

Мало того, ввиду известных особенностей реформы вторички медики вообще не готовы платить. Ни за безопасность, ни за комфорт, вообще ни за что. В этих условиях наём компетентных CDO и прочий GDPR, получение аттестатов КСЗИ и тому подобное баловство будучи спущенными "сверху" встретят сильнейшее сопротивление. Поэтому в МОЗ/НСЗУ будут просить сделать так, чтобы было безопасно, но бесплатно. А это уже совсем другого уровня задача.

Во-вторых, разработчики МИС должны обеспечить поддержку в своих продуктах т.н. интегрированной системы электронной идентификации, ознакомиться с которой можно по ссылке. Это решит проблему для тех медиков, у которых уже имеются полноценные ключи ЭЦП на защищённых носителях. Очень важно, что данный шаг не требует от НСЗУ ни копейки денег, только соответствующего указания.

Наконец, в-третьих, придётся найти деньги, чтобы закупить и раздать сотрудникам лечебных учреждений полноценные ключи. Если верить одному из последних интервью Ульяны Супрун, в eHealth-платформе зарегистрировано 185 тысяч медиков. Принимая минимальную стоимость защищённого носителя в 600 гривен, получаем 111 млн. грн., примерно 4 миллиона долларов. Много это или мало? Где их взять?

Начнём с того, что бюджет на 2020 год предполагает расходы на здравоохранение в размере 115,9 млрд грн то есть в тысячу раз больше искомой суммы. Эти сто с лишним миллиардов составляют 2,6% ВВП, при том, что в качестве целевого показателя идеологи реформы называют 5%. Иными словами, речь идёт об относительно небольших на общем фоне инвестициях.

Тем не менее, в бюджете на этот год их нет, а проблему необходимо решать прямо сейчас. Выходом из этой ситуации является обращение за помощью к международным организациям, которые предоставляют техническую помощь Украине, в том числе в части реформирования здравоохранения. Не является секретом, что ввиду институциональной слабости и центральных, и местных властей западные партнёры постоянно сталкиваются с тем, что выделяемые ими средства остаются невостребованными. Вместо того, чтобы инвестировать полученные ресурсы в качественные изменения, получатели кредитов и грантов норовят пустить их на текущие расходы.

Можно надеяться на то, что представителям намного более качественной западной бюрократии не придётся объяснять ценность информации, необходимость её защиты и, главное, что безопасность не бывает бесплатной. Хочется, верить, что поддержав три года назад создание eHealth-платформы, наши партнёры не хотят стать свидетелями скандалов из-за проблем с её безопасностью.Вместо послесловия

Из зала поступают вопросы сколько можно мусолить честное имя Ульяны Супрун? При чём вообще и.о. министра, отставленная почти год (на самом деле полгода, но какая разница) назад, к огрехам какой-то там eHealth-платформы? Покажите, мол, документы, из которых вытекает её личная ответственность за данное направление.

1. Косяки и про%бы eHealth-платформы являются закономерным, неизбежным результатом специфической атмосферы, которую Ульяна Супрун целенаправленно продвигала, поддерживала и сделала одним из условий своего пребывания на посту. С первых её шагов в качестве руководителя МОЗ стало очевидно, что у мадам Ульяны не просто карт-бланш, но индульгенция. Причём не только у неё, но и всей команды, которую она завела в коридоры ведомства. Даже самые нелепые ошибки, в том числе с тяжёлыми последствиями вроде сюжета с сыворотками никак не отразились на её позициях. Что Супрун, что фактический куратор создания eHealth-платформы Ковтанюк принципиально не отвечали на неудобные вопросы. Ни публично, ни в рабочем порядке. Фактическая безответственность порождала ощущение безнаказанности, безнаказанность провоцировала всё новые и новые эксцессы. Автор не раз писал об этом аспекте, в частности здесь.
2. Изъяны решений, которые были приняты командой Супрун, очень непросто, если вообще возможно компенсировать. В ходе приписной кампании 2018-19 годов в eHealth-платформе было зарегистрировано примерно 28 миллионов граждан. Украинские медики, которые потратили на это вряд ли меньше 10 миллионов человеко-часов, не получили за это ни копейки компенсации. Титанический труд был проделан не просто бесплатно, но в значительное степени во внерабочее время. Ульяна Супрун, которая обожает риторику превозмогания совка и “системы Семашко” поступила в худших советских традициях, используя внеэкономическое принуждение ради своей карьеры. Чтобы заменить нынешнюю схему аутентификации на что-то более пристойное семейным врачам необходимо снова пригласить к себе каждого своего клиента, осуществить его идентификацию и зарегистрировать новые факторы аутентификации, связанные с этим человеком. Это потребует новые миллионы человеко-часов, за которые кому-то придётся заплатить.
3. Ни НСЗУ, ни, тем более ГП “Электронное здоровье” не могут нести ответственность за изъяны решений, которые были приняты командой Супрун, просто потому что приняли систему вместе со всеми огрехами. Система разрабатывалась до невозможности хитрым образом, который описывается, например, здесь.
4. И Супрун, и Ковтанюк известны тем, что всячески избегали визировать документы, оставляя юридически значимые следы своей причастности к происходящему в украинском здравоохранении. Принцип избегания формально-правовой ответственности очень хорошо иллюстрируется на примере eHealth-платформы. Ни один, кажется, из множества документов, которые должны сопровождать разработку и эксплуатацию ИТ-системы такого масштаба и значения в публичном секторе, не был визирован сотрудниками министерства соответствующего уровня. Желающие могут порыться в её (системы) репозитории.
5. Покидая МОЗ, Ульяна Супрун оставила своим преемникам документ с претенциозным названием “МОЗ України: Що було, є і буде”. Этот шаг был призван обеспечить преемственность политики, избежать реванша, отката и ужасов контрреволюции на медичном фронте. Насколько можно судить, преемница Супрун Зоряна Скалецкая двигалась именно в том русле, которое задано этим документом, продолжая реформу по мере своих скорбных сил. При этом ни раздел “План заходів з реалізації реформи на 100 днів та термінові відкриті питання, що потребують нагальних дій та запропоновані рішення”, ни “Очікувані результати та кроки на наступний рік” (стр. 62-64), ни документ в целом не содержат ни малейших упоминаний проблемы безопасности пациентских данных. В отличие от «великих даних» (Big Data), машинного навчання та штучного інтелекту”. В результате сменившие команду Супрун люди точно так же проигнорировали данную проблему.
   

Обсуждение здесь.