Автор: Смирнова К.М.
Оглавление
Проблема информационной безопасности использования "Интернета вещей"
Информационная безопасность медицинских изделий
Технологии развиваются стремительными темпами. "По мере того как Интернет вещей укрепляет свои позиции и все глубже проникает в нашу жизнь, он обещает нам еще более серьезные перемены во всех сферах, от здравоохранения и торговли до развлечений и политики"[1]. По прогнозам аналитических исследований, к 2025 г. количество устройств "Интернета вещей" составит около 75 млрд единиц. При этом одним из наиболее развитых сегментов рынка "Интернета вещей" будет eHealthmarket. Широкое применение "Интернета вещей", как отмечается некоторыми исследователями, произведет революцию в медицине[2].
Благодаря достигнутому в последние годы технологическому прогрессу сегодня существует большое разнообразие датчиков, считывающих показатели жизненно важных функций. Уже сегодня устройства "Интернета вещей" активно используются в медицине. Например, это использование с целью отслеживания перемещения персонала, пациентов по территории больницы, а также инвентаря[3] для целей наиболее эффективной организации рабочего пространства, определения местонахождения пациента, медицинского работника в тот или иной момент. Еще один пример — широко известные фитнес-браслеты. Хотя эти устройства не являются медицинскими изделиями, собранные с их помощью данные впоследствии могут поспособствовать при оказании неотложной помощи. Так, на основании данных фитнес-браслета пациенту была назначена процедура электрокардиоверсии — восстановления сердечного импульса с помощью электрического разряда[4].
Еще одна линейка умных медицинских устройств — устройства, предназначенные для мониторинга, контроля и поддержания состояния здоровья. Например, инсулиновые и инфузионные помпы, кардиостимуляторы, аппараты искусственного дыхания, электрокардиографы. Умные устройства данного сегмента позволяют обеспечивать бесперебойный мониторинг уровня кровяного давления, могут в автоматическом режиме вводить необходимые лекарства (в частности, инсулин, химиотерапевтические препараты), снимать кардиограммы и т.д.
Говоря о России, можно сказать, что национальное развитие eHealth началось в 2017 г. с принятием Федерального закона от 29 июля 2017 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья" (ФЗ "О телемедицине").
Законом были внесены изменения в части закрепления возможности использования телемедицинских технологий при оказании медицинских услуг. В соответствии с новым п. 22 ст. 2 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее — ФЗ-323) под телемедицинскими технологиями понимаются информационные технологии, обеспечивающие в том числе дистанционное медицинское наблюдение за состоянием здоровья пациента.
Согласно ч. 4 ст. 36.2 ФЗ-323 дистанционное наблюдение осуществляется в том числе на основании данных о пациенте, зарегистрированных с применением медицинских изделий, предназначенных для мониторинга состояния организма человека. А в п. 54 Приказа Минздрава России от 30 ноября 2017 г. N 965н "Об утверждении порядка организации и оказания медицинской помощи с применением телемедицинских технологий" разъясняется, что регистрация данных может осуществляться в том числе в автоматическом режиме при использовании медицинских изделий, имеющих функции передачи данных.
Таким образом, медицинские изделия, которые с помощью специальных датчиков собирают информацию о пациенте, то есть устройства "Интернета вещей", позволяющие осуществлять дистанционный мониторинг состояния здоровья человека, введены в легальное поле. Однако функционал медицинских изделий, которые могут использоваться при оказании медицинских услуг с использованием телемедицинских технологий, законодательно ограничен.
ФЗ-323 определяет медицинские изделия в ст. 38 через указание на медицинскую цель использования и назначение. Медицинские изделия предназначены для профилактики, диагностики, лечения и медицинской реабилитации заболеваний, мониторинга состояния организма человека, проведения медицинских исследований, восстановления, замещения, изменения анатомической структуры или физиологических функций организма, предотвращения или прерывания беременности.
Учитывая положения ч. 4 ст. 36.2 ФЗ-323 применительно к телемедицинским технологиям, назначение медицинских изделий ограничено только мониторингом состояния организма человека. Иными словами, исходя из действующего правового регулирования, оказание медицинских услуг, в процессе которого пациенту, например, дистанционно вводились бы какие-либо лекарства с помощью медицинских изделий, невозможно.
Проблема информационной безопасности использования "Интернета вещей"
Умные медицинские изделия, являясь устройствами "Интернета вещей", подвержены общесистемным правовым проблемам "Интернета вещей". Одной из них является проблема информационной безопасности.
