На сегодняшний день мы наблюдаем стремительное развитие цифровых медицинских сервисов, которые осуществляют анализ результатов обследований на основе обширных данных. В связи с этим вопрос о врачебной тайне и конфиденциальности информации остается крайне актуальным.

С одной стороны, врачебная тайна защищается государством через установление запретов и механизмов защиты. С другой стороны, на этот вопрос влияет этическая сторона, которая регулируется специальными нормами медицинского права, как отмечает Александра Дронова, статс-секретарь и заместитель Министра здравоохранения Российской Федерации. «С развитием информационных технологий обеспечение врачебной тайны в процессе обработки и защиты информации, собранной от пациентов, становится чрезвычайно важным», — подчеркивает эксперт. Обработка такой информации сопряжена с рисками ее раскрытия, поэтому вопросы надежной защиты данных стоят на новом уровне [1].

Согласно Федеральному закону от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» [2], врачебная тайна охватывает разнообразные сведения, включая информацию о факте обращения гражданина за медицинской помощью, его состоянии здоровья, диагнозе и данных, полученных в процессе медицинского обследования и лечения [3]. Закон строго запрещает раскрытие этих данных лицам, которые стали их обладателями, за исключением случаев, предусмотренных законодательством [4].

Во-первых, при наличии письменного согласия гражданина (или его законного представителя) возможна передача сведений, составляющих врачебную тайну, другим гражданам и должностным лицам для проведения медицинского обследования, лечения и связанных процедур [5].

Во-вторых, в случае отсутствия письменного согласия допускаются следующие случаи (ч. 4 ст. 13 Закона № 323-ФЗ) [2]:

• в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю;
• при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
• по запросу государственных органов в определенных законом случаях — например, по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством;
• в целях контроля за исполнением лицами, признанными больными наркоманией, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании;
• в случае оказания медицинской помощи несовершеннолетнему;
• в целях информирования органов внутренних дел в определенных случаях — например, о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
• для проведения военно-врачебной экспертизы;
• для расследования несчастного случая на производстве и профессионального заболевания;
• при обмене информацией медицинскими организациями;
• для осуществления учета и контроля в системе обязательного социального страхования;
• для осуществления контроля качества и безопасности медицинской деятельности.

Эти строгие ограничения предназначены для обеспечения надежной защиты врачебной тайны и конфиденциальности пациентов в Российской Федерации. Термин «врачебная тайна» не отражает полный круг лиц, которые должны эту тайну соблюдать, — она относится не только к врачам, но и ко всему персоналу медицинского учреждения, куда обратился пациент, а также к любым людям, которым такие сведения стали доступны (например, фармацевты или юристы). Врачебная тайна включает не только медицинскую информацию, характеризующую состояние здоровья пациента, но и другие данные, такие как информация о местонахождении пациента, факт обращения за медицинской помощью, госпитализация, проведение обследований и т.д. [6, 7].

Эта концепция подчеркивает, что соблюдение врачебной тайны является обязанностью для всех, кто имеет доступ к медицинской информации пациентов, и несет важное значение для поддержания доверия пациентов к медицинской системе.

Законодательством Российской Федерации, а именно Основами законодательства о здоровье граждан от 22.07.93 № 5488-1 (Постановление № 5488-1), устанавливаются права граждан на сохранение конфиденциальности информации о том, что они обратились за медицинской помощью, и других сведениях, предоставляемых им при обращении за медицинской помощью. Эти права включают в себя требование информированного и добровольного согласия на медицинское вмешательство и право отказа от него. Подобные нормы и правила обращения с медицинской информацией также регулируются «Этическим кодексом российского врача» (Кодекс, 1994) [8].

Согласно статье 30 «Права пациента» Основ, при обращении за медицинской помощью и ее получении пациент имеет право на сохранение конфиденциальности информации о своем обращении за медицинской помощью, своем состоянии здоровья, поставленном диагнозе и других данных, полученных в процессе обследования и лечения, согласно статье 61 Основ. Кроме того, у него есть право выбирать лиц, которым можно разрешить доступ к информации о его состоянии здоровья (пункт 6.9 статьи 30) [8].

Статья 31 «Права граждан на информацию о состоянии здоровья» утверждает, что информация, содержащаяся в медицинских документах гражданина, является врачебной тайной и может быть раскрыта без согласия гражданина только в определенных случаях, предусмотренных статьей 61 Основ. Также гарантируется право каждого гражданина получить информацию о своем состоянии здоровья в удобной для него форме, включая сведения о результатах обследования, наличии заболевания, прогнозе, методах лечения, связанных рисках, возможных вмешательствах и их последствиях, а также результатах лечения [8].

Согласно статье 61 «Врачебная тайна», информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе и другие сведения, полученные при его обследовании и лечении, считаются врачебной тайной [8].

