Безопасность данных в клинических исследованиях

Современные клинические исследования все больше зависят от цифровизации и средств управления данными. Электронные индивидуальные карты пациентов, интерактивные системы рандомизации, автоматизированные базы лабораторных данных, базы данных по