Электронная история болезни пациента, национальный стандарт Опции

[Игорь]

В конце 2007 года все информационные агентства России представили сенсационную новость типа:
"С 1 января 2008 г. в России вступает в силу первый национальный стандарт в области медицинской информатики под названием "Электронная история болезни пациента". Новый проект - это первый шаг к тому, чтобы рукописные тома медицинских карт навсегда остались в прошлом...." и т.д. в том же оптимистическом духе. Ссылка
http://www.utro.ru/articles/2007/12/27/705237.shtml и тут http://www.medtrust.ru/pls/arhivstatei/index.html?nid=4168, и еще во многих местах.

Поиск дал и ряд комментариев. Однако поиски самого стандарта успеха не имели. Прошу осведомленных читателей оказать помощь - ознакомиться с данным стандартом.

[плав]

1) Визу выдает та страна, в которую человек ввъезжает, а не из которой выезжает, так что любые разговоры об отказе в визе на основании баз данных собранных в стране являются глупостью
2) Биометрический контроль лишь позволяет установить, что владельцем паспорта является человек, его предъявляющий, никакого "глобального" контроля при этом нет
3) Во многих странах собираются базы данных (больничные и т.п.) сбор информации и доступ регулируется законодательством и о появлении на шведских лотках подобных баз данных я не слышал (кстати от копирования баз данных администраторами есть достаточно простые методы защиты, применяемые во многих учреждениях, где есть секретная информация - простейший варинат - отсутствие устройств для записи информации). Вот кто-то сам в руках ворованную базу данных из банка держал? Даже адресные базы (например, по Питеру) на самом деле были сворованы один раз (в 2003 году), а теперь каждый год предприниматели перебивают дату на файлах и продают ее как "новейшую". Так что тут мифов больше, чем фактов. А вреда эти мифы наносят очень много, поскольку из-за них регистры не работают, и важная для здравоохранения и пациентов информация получена быть не может.
4) Обычно базы данных находятся в таком виде, что информация о "прыщиках" там отсутствует - присутствуют процедурные коды и коды МКБ, так что неспециалисту разобраться сложно, а специалист найдет эту информацию куда проще.
5) Все разговоры об опасности баз данных и тотального контроля не имеют отношения к реальным ситуациям, а являются смесью фантастических романов с предсказаниями из "Откровения Иоанна Богослова" (правда, фантастические романы черпают идею оттуда же).

[Игорь]

В странном направлении повернулось обсуждение электронной истории болезни. Ну да ладно.

1) Визу выдает та страна, в которую человек ввъезжает, а не из которой выезжает, так что любые разговоры об отказе в визе на основании баз данных собранных в стране являются глупостью

Как отметил vs_fedorchuk, еще и выдают заграничный паспорт. От себя добавлю, что кроме визы, заранее проставленной в паспорте, при выезде Вас сверят с неким списком (списками) и могут просто не выпустить. Что за списки? Например, разыскиваемых судебными исполнителями должников. Почему бы в этом ряду не быть спискам больных (или лечившихся) гепатитом, туберкулезом, СПИДом, сифилисом, наркозависимостью и, не дай бог, еще какими гнусными напастями? Все возможно...

2) Биометрический контроль лишь позволяет установить, что владельцем паспорта является человек, его предъявляющий, никакого "глобального" контроля при этом нет

Нужно быть нерациональным и наивным государственником, чтобы пользоваться базами данных, содержащими оцифрованные отпечатки пальцев (а в перспективе и иные биометрические параметры: ДНК, сетчатка глаза), скажем 10 миллионов человек лишь для установления их личности. Нет никакого сомнения, что данные базы будут (и должны!) применяться в оперативной работе. И совсем уж грех не обменяться базами с зарубежными коллегами.

3) Во многих странах собираются базы данных (больничные и т.п.) сбор информации и доступ регулируется законодательством и о появлении на шведских лотках подобных баз данных я не слышал (кстати от копирования баз данных администраторами есть достаточно простые методы защиты, применяемые во многих учреждениях, где есть секретная информация - простейший вариант - отсутствие устройств для записи информации). Вот кто-то сам в руках ворованную базу данных из банка держал? Даже адресные базы (например, по Питеру) на самом деле были сворованы один раз (в 2003 году), а теперь каждый год предприниматели перебивают дату на файлах и продают ее как "новейшую". Так что тут мифов больше, чем фактов. А вреда эти мифы наносят очень много, поскольку из-за них регистры не работают, и важная для здравоохранения и пациентов информация получена быть не может.