Право граждан на конфиденциальность передаваемой ими информации при получении медицинской помощи и другой информации, составляющей врачебную тайну, влечет за собой ответственность медицинских работников и других лиц за разглашение такой информации. Эта ответственность может включать административные, дисциплинарные или уголовные меры в соответствии с законодательством Российской Федерации и республик в составе Российской Федерации.

Проводя анализ регламентации правового статуса врачебной тайны, заведующая отделом социального законодательства Института законодательства и сравнительного правоведения при Правительстве РФ Наталья Путило заметила тенденцию на рост исключений из понятий того, что относится к врачебной тайне. Так, Основы законодательства Российской Федерации об охране здоровья граждан (утв. ВС РФ 22 июля 1993 г. № 5487-1, в настоящее время утратили силу) в первоначальной редакции содержало пять позиций об исключениях в отношении разглашения врачебной тайны, в то время как текущий закон в первоначальной редакции содержал 10 позиций, а в текущей редакции — 14. При этом следует учитывать решения КС РФ, который установил, что российское законодательство несовершенно в части медицинской тайны и требуется установление дополнительных оснований в части раскрытия врачебной тайны родственникам умерших пациентов в определенных случаях — разработка соответствующего законопроекта уже ведется, отметила эксперт. Все это говорит об увеличении исключений в части раскрытия информации, составляющей врачебную тайну [2].

Отдельного обсуждения заслуживает также вопрос о законодательном регулировании телемедицинских услуг [2]. Телемедицинские технологии представляют собой средства дистанционного взаимодействия медицинских специалистов с пациентами, идентификации участников и документирования медицинских консультаций и наблюдения. Существует два противоположных мнения в юридическом сообществе относительно необходимости дальнейшего регулирования телемедицинских технологий. Одни эксперты считают, что существующее регулирование недостаточно и требует ужесточения и детализации, включая вопросы врачебной тайны. Другие же считают, что текущие нормы достаточны и чрезмерное регулирование препятствует развитию новых информационных технологий [9].

В свете цифровизации медицинского сектора множество процессов обработки информации переходят в электронный формат. Вместе с увеличением объема информации возрастает ответственность за ее безопасность. Поэтому информационная безопасность в медицине требует соблюдения трех принципов: целостности, доступности и конфиденциальности. Защита необходима не только для информации, но и для инфраструктуры, обеспечивающей ее обработку. Кроме того, медицинская сфера является частью критической информационной структуры, и субъекты этой сферы обязаны обеспечивать защиту информации и соответствовать требованиям по безопасности [1].

Медицинские учреждения обладают множеством персональных данных сотрудников и пациентов, многие из которых относятся к врачебной тайне [10, 11]. Из-за этого они становятся всё более уязвимыми к различным киберугрозам, каждая из которых представляет уникальные вызовы и риски. Особую озабоченность вызывают атаки с использованием вымогательского ПО, что подтверждается атакой WannaCry в 2017 г., серьезно затронувшей Национальную службу здравоохранения Великобритании (NHS) и подчеркнувшей уязвимость медицинских систем к подобным угрозам [12].

Персональная медицинская информация (PMI) очень ценится на черном рынке. Поэтому кража данных также представляет значительные риски. Наглядным примером является утечка данных в Anthem в 2015 г., когда хакеры получили доступ к конфиденциальным данным 79 миллионов человек [13].

Фишинговые атаки — еще одна распространенная угроза, направленная на сотрудников медицинских учреждений с целью извлечения конфиденциальной информации или установки вредоносного ПО. Это произошло во время фишинговой атаки на Медицинский университет Вашингтона в 2019 г., которая затронула данные почти миллиона пациентов [14].

Внутренние угрозы, будь то намеренные или случайные, также являются проблемой в медицине. Примером может служить инцидент в 2018 г., когда медсестра в одной из больниц Нью-Йорка незаконно получила доступ к медицинским записям пациентов, нарушив конфиденциальность [15].

Растущее использование подключенных медицинских устройств или Интернета медицинских вещей (IoMT) влечет за собой новые уязвимости. Например, сообщение FDA о безопасности кардиостимуляторов в 2017 г. подчеркивает потенциальные риски, связанные с IoMT [16].

Атаки на цепочки поставок представляют собой еще один вектор киберугроз, где злоумышленники нацеливаются на сторонних поставщиков, связанных с медицинскими учреждениями. В 2020 г. крупная американская госпитальная система испытала нарушение безопасности через поставщика, что затронуло миллионы пациентов [17].

Атаки типа Distributed Denial of Service (DDoS) могут парализовать ИТ-системы здравоохранения, как это было показано во время DDoS-атаки на Бостонскую детскую больницу в 2014 г., что значительно нарушило работу больницы [18].

Поэтому информационная безопасность в медицине становится всё более важной. Искусственный интеллект (ИИ) является важным союзником в этом направлении, предлагая передовые решения для укрепления безопасности данных и сохранения конфиденциальности. Способность ИИ быстро анализировать огромные массивы данных, обнаруживать аномалии и реагировать на угрозы в реальном времени революционизирует подход к защите данных. От предиктивного анализа угроз до сложных методов шифрования, технологии на основе ИИ переформатируют способы, которыми мы защищаем и обрабатываем конфиденциальную информацию, обеспечивая более высокий стандарт безопасности в нашем взаимосвязанном мире [19, 20]. Системы ИИ превосходно справляются с анализом шаблонов и аномалий в больших объемах данных, что делает их более эффективными, чем традиционное программное обеспечение, в области выявления продвинутых угроз. Они могут изучать нормальное поведение сети и быстро определять отклонения, которые могут указывать на нарушение безопасности, такие как несанкционированный доступ или попытки эксфильтрации данных. Такое раннее обнаружение жизненно важно для предотвращения или минимизации последствий нарушений безопасности данных [21].

В ответ на угрозы ИИ может действовать быстрее, чем человеческие операторы. Как только угроза обнаружена, ИИ может немедленно предпринять действия, такие как изоляция затронутых систем, блокировка подозрительного сетевого трафика или активация других протоколов безопасности для предотвращения дальнейшего ущерба. Кроме того, способность ИИ проводить предиктивный анализ на основе исторических данных позволяет организациям заранее предвидеть и предотвращать потенциальные угрозы безопасности [22].

ИИ также повышает безопасность данных за счет улучшения методов шифрования. Оптимизируя шифрование, ИИ усложняет несанкционированным пользователям доступ к конфиденциальным данным. Эти методы шифрования на основе ИИ постоянно эволюционируют, опережая попытки злоумышленников взломать коды безопасности [23].

Еще одной областью, в которой ИИ вносит значительный вклад, являются системы биометрической аутентификации. ИИ улучшает распознавание лиц, сканирование отпечатков пальцев и распознавание голоса, обеспечивая более высокий уровень безопасности доступа к конфиденциальной информации по сравнению с традиционными паролями [24].

В области сохранения конфиденциальности при анализе данных ИИ может извлекать ценные данные из больших массивов данных, одновременно защищая отдельные точки данных. Техники, такие как дифференциальная конфиденциальность, обеспечивают, чтобы результаты анализа данных не нарушали индивидуальную конфиденциальность. Более того, инструменты ИИ имеют решающее значение для обеспечения соответствия требованиям законов о защите данных, таких как Федеральный закон № 152-ФЗ «О персональных данных», автоматически оценивая, соответствуют ли практики обработки данных в организации необходимым юридическим стандартам [25].

ИИ также улучшает системы управления безопасностью информации и событий (SIEM), коррелируя и анализируя сигналы безопасности из различных источников, что обеспечивает более полное понимание потенциальных угроз безопасности. Наконец, ИИ неоценим в выявлении шаблонов, указывающих на мошенническую деятельность в критически важных секторах, таких как финансы и здравоохранение, защищая учреждения и их клиентов от потенциального мошенничества [26].

ЗАКЛЮЧЕНИЕ

Одним из главных требований к системе является обеспечение конфиденциальности информации, которая в больших объемах сосредотачивается в медицинских организациях. Низкий уровень защиты конфиденциальной информации существующих медицинских информационных систем формирует риски хакерских атак на системы данных и использования персональных данных пациентов и работников отрасли в неприемлемых целях.

Интеграция ИИ в медицинские информационные системы значительно улучшает анализ и решение распространенных проблем, в частности, конфиденциальности и безопасности данных. ИИ имеет решающее значение для уменьшения этих проблем, предлагая сложные решения, которые традиционные методы могут не предоставить.

Алгоритмы ИИ могут мониторить и обнаруживать любые необычные действия или потенциальные угрозы в медицинских информационных системах. Анализируя паттерны и выявляя аномалии, ИИ может предоставить систему раннего предупреждения против хакерских атак, которые представляют значительный риск из-за низкого уровня защиты в существующих медицинских информационных системах.

Кроме того, ИИ может сократить рабочую нагрузку на ИТ-персонал в медицинских учреждениях, автоматизируя рутинные задачи, такие как резервное копирование данных, шифрование и процессы восстановления после катастроф. Эта автоматизация позволяет сократить расходы и минимизировать человеческие ошибки, которые могут быть дорогостоящими и вредными при обработке чувствительных медицинских данных.

Наконец, ИИ может способствовать повышению общей надежности медицинских информационных систем. Использование ИИ с передовыми алгоритмами для обнаружения угроз и реагирования на них может обеспечить более высокую безопасность и надежность, что имеет решающее значение при обработке чувствительной медицинской информации.