Как посчитать потери от атак на медицинские системы?

Бизнес
Считается, что здоровье не имеет цены и, следовательно, оценить ущерб от взлома медицинских систем очень сложно. Как оказалось это неверно. В презентациях по оценке ИБ я не раз приводил тезис о том, что самое важное в любом измерении — это определить объект измерения. Это половина успеха. В случае с ущербом медицинским системам ситуация аналогичная и Internet Security Alliance совместно с американским национальным институтом стандартов (ANSI) на днях выпустили замечательный отчет «The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security».

В работе над отчетом принимали участие около 100 экспертов из различных медицинских учреждений. Совместно с экспертами по ИБ они вместе разработали метод PHIve (Protected Health Information Value Estimator) для оценки риска медицинских систем, одним из этапов которого и является оцифровывание потенциальных потерь от атак на системы здравоохранения.

При этом документ интересен именно своей отраслевой спецификой. Например, там описаны все заинтересованные стороны (стейкхолдеры) в работе медицинских систем:

Спектр рассматриваемых угроз тоже обширен и включает, в т.ч. и облачных провайдеров, обрабатывающих медицинские данные:

Потери делятся в свою очередь на 5 категорий:

  • репутационные
  • финансовые
  • юридические
  • операционные
  • клинические.

Последняя категория интересна. Например, среди потерь числится задержка или ошибка в установлении диагноза. За этим пунктом может скрываться очень много специфических для здравоохранения проблем, которые могут транслироваться в деньги. Например, задержка в постановке диагноза — меньше пациентов можно принять — меньше денег можно заработать. Ну а к чему может привести ошибка в постановке диагноза и говорить не приходится. Преимущество указанного исследования в том, что оно не ограничивается просто констатацией статьи потерь, а предлагает формулы для их рассчета. Такие формулы есть для расчета таких показателей как «loss of patients», «loss of curent customers», «loss of staff» и т.д.

В общем документ достойный и рекомендуемый к прочтению.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. ZZubra

    Буквально вчера пытался объяснить, что подобное надо сделать в одном из наших медицинских центров и распространить практику на остальные. С таким скрипом диким, спорами, объяснялками. В комитет здравоохранения областной пробрался товарисч, которому пофигу все требования, кроме бизнеса — страшно становится. Вот и пробовал через больницу. Крайне трудно донести до админов и руководителей весь объем необходимых работ и направления рисков.
    Аналогично с пол года назад обзванивал производителей МИС — почти поголовное удивление, что кроме программки им надо еще чем-то интересоваться: типа защиты, подписи, ответственности, принятия решений и т.п.
    То что Вы написали, конечно, помощь. Но вот только …

    Ответить