Только врач и пациент. И хакер посередине

Долгое время телемедицина была почти вне закона, и только 1 января 2018 года власти утвердили нормативную базу, легализовавшую использование подобных технологий в РФ. Были внесены изменения в основной ФЗ №323 «Об основах охраны здоровья граждан в Российской Федерации». Однако, это не значит, что сразу были решены вопросы безопасности использования телемедицины. И, несмотря на взлетевший спрос на такие сервисы в связи с пандемией, защищенность данных использующих их пациентов оставляет желать лучшего.

Привлекательность медицинской сферы для злоумышленников растет. Исследовательская компания Varonis называет сферу здравоохранения самой привлекательной для хакеров в 20201 году. Данные пациентов интересны как сами по себе (для получения доступа к финансовой информации), так и в качестве инструмента шантажа (блокирование с требованием выкупа) или «ступеньки» в ходе реализации хакерской атаки. По оценкам специалистов, за прошлый год произошли утечки данных более чем 100 млн медицинских записей. Большая часть из них – в результате действий злоумышленников, посредством активации программ-вымогателей. Сервисы телемедицины, в свою очередь, могут предоставить хакерам отличные возможности по краже данных «из первых рук». Конечно, не каждый человек может подвергнуться такой атаке, но состоятельным и(или) известным пациентам точно стоит беспокоиться. Как защитить себя, не дожидаясь возникновения инцидента? Поговорим ниже.

Мошенники на связи

Количество виртуальных визитов к медикам растет. В конце марта прошлого года в России пациентам с коронавирусом стали доступны круглосуточные онлайн-консультации врачей, и это вызвало шквал обращений. Развиваются специализированные приложения (для диагностики по селфи, анализу общего кожи и общего состояния и т.д.), появляются новые форматы общения с медиками. В США ритейлер Walmart во многих магазинах поставил компьютеры для связи с врачами, и есть все основания полагать, что подобная услуга скоро станет доступна и в России.

С развитием телемедицинских сервисов они становятся все интереснее для киберпреступников. Какие основные цели могут преследовать мошенники, атакующие подобные платформы?

1. Мошенничество с целью получения денег (обманом заставляют жертву заплатить за фейковые услуги)

2. Шантаж с целью получения денег (обманом получают информацию личного характера и потом требуют выкуп или обещают распространить информацию)

Таким образом, перед пользователями телемедицинских услуг стоят две основные задачи: не раскрывать свои данные посторонним и не оплачивать счета, в назначении которых нет полной уверенности.

Сначала о том, какие вопросы решаются в ходе удаленных консультаций с медиками. Врач в России не может поставить диагноз с применением телемедицинских технологий. Он может принять решение о назначении очной встречи, в рамках которой может быть поставлен диагноз. Либо после реального визита дистанционно корректировать лечение или собирать жалобы о текущем состоянии, делать диагностику по селфи кожи и т.д. Другие действия формально запрещены согласно действующему законодательству.

Теперь поговорим, на что важно обращать внимание при сеансе телемедицины, чтобы снизить риск контактов со злоумышленниками и возникновения инцидентов.

1. Важно убедиться, что медицинское учреждение оказывает телемедицинские услуги

При первом контакте с медорганизацией необходимо удостовериться, что оно в принципе существует и у него действительно есть услуги, связанные с телемедициной (пример). Как правило, если такой сервис предоставляется, существует утвержденный порядок его оказания, детальная инструкция. Как правило, для получения услуги необходимо придумать логин и пароль. Этот шаг довольно важный. Лучше сразу создать надежный пароль, который не используется вами на других сайтах или (еще хуже) в банк-клиенте. Воспользуйтесь сервисом для генерации паролей. Поверьте, прецеденты, когда утекали в общий доступ данные из сервисов телемедицины, уже были.

2. Установить корректное приложение на мобильное устройство или зайти на корректный сайт

Рекомендуем в данном случае ориентироваться на сайт, на котором, если у организации имеется приложение, можно и скачать его, и ознакомиться с условиями использования. Как здесь, к примеру. Потому что в магазине приложений можно найти приложения с таким же названием, но совсем другим функционалом. И общаться вы будете не с медицинским учреждением, а с мошенниками.

3. Убедиться, что сейчас связи происходит с тем врачом, которого вы выбрали

Бывает и такое, что сеанс связи происходит не с тем врачом, которого вы выбрали. Замену могут даже объяснить уважительной причиной: «доктор на операции», «это предварительная часть консультации с ассистентом» и так далее. Во избежание проблем, не соглашайтесь на замену.

В ФЗ этот момент оговаривается отдельно. «В целях идентификации и аутентификации участников дистанционного взаимодействия при оказании медицинской помощи с применением телемедицинских технологий используется единая система идентификации и аутентификации». Данный механизм применяется при подключении к сайту Госуслуги. Это достаточно надежная система на сегодня, и можно с большой долей уверенности говорить о том, что вы общаетесь действительно с тем врачом, к которому вы записались. В приложении или на сайте телемедицинской системы этот функционал должен быть встроен, в определенный момент вас попросят авторизоваться как в Госуслугах, не переживайте, эти данные не попадут в мед учреждение.

3. Должен применяться защищенный канал связи

Даже если вы общаетесь с настоящим доктором, которого выбрали, из самой что ни на есть реальной организации, отсутствие защищенного канала связи может поставить под удар ваши данные. Наличие защищенного канала подразумевает то, что применяется шифрование передаваемой информации, чтобы злоумышленники не смогли перехватить личную информацию о пациенте. Обычному пользователю, конечно, сложно убедиться, что все в порядке без специального программного обеспечения. Однако, можно посмотреть на верхнюю строку – адрес учреждения в браузере. Если он начинается с https (название протокола, обеспечивающего шифрование данных), то можно не беспокоиться. Вот такой пример можно привести.

4. Убедиться, что вы переводите деньги правильному адресату

Вас могут попросить перевести деньги по номеру телефона или другими нестандартными способами. Это должно быть звоночком о том, что что-то идет не так. Для проведения платежей рекомендуем использовать сайты с применением технологий безопасной оплаты, например, “Verified by Visa” или “MasterCard SecureCode”. В таком случае продавец проверяет, что действительно был запрос с вашей карты, запрашивая трехзначный код с оборота карты. Также обычно банк присылает цифровой код, который необходимо ввести и никому его не сообщать. Более подробная информация о безопасных платежах есть на сайте ЦБ РФ.

Если при использовании телемедицинских сервисов вы будете использовать эти несложные правила, вам удастся избежать большого количества опасностей, которые могут угрожать вашим данным и вашему кошельку. Однако, не стоит забывать о том, что злоумышленники постоянно придумывают новые способы реализации атак, и не терять бдительность. Любое отклонение от схем реализации услуг, описанных на сайте медицинских учреждений, должно вызывать у вас подозрение. Будьте аккуратны и будьте здоровы!