Применимость инфраструктуры открытых ключей в здравоохранении. Прогнозы и тренды

Наиболее очевидно применение систем управления инфраструктурой открытых ключей (Public Key Infrastructure, PKI) для обеспечения защищенного хранения медицинских данных. Медицинская информация чувствительна и критична. Пациенту может потребоваться доступ к своей истории болезни, например, для лечения в другом регионе. Однако свободно распространять такие данные опасно — попав в чужие руки, они дают много возможностей для мошенничества. Как решить задачу пациента и не допустить утечки данных? Один из способов — использование криптографических методов защиты информации. Тогда медицинскую информацию можно получать в нужное время без опасения, что медкарту кто-то перехватит. Сделать безопасным этот процесс помогут строгие методы защиты и хранения данных вплоть до шифрования.

Еще одно направление — получение доступа к конфиденциальным данным только теми лицами, которым сам пациент посчитал возможным его предоставить. Например, он может дать право доступа к своей медицинской информации лечащему врачу и его команде. Если врач подтвердит свою личность с использованием квалифицированного сертификата, выданного системой здравоохранения, то доступ будет предоставлен, иначе — нет. Другие лица или регуляторы без согласия пациента или его представителя информацию из медкарты получить не смогут.

Такой подход позволит обеспечить как минимум более высокое качество консультаций при сохранении должного уровня конфиденциальности медицинской информации. Однако не стоит забывать, что в работе с данными возможности пациента, как и иных не уполномоченных специально лиц, не должны выходить за рамки просмотра. В противном случае возникает риск нарушения достоверности данных, что, в свою очередь, может привести, скажем, к назначению неправильного лечения и навредить самому пациенту.

Цифровизация должна охватить процессы взаимодействия не только пациентов и врачей, но и медицинских учреждений между собой. Если пациент наблюдается в одном медучреждении и возникает необходимость направить его в другое, то там, как правило, требуется заново заводить его медицинскую карту. Было бы гораздо удобнее и эффективнее, если бы медкарта могла передаваться в защищенном виде в нужное учреждение напрямую. Это помогло бы ускорить оказание медицинской помощи, обеспечить полноту, достоверность и конфиденциальность данных.

Полнота передачи данных на бумажных носителях в другие медучреждения — одна из наиболее острых проблем, которая легко решается с помощью автоматизации. Бумажные медкарты и выписки, которые используются в большинстве медучреждений, — очень неудобный инструмент для передачи информации. Все записи ведутся от руки, в карты вклеиваются результаты анализов, рекомендации и рецепты. Для того чтобы перейти из одной поликлиники в другую и получить на руки свою медицинскую историю, пациенту приходится запрашивать выписки из этих пухлых тетрадей. Бумажные карты являются собственностью медучреждения, и просто забрать их можно далеко не всегда, не говоря уже о том, что они могут быть банально утеряны.

С помощью цифровых технологий медицинские данные можно передавать практически молниеносно, если при их передаче между медучреждениями соблюдаются нужный уровень безопасности и аутентификации обеих сторон и согласованность механизмов признания информации. Например, пациент переезжает в другой регион и ему необходимо прикрепиться к новой поликлинике — текущее медучреждение актуализирует информацию через сервисы СМЭВ, после чего данные его медкарты пересылаются в поликлинику по новому адресу. Пациенту не нужно писать бумажные заявления или выполнять какие-либо манипуляции — автоматизированные системы сделают все без его участия. А безопасность передачи конфиденциальных данных обеспечат криптографические методы защиты.

Еще одна возможность применения PKI в медицине — это обеспечение международного признания достоверности информации при трансграничном обмене, т. е. признания электронной цифровой подписи (ЭЦП), цифровых сертификатов и иных данных инфраструктуры открытых ключей, выданных в одной стране, медучреждениями другой. Этот аспект актуален для организации лечения за рубежом. Несмотря на непростую международную обстановку, подвижки в этом направлении есть даже сейчас — существует перечень доверенных лиц и третьих сторон, с помощью которых такое взаимодействие осуществляется.

Если говорить о будущем, то процессы взаимного признания электронных цифровых подписей других стран должны решаться на уровне межгосударственного регулирования. Даже сама инфраструктура открытых ключей когда-то была разрозненной. Со временем мировое сообщество пришло к единым атрибутивным стандартам, поэтому применение механизмов PKI по всему миру стандартизировалось. Сейчас задача состоит в том, чтобы страны научились признавать и доверять квалифицированным ЭЦП друг друга, а также имели возможность ознакомиться с информацией, полученной в машиночитаемом формате. И это тоже вопрос к системам управления PKI, которые останутся на стороне локальных разработчиков и позволят эффективно обеспечивать безопасность данных. Достичь признания ЭЦП на международном уровне помогут криптографические механизмы, инструменты защиты доступа и аутентификации, обеспечения подлинности, надежности, достоверности и неизменности данных в ходе ретрансляции.

Следующее направление применения PKI в медицине — это аутентификация врачей. Если врач сможет заверять рецепты электронной подписью, а аптеки будут принимать такие документы, это станет настоящим прорывом, откроет больше возможностей для телемедицины и ускорит оказание медицинской помощи и предоставление медуслуг в удаленных регионах.

Перевод всех процессов выдачи и проверки рецептов в электронный вид с использованием ЭЦП врача и медицинского учреждения способствовал бы снижению уровня махинаций в обороте рецептурных препаратов. Собранные таким образом цифровые данные можно будет аккумулировать в единой системе учета лекарств, доступ к которой получат и врачи, и аптеки. Это позволит анализировать потребность в препаратах и распределять их гораздо эффективнее.

Современные цифровые технологии могут помочь анализировать медицинские большие данные, например, истории болезней. Такой массив информации дает возможность изучать заболевания, собирать статистику, внедрять доказательные практики, использовать эти данные в обучении врачей и в научных исследованиях.
Важный аспект — обеспечение безопасности этих данных. Развитая инфраструктура на стыке систем управления доступом и аутентификацией позволит создать строгую систему контроля с разными рубежами, которая сможет защитить доступ и к данным, и к физическому оборудованию (лабораториям, аппаратам, местам хранения опасного биоматериала), наладить эффективное разграничение прав доступа к критичным результатам исследований и к конфиденциальным материалам в области медицины. В числе практических инструментов, которые могли бы для этого применяться, — многофакторная биометрия лаборантов, специальные паспорта и карты медслужащих с персональными ПИН-кодами.

Не во всех сферах медицины криптографические методы защиты оказываются гарантией безопасности. Например, о цифровых прививочных паспортах заговорили еще в конце 2020 г. Разработчики по всему миру были готовы предложить свои решения для защиты информации в таких документах. Однако на деле они были бы бесполезны, поскольку защититься от подделки или обеспечить реальную достоверность подобных паспортов практически невозможно. Конечно, паспорт или QR-код можно подписать ЭЦП врача. Но как проконтролировать, что врач, оформляющий паспорт, действительно поставил вакцину? В информационную систему можно внести любые данные, но проверить их бывает проблематично.

Евгений Галкин, владелец продукта и системный архитектор, компания «Аванпост»

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации; универсален для различных доменов, включая MS),
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра),
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO,  Device Control.

Экосистема программного обеспечения по управлению доступом построена на базе полностью собственного программного обеспечения, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.