Pages - Menu

Страницы

13.3.12

Как посчитать потери от атак на медицинские системы?

Считается, что здоровье не имеет цены и, следовательно, оценить ущерб от взлома медицинских систем очень сложно. Как оказалось это неверно. В презентациях по оценке ИБ я не раз приводил тезис о том, что самое важное в любом измерении - это определить объект измерения. Это половина успеха. В случае с ущербом медицинским системам ситуация аналогичная и Internet Security Alliance совместно с американским национальным институтом стандартов (ANSI) на днях выпустили замечательный отчет "The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security".

В работе над отчетом принимали участие около 100 экспертов из различных медицинских учреждений. Совместно с экспертами по ИБ они вместе разработали метод PHIve (Protected Health Information Value Estimator) для оценки риска медицинских систем, одним из этапов которого и является оцифровывание потенциальных потерь от атак на системы здравоохранения.

При этом документ интересен именно своей отраслевой спецификой. Например, там описаны все заинтересованные стороны (стейкхолдеры) в работе медицинских систем:


Спектр рассматриваемых угроз тоже обширен и включает, в т.ч. и облачных провайдеров, обрабатывающих медицинские данные:


Потери делятся в свою очередь на 5 категорий:
  • репутационные
  • финансовые
  • юридические
  • операционные
  • клинические.


Последняя категория интересна. Например, среди потерь числится задержка или ошибка в установлении диагноза. За этим пунктом может скрываться очень много специфических для здравоохранения проблем, которые могут транслироваться в деньги. Например, задержка в постановке диагноза - меньше пациентов можно принять - меньше денег можно заработать. Ну а к чему может привести ошибка в постановке диагноза и говорить не приходится. Преимущество указанного исследования в том, что оно не ограничивается просто констатацией статьи потерь, а предлагает формулы для их рассчета. Такие формулы есть для расчета таких показателей как "loss of patients", "loss of curent customers", "loss of staff" и т.д.

В общем документ достойный и рекомендуемый к прочтению.

1 комментарий:

  1. Буквально вчера пытался объяснить, что подобное надо сделать в одном из наших медицинских центров и распространить практику на остальные. С таким скрипом диким, спорами, объяснялками. В комитет здравоохранения областной пробрался товарисч, которому пофигу все требования, кроме бизнеса - страшно становится. Вот и пробовал через больницу. Крайне трудно донести до админов и руководителей весь объем необходимых работ и направления рисков.
    Аналогично с пол года назад обзванивал производителей МИС - почти поголовное удивление, что кроме программки им надо еще чем-то интересоваться: типа защиты, подписи, ответственности, принятия решений и т.п.
    То что Вы написали, конечно, помощь. Но вот только ...

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.