13.03.2012

Как посчитать потери от атак на медицинские системы?

Считается, что здоровье не имеет цены и, следовательно, оценить ущерб от взлома медицинских систем очень сложно. Как оказалось это неверно. В презентациях по оценке ИБ я не раз приводил тезис о том, что самое важное в любом измерении - это определить объект измерения. Это половина успеха. В случае с ущербом медицинским системам ситуация аналогичная и Internet Security Alliance совместно с американским национальным институтом стандартов (ANSI) на днях выпустили замечательный отчет "The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security".

В работе над отчетом принимали участие около 100 экспертов из различных медицинских учреждений. Совместно с экспертами по ИБ они вместе разработали метод PHIve (Protected Health Information Value Estimator) для оценки риска медицинских систем, одним из этапов которого и является оцифровывание потенциальных потерь от атак на системы здравоохранения.

При этом документ интересен именно своей отраслевой спецификой. Например, там описаны все заинтересованные стороны (стейкхолдеры) в работе медицинских систем:


Спектр рассматриваемых угроз тоже обширен и включает, в т.ч. и облачных провайдеров, обрабатывающих медицинские данные:


Потери делятся в свою очередь на 5 категорий:
  • репутационные
  • финансовые
  • юридические
  • операционные
  • клинические.


Последняя категория интересна. Например, среди потерь числится задержка или ошибка в установлении диагноза. За этим пунктом может скрываться очень много специфических для здравоохранения проблем, которые могут транслироваться в деньги. Например, задержка в постановке диагноза - меньше пациентов можно принять - меньше денег можно заработать. Ну а к чему может привести ошибка в постановке диагноза и говорить не приходится. Преимущество указанного исследования в том, что оно не ограничивается просто констатацией статьи потерь, а предлагает формулы для их рассчета. Такие формулы есть для расчета таких показателей как "loss of patients", "loss of curent customers", "loss of staff" и т.д.

В общем документ достойный и рекомендуемый к прочтению.

1 коммент.:

ZZubra комментирует...

Буквально вчера пытался объяснить, что подобное надо сделать в одном из наших медицинских центров и распространить практику на остальные. С таким скрипом диким, спорами, объяснялками. В комитет здравоохранения областной пробрался товарисч, которому пофигу все требования, кроме бизнеса - страшно становится. Вот и пробовал через больницу. Крайне трудно донести до админов и руководителей весь объем необходимых работ и направления рисков.
Аналогично с пол года назад обзванивал производителей МИС - почти поголовное удивление, что кроме программки им надо еще чем-то интересоваться: типа защиты, подписи, ответственности, принятия решений и т.п.
То что Вы написали, конечно, помощь. Но вот только ...