CC BY
16
материалы конгресса «здоровые дети - будущее страны»
М165
НЕКОТОРЫЕ НОВЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ МЕДИЦИНСКИХ ДАННЫХ В СИСТЕМАХ ИХ ХРАНЕНИЯ
© Котиков Павел Евгеньевич, Тихомирова Александра Александровна
ФГБоу во «Санкт-Петербургский государственный педиатрический медицинский университет» Иинздрава россии. 194100, Санкт-Петербург, ул. Литовская, д. 2. E-mail: kotikovpe@rambler.ru
Ключевые слова: безопасность; данные; хранилище; управление.
Актуальность проблемы защиты медицинской информации подтверждается целым рядом резонансных случаев хакерских нападений на компьютерные системы. Несмотря на ряд существенных достижений и положительных тенденций в области информатизации медицины в России, защита данных в распределенных хранилищах медицинских данных остается одним из наиболее слабых мест. В анализе исследователей по состоянию проблемы показано, что наиболее тревожной является ситуация с неуклонным ростом утечек данных, в том числе и персональных данных пациентов. Даже если предположить, что в ряде случаев утечка включала данные, к которым имели легальный доступ сотрудники медицинского учреждения, каждый третий случай приходился на внешнюю атаку. Также нужно отметить, что, согласно обобщенным данным, на внешние атаки приходятся семь из восьми утечек объемом более десяти миллионов записей в хранилищах данных. В таких случаях последствия для организаций здравоохранения могут быть катастрофическими.
Все это приводит к необходимости обеспечения защиты не только коммуникаций, операционных систем и других элементов инфраструктуры медицинских информационных систем, но и хранилищ данных как еще одного барьера на пути злоумышленников.
Вместе с тем, на сегодняшний день работы в области обеспечения безопасности баз данных направлены в основном на преодоление существующих и ранее известных уязвимостей, реализацию основных моделей доступа и рассмотрение вопросов, специфичных для совершенно конкретной системы управления данными. Характерно, что современные исследования в области безопасности управления данными ограничиваются развитием концепции конфиденциальности, целостности и доступности данных, что не во всем соответствует актуальным требованиям к системам защиты и информационной безопасности программных решений. Рассмотрение ведется в контексте конкретных методов защиты, а не целостного анализа проблемы. Исследования часто посвящены конкретным программным продуктам, а не всему классу соответствующего программного обеспечения.
Для специалистов по системам хранения данных особенно очевидным становится усугубление общих проблем безопасности данных появлением и широким распространением «нереляционных» хранилищ данных и СУБД (систем управления базами данных), оперирующих другой моделью данных, но построенных по тем же принципам и имеющих аналогичное назначение, что и традиционные, реляционные серверы. По сути, многообразие современных, так называемых NoSQL («нереляционных»), решений приводит к разнообразию применяемых моделей данных и размывает границу понятия «база данных», о чем справедливо указывается во многих исследованиях. Следствием этих проблем и отсутствия единых методик является нынешняя ситуация с безопасностью NoSQL-систем. При этом, так называемый «нереляционный» подход, все чаще применяется в системах с высокими требованиями к оперативности, например, обеспечение работы в режиме реального времени. NoSQL- решения активно завоевывают популярность у разработчиков медицинских информационных систем. Все эти программные продукты на платформе NoSQL появились на рынке недавно и еще не успели пройти путь «проб и ошибок», характерный для их более зрелых реляционных аналогов. Известно, что в большинстве NoSQL-систем отсутствуют не только общепринятые механизмы безопасности вроде шифрования, поддержки целостности и аудита данных, но даже развитые средства аутентификации пользователей.
Известная двойственная природа систем баз данных, связанная с наличием двух компонентов (собственно хранимые данные и программы управления ими), требует раздельного рассмотрения уязвимо-стей данных и безопасности по направлениям, применительно к обстоятельствам, зависимым от данных и независимых от данных. Для преодоления обозначенных проблем в медицинских информационных системах потребуется активное взаимодействие медицинских работников и компьютерных специалистов.
♦ педиатр
2017 том 8 спецвыпуск
issn 2079-7850