Недостаток информации - не слишком убедительный аргумент. Вот хотя бы http://cifranews.net/articles/2007/48/kg74804.html. Это только за год. И то, что стало известным. По понятным причинам о большинстве случаев общественность не узнает никогда. Из последнего http://lenta.ru/news/2008/01/09/admin/
Именно, доступ регулируется. Посмотрите материалы по СОРМ, СОРМ-2 и зарубежным аналогам. Может быть это покажется парадоксом, но презумпция невиновности больше не применяется. Хотя бы здесь: http://lenta.ru/news/2007/03/09/tia/ и http://www.agentura.ru/timeline/1998/sorm/
Отсутствие средств записи? Это несерьезно. Даже не буду вдаваться в детали, как можно "спереть" базу. Мне немного приходилось заниматься информационной безопасностью в сети медицинского учреждения и пришлось изучить кучу литературы по данному вопросу. Поверьте, это не представляет никакой сложности.

5) Все разговоры об опасности баз данных и тотального контроля не имеют отношения к реальным ситуациям, а являются смесью фантастических романов с предсказаниями из "Откровения Иоанна Богослова" (правда, фантастические романы черпают идею оттуда же).

С данным тезисом согласиться не могу. Все мы в детстве восхищались удивительными научно-техническими предсказаниями Жюля Верна, Герберта Уэллса, Артура Кларка, зачитывались "Страной багровых туч" и "Лунной радугой". Мы желали, чтобы все фантастические технические решения стали реальностью. Однако, повзрослев, многие (но, очевидно, не все) поняли, что к указанным выше произведениям научной фантастики неизбежно прилагаются "Час быка" Ивана Ефремова, "1984" Джорджа Оруэлла и "У нас это невозможно" Синклера Льюиса. Оказалось, будущее уже с нами во всех его проявлениях.

Кстати, максимальный эффект для контроля дает не анализ одной базы, а совместный анализ целой группы баз данных, и медицинская информационная система здесь очень кстати. Отмечу, что сбор и анализ персональной информации (в соответствии с законом) я лично, как видно из данного и предыдущих постов, считаю одним из эффективных методов борьбы (даже еще лучше - предупреждения) террористических, экстремистских и преступных проявлений.

[плав]

Что за списки? Например, разыскиваемых судебными исполнителями должников. Почему бы в этом ряду не быть спискам больных (или лечившихся) гепатитом, туберкулезом, СПИДом, сифилисом, наркозависимостью и, не дай бог, еще какими гнусными напастями? Все возможно...

Ага, основная задача пограничной службы, чтобы ни один сифилитик НЕ УЕХАЛ из страны... Акститесь, задача служб (на самом деле санитарного контроля и миграционной службы) чтобы он НЕ ВЪЕХАЛ. Государство часто преследует свои интересы, но они разумные, а не параноидальные.

Нужно быть нерациональным и наивным государственником, чтобы пользоваться базами данных, содержащими оцифрованные отпечатки пальцев (а в перспективе и иные биометрические параметры: ДНК, сетчатка глаза), скажем 10 миллионов человек лишь для установления их личности. Нет никакого сомнения, что данные базы будут (и должны!) применяться в оперативной работе. И совсем уж грех не обменяться базами с зарубежными коллегами.

Ну да, и именно поэтому периодически вспыхивают скандалы, когда авиалинии отказываются сообщать американским спецслужбам имена летящих в США пассажиров. Более того, чем больше баз данных отпечатков пальцев, тем (помимо технических сложностей) она бессмысленнее - не забывайте, что отпечатки пальцев НЕ уникальны, а лишь редки. Аналогично и для ДНК-маркеров - они имеют смысл лишь тогда, когда анализ ограничевается относительно небольшой группой подозреваемых. Вспомните байесовскую статистику и информативность показателя при близкой к нулю априорной вероятности и все примеры использования байесовской статистики для оценки результатов скринига.

Недостаток информации - не слишком убедительный аргумент. Вот хотя бы http://cifranews.net/articles/2007/48/kg74804.html. Это только за год. И то, что стало известным. По понятным причинам о большинстве случаев общественность не узнает никогда.

И как Ваши примеры противоречат моему посылу? Данные были потеряны? Да. Их кто-нибудь использовал? Нет (даже в случае воровства банковских данных преступника поймали после того, как он использовал только 20 записей - больше денег из кошелька вытаскивают карманники на улицах). Так что Ваши примеры только подтверждают мой тезис о том, что электронные базы данных достаточно безопасны с точки зрения использования содержащейся в них информации
Что же касается СОРМ, то это хорошая иллюстрация неспособности использовать даже спецслужбами баз данных, к которым у них нет доступа - посмотрите исторю Blackberry в России - ФСБ разрешила использование только после того, как договорились, что сервер будет установлен в офисе МТС и сотрудники службы будут иметь к нему прямой доступ. Т.е. взломать защиту они не смогли - это как раз хорошо развенчивает все мифы о гениальных русских хакерах, которые все могут вскрыть, включая банковские базы данных.

Отсутствие средств записи? Это несерьезно. Даже не буду вдаваться в детали, как можно "спереть" базу. Мне немного приходилось заниматься информационной безопасностью в сети медицинского учреждения и пришлось изучить кучу литературы по данному вопросу. Поверьте, это не представляет никакой сложности.

Кстати, Вы проигнорировали мой вопрос, держали ли Вы в руках ворованную банковскую базу данных. Предполагаю, что нет. А написать в Интернете можно все, что угодно, вспомните прошлогодный обвал на рыках в Азии после поддельного сообщения о смерти Билла Гейтса.
Насчет не представляет сложности - не верю. Как кто-то может украсть базу данных в 4-5 Гбайт, если у компьютера нет портов для выхода, а Интернет-трафик мониторируется? Если все так все легко могут, почему до сих пор надо физически ломать игровую приставку PS2 Sony, чтобы проигрывать пиратские диски? Еще раз повторю, писать в Интернете может кто угодно и что угодно, поэтому проверка возможна только фактами (например, чаще всего банковские данные утаскиваются путем фишинга).

Кстати

С уважением vs_fedorchuk@oboz.com.ua*
*началась компания открытых лиц; прятаться за собачьими кличками становиться признаком дурным! Давайте не будем совками!

А потом человек будет удивляться, почему ему сыпется спам и обвинять провайдера в том, что тот продал базу электронных адресов или у него ее "украли хакеры". Никто не хочет признаваться в собственной глупости, а все валят на гениальных хакеров/злобное государство и т.п. А истина проста - сами виноваты, но мы же не можем быть виноваты!

С данным тезисом согласиться не могу. Все мы в детстве восхищались удивительными научно-техническими предсказаниями Жюля Верна, Герберта Уэллса, Артура Кларка, зачитывались "Страной багровых туч" и "Лунной радугой". Мы желали, чтобы все фантастические технические решения стали реальностью. Однако, повзрослев, многие (но, очевидно, не все) поняли, что к указанным выше произведениям научной фантастики неизбежно прилагаются "Час быка" Ивана Ефремова, "1984" Джорджа Оруэлла и "У нас это невозможно" Синклера Льюиса. Оказалось, будущее уже с нами во всех его проявлениях.

Ага, и имя зверя известно и число его 666. Тоже можно сказать, что предсказания о наводнениях и войнах сбываются - посмотрите начало Омена.

Кстати, максимальный эффект для контроля дает не анализ одной базы, а совместный анализ целой группы баз данных, и медицинская информационная система здесь очень кстати.

А Вы пробовали анализировать группу баз данных составленную разными организациями? А я пробовал, и могу сказать, что проблем очень много (они просто не споставимы по ключевым полям). И я работал с медицинскими базами данных (теми самыми с десятками тысяч записей), могу сказать, что там проблем очень много, и для злоумышленников они абсолютно неприемлимы, у нас специалисты-то в них плавают.

[Игорь]

Кстати, Вы проигнорировали мой вопрос, держали ли Вы в руках ворованную банковскую базу данных. Предполагаю, что нет. А написать в Интернете можно все, что угодно, вспомните прошлогодный обвал на рыках в Азии после поддельного сообщения о смерти Билла Гейтса.

Ну конечно же, не держал. Совершенно верно предполагаете. Но лучше переоценить противника, чем недооценить.

Насчет не представляет сложности - не верю. Как кто-то может украсть базу данных в 4-5 Гбайт, если у компьютера нет портов для выхода, а Интернет-трафик мониторируется? Если все так все легко могут, почему до сих пор надо физически ломать игровую приставку PS2 Sony, чтобы проигрывать пиратские диски? Еще раз повторю, писать в Интернете может кто угодно и что угодно, поэтому проверка возможна только фактами (например, чаще всего банковские данные утаскиваются путем фишинга).

По печальной статистике (в тему, однако!) 60% взломов совершается не снаружи, а изнутри корпоративной сети. Как украсть без портов? Ну, если настаиваете. Открываете на 5 минут доступ к каталогу архива на сервере и скачиваете базу через сеть. Или компьютер с базой берется на техобслуживание (пыль-то раз в год надо чистить) со всеми вытекающими последствиями. Или вынимается зеркало и ставится вместо него такой же чистый диск. Или просто дается администратору некоторая сумма денег, которая устроит его и Вас. Да много способов! Все зависит от фантазии.

И вот, сейчас буквально пришел спам (первый раз цитирую спам! Орфография оригинала сохранена):

Свeжие бaзы дaнных. (год-cтoимocть в уе)
Тамoжня Уkpаины 2006/2007-150/400
Tамoжня Poссии 2006/2007 -150/400
СПД-ЧПЕН 2006 - 200
База-дaнныx Ckoрnион Уkpаина 2006 - 200
Баланcы 2006/2007 -150
Обемы прoизвoдствa 2006 -150
Минcтат 2006/2007 - 150
Плательщики НДC 2006г -200
Физлицa 2006 - 150
Физлица+местo paботы 2006 - 400
ГHAУ 2005/2006/2007 - 100/150/200
Земля 2006 - 100, ГАИ 2005 - 150
Mнoжeство киeвских бaз
*пoстояннo покупaeм любые свежиe бaзы

Кстати, а не закрыть ли нам тему? Все уже сказано.

Будем соблюдать стандарты, законы РФ и приказы Минздрава, и все будет в порядке.