В работе над отчетом принимали участие около 100 экспертов из различных медицинских учреждений. Совместно с экспертами по ИБ они вместе разработали метод PHIve (Protected Health Information Value Estimator) для оценки риска медицинских систем, одним из этапов которого и является оцифровывание потенциальных потерь от атак на системы здравоохранения.
При этом документ интересен именно своей отраслевой спецификой. Например, там описаны все заинтересованные стороны (стейкхолдеры) в работе медицинских систем:
Спектр рассматриваемых угроз тоже обширен и включает, в т.ч. и облачных провайдеров, обрабатывающих медицинские данные:
Потери делятся в свою очередь на 5 категорий:
- репутационные
- финансовые
- юридические
- операционные
- клинические.
Последняя категория интересна. Например, среди потерь числится задержка или ошибка в установлении диагноза. За этим пунктом может скрываться очень много специфических для здравоохранения проблем, которые могут транслироваться в деньги. Например, задержка в постановке диагноза — меньше пациентов можно принять — меньше денег можно заработать. Ну а к чему может привести ошибка в постановке диагноза и говорить не приходится. Преимущество указанного исследования в том, что оно не ограничивается просто констатацией статьи потерь, а предлагает формулы для их рассчета. Такие формулы есть для расчета таких показателей как «loss of patients», «loss of curent customers», «loss of staff» и т.д.
В общем документ достойный и рекомендуемый к прочтению.
Буквально вчера пытался объяснить, что подобное надо сделать в одном из наших медицинских центров и распространить практику на остальные. С таким скрипом диким, спорами, объяснялками. В комитет здравоохранения областной пробрался товарисч, которому пофигу все требования, кроме бизнеса — страшно становится. Вот и пробовал через больницу. Крайне трудно донести до админов и руководителей весь объем необходимых работ и направления рисков.
Аналогично с пол года назад обзванивал производителей МИС — почти поголовное удивление, что кроме программки им надо еще чем-то интересоваться: типа защиты, подписи, ответственности, принятия решений и т.п.
То что Вы написали, конечно, помощь. Но вот только …