Информационную безопасность можно определить как сохранение конфиденциальности, целостности и доступности информации[5]. В части 1 ст. 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" три указанных элемента раскрыты как обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации (целостность), соблюдение конфиденциальности информации ограниченного доступа (конфиденциальность) и как реализация права на доступ к информации (доступность).
Воздействие на информационную безопасность медицинского изделия может не только привести к вмешательству в частную жизнь, но и нанести физический ущерб. Например, в результате несанкционированного воздействия на информационную систему устройство может и вовсе прекратить работу.
Одной из самых опасных угроз информационной безопасности является киберпреступность. При этом киберпреступность с использованием устройств "Интернета вещей" впервые проявилась в 2008 г.[6] и достигла своего апогея в 2016 г., когда печально известным ботнетом[7] Mirai были атакованы роутеры компании Deutche Telekom[8], в результате чего были заражены почти 1 млн устройств. Однако кибератаки затронули не только крупные компании, но и обычных граждан. В апреле 2014 г. стало известно о взломе "Радионяни", посредством которого злоумышленник в прямом смысле накричал на десятимесячного младенца[9].
Реальные случаи взлома именно медицинских устройств "Интернета вещей" злоумышленниками случались неоднократно[10]. Однако до сих пор можно с уверенностью говорить, что производители устройств "Интернета вещей" все еще ставят вопрос информационной безопасности не на первое место. Все это происходит в условиях, когда российское законодательство системно не регулирует вопросы информационной безопасности. Есть отдельные нормативные правовые акты, регламентирующие необходимость обеспечения информационной безопасности, например применительно к Интернету, но не к "Интернету вещей"[11].
Информационная безопасность медицинских изделий
В одной из первых комплексных работ, посвященных телемедицинским технологиям в России, обращалось внимание на необходимость обеспечения информационной безопасности сетей, вовлеченных в оказание телемедицинских услуг[12]. Однако анализ действующего законодательства свидетельствует о том, что на сегодня данный вопрос учитывается не в должной мере.
Согласно ч. 4 ст. 38 ФЗ-323 разрешается обращение только зарегистрированных медицинских изделий. Регистрация осуществляется в порядке, установленном Постановлением Правительства РФ от 27 декабря 2012 г. N 1416 "Об утверждении Правил государственной регистрации медицинских изделий" (далее — Постановление N 1416). Одним из ключевых этапов регистрации медицинских изделий является прохождение экспертизы качества, эффективности и безопасности[13].
Исходя из определений, сформулированных в Постановлении N 1416, безопасность медицинского изделия — это отсутствие недопустимого риска причинения вреда жизни, здоровью человека и окружающей среде при использовании медицинского изделия по назначению в условиях, предусмотренных производителем (изготовителем). Исследование безопасности основывается на результатах технических, клинических испытаний и токсикологических исследований. Такое определение безопасности не учитывает устойчивость медицинского изделия к уязвимостям в смысле возможного дистанционного взлома устройства, безопасности передачи данных такими устройствами.
Ввиду того что проблема информационной безопасности не стояла так явно на момент принятия нормативных правовых актов, регулирующих процедуру государственной регистрации, порядок проведения экспертизы качества, эффективности и безопасности медицинских изделий (2012 г.), скорее всего, она не принималась во внимание. В то же время с учетом быстрого распространения подключенных медицинских изделий, которые могут использоваться гражданами самостоятельно, а также при оказании им телемедицинских услуг соответствующие особенности медицинских изделий должны учитываться при проведении их экспертизы.
Какие меры необходимо принять для обеспечения информационной безопасности умных медицинских изделий? В качестве первоочередных необходимо назвать выработку стандартов информационной безопасности медицинских изделий с учетом распространенных рисков, угроз и уязвимостей в информационной безопасности умных медицинских изделий.
Международная организация по стандартизации (далее — ISO) уже опубликовала линейку стандартов, ориентированных на информационное здравоохранение[14] и управление информационной безопасностью. Часть стандартов принята и в России, однако аналог Стандарта ISO 27799:2016 "Информатика в здравоохранении. Менеджмент информационной безопасности по стандарту ISO/IEC 27002" в России отсутствует.
Еще одним ориентиром может быть Регламент Европейского союза 2017/745 от 5 апреля 2017 г.[15] В ст. 17 Регламента указывается, что устройства с информационными системами или информационные системы как устройства сами по себе должны быть спроектированы и произведены в соответствии с наиболее современным состоянием техники с учетом вопросов информационной безопасности. Кроме того, предусматривается обязанность производителей устанавливать минимальные требования, касающиеся аппаратной части изделий, информационных систем и средств их защиты, включая меры по защите против несанкционированного доступа к изделиям.
Учитывая вышесказанное, применительно к медицинским изделиям потребуется как минимум внесение изменений:
— в ФЗ-323 в части требований, предъявляемых к медицинским изделиям;
— Постановление Правительства N 1416 в части включения обязательного соответствия медицинского изделия требованиям информационной безопасности;
— Приказ Минздрава от 21 декабря 2012 г. N 1353н "Об утверждении Порядка организации и проведения экспертизы качества, эффективности и безопасности медицинских изделий";
— Приказ Минздрава России от 6 июня 2012 г. N 4н "Об утверждении номенклатурной классификации медицинских изделий" в части классификации медицинских изделий в зависимости от потенциального риска их применения. Представляется, что установление возможности подключения медицинского изделия к беспроводным сетям повышает риск его применения.
В качестве первоочередных требований к информационной безопасности умных медицинских изделий можно назвать следующие. Например, требования к операционным системам устройств "Интернета вещей", программным интерфейсам приложений, иным средствам взаимодействия программного обеспечения устройств "Интернета вещей", пользовательским приложениям. Требования должны касаться стандартов защиты информации, безопасности обмена информацией, порядка аутентификации пользователей[16]. Помимо этого, могут быть предусмотрены требования к идентификации. Для умных медицинских изделий предпочтительно использовать двухфакторную систему (с помощью СМС-сообщения, телефонного вызова, USB-устройства или программного приложения), в целях обеспечения более надежной защиты.
Учитывая, что умные медицинские изделия теперь могут использоваться для оказания пациентам медицинских услуг, должны быть выработаны требования и к информационным системам медицинских учреждений. Например, это могут быть механизмы обнаружения и предотвращения вторжений, использование систем сетевой защиты, в том числе антивирусов, регулярное осуществление резервного копирования информации. Первые шаги в этом направлении в России уже сделаны. Так, 26 июля 2017 г. принят Федеральный закон N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", в котором одними из субъектов критической информационной инфраструктуры выступают государственные учреждения, юридические лица, функционирующие в сфере здравоохранения.
Литература
1. Архипов В.В. Открытая концепция регулирования Интернета вещей / В.В. Архипов, В.Б. Наумов, Г.А. Пчелинцев, Я.А. Чирко // Информационное право. 2016. N 2. С. 18 — 25.
2. Грингард С. Интернет вещей: Будущее уже здесь / С. Грингард; Пер. с англ. М.: Точка, 2017. 224 с.
3. Кусков В. Ловушки "интернета вещей" / В. Кусков [и др.] // Secure List. 2017. 19 июня.
4. Наумов В.Б. Правовые аспекты телемедицины / В.Б. Наумов, Д.А. Савельев; Под ред. Р.М. Юсупова, Р.И. Полонникова. СПб.: Анатолия, 2002. 108 с.
5. Нефедова М. Ботнет на базе Mirai атаковал Deutsche Telekom и заразил почти миллион устройств / М. Нефедова // Хакер. 2016. 29 ноября.
6. Angrishi K. Turning Internet of Things (IoT) into Internet of Vulnerabilities (IoV): IoT Botnets / K. Angrishi. URL: https://arxiv.org/pdf/1702.03681.pdf.
7. Janus M. Heads of the Hydra. Malware for Network Devices: Secure List / M. Janus. URL: https://securelist.com/heads-of-the-hydra-malware-for-network-devices/36396/.
8. Liepert D. The Convergence of Health And The Internet of Things A Revolution In Healthcare / D. Liepert. URL: https://www.healthitoutcomes.com/doc/the-convergence-of-health-and-the-internet-of-things-a-revolution-in-healthcare-0001.
9. Runder J. Interrogation of Patient Smartphone Activity Tracker to Assist Arrhythmia Management / J. Runder [et al.] // Annals of Emergency Medicine. An international journal. 2016. Vol. 68. Iss. 3. P. 292 — 294.
[1] Грингард С. Интернет вещей: Будущее уже здесь / Сэмюэл Грингард: Пер. с англ. М.: Издательская группа "Точка", 2017. С. 27 — 28.
[2] Dr. Liepert D. The Convergence of Health And The Internet of Things A Revolution In Healthcare // Guest Column. 15 Sept. 2017. URL: https://www.healthitoutcomes.com/doc/the-convergence-of-health-and-the-internet-of-things-a-revolution-in-healthcare-0001 (дата обращения: 28.11.2018).
[3] White Paper. Building the smart hospital with IoT-Powered visibility & analytics // Stanley Healthcare. 2016. URL: https://iot.knowledge-bytes.com/sites/iot/files/AB_Smart_Hospital_IoT_White_Paper.pdf_ (дата обращения: 14.12.2018).
[4] Runder J. et al. Interrogation of Patient Smartphone Activity Tracker to Assist Arrhythmia Management // Annals of Emergency Medicine. An international journal. 2016. Vol. 68. Iss. 3. URL: http://www.annemergmed.com/article/S0196-0644(16)00143-8/fulltext (дата обращения: 14.12.2018).
[5] Согласно ГОСТ Р ИСО/МЭК 27000-2012. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и технология.
[6] Кусков В. Ловушки "интернета вещей" // Secure List. 2017. 19 июня. URL: https://securelist.ru/honeypots-and-the-internet-of-things/30874/ (дата обращения: 14.12.2018); Angrishi K. Turning Internet of Things (IoT) into Internet of Vulnerabilities (IoV): IoT Botnets. URL: https://arxiv.org/pdf/1702.03681.pdf (дата обращения: 14.12.2018); Janus M. Heads of the Hydra. Malware for Network Devices: Secure List. URL: https://securelist.com/heads-of-the-hydra-malware-for-network-devices/36396/ (дата обращения: 23.12.2018).
[7] Ботнет — совокупность программного обеспечения, состоящего из вирусов, брандмауэров, программ для удаленного управления компьютерами, инструментов для скрытия операционной системы.
[8] Нефедова М. Ботнет на базе Mirai атаковал Deutsche Telekom и заразил почти миллион устройств // Хакер. 2016. 29 ноября. URL: https://xakep.ru/2016/11/29/mirai-new-attack-vector/ (дата обращения: 14.12.2018).
[9] Man Hacks Monitor, Screams at Baby Girl // NBC News. 28 Apt. 2014. URL: https://www.nbcnews.com/tech/security/man-hacks-monitor-screams-baby-girl-n91546 (дата обращения: 14.12.2018).
[10] TRAPX reveals 2016 healthcare breaches increased 63 percent year-over-year; medical device hijacks and ransomware on the rise. URL: https://trapx.com/trapx-reveals-2016-healthcare-breaches-increased-63-percent-year-over-year-medical-device-hijacks-and-ransomware-on-the-rise/ (дата обращения: 23.12.2018).
[11] См., например: Постановление Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации"; Приказ ФСТЭК России от 14 марта 2014 г. N 31 "Об утверждении Требований к обеспечению защиты информации…".
[12] Наумов В.Б., Савельев Д.А. Правовые аспекты телемедицины / Под ред. Р.М. Юсупова, Р.И. Полонникова. СПб., 2002. С. 53.
[13] Приказ Минздрава России от 21 декабря 2012 г. N 1353н (ред. от 03.06.2015) "Об утверждении Порядка организации и проведения экспертизы качества, эффективности и безопасности медицинских изделий" // СПС "КонсультантПлюс".
[14] Application of risk management for IT-networks incorporating medical devices. Part 1: Roles, responsibilities and activities IEC 80001-1:2010. URL: https://www.iso.org/standard/44863.html (дата обращения: 29.11.2018).
[15] Regulation of the European Parliament and of the Council of 5 April 2017 on medical devices No. 2017/745 // EUR-lex. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32017R0745 (дата обращения: 29.11.2018).
[16] Архипов В.В., Наумов В.Б., Пчелинцев Г.А., Чирко Я.А. Открытая концепция регулирования Интернета вещей // Информационное право. 2016. N 2 // СПС "КонсультантПлюс".
Связанные статьи:
- Правовое обеспечение информационной безопасности в "умных городах" (59%)
- Цифровая информатизация и информационная безопасность в современном здравоохранении: конституционно-правовой подход к проблеме (53.9%)
- Защита геномной информации в виртуальном пространстве (39.2%)
- Применение технологий искусственного интеллекта при создании вакцин и иных объектов интеллектуальной собственности (правовые аспекты) (39.2%)
- Психическое здоровье как феномен (37.2%)
- Цифровые доказательства, полученные путем использования систем видео-конференц-связи (RANDOM - 2%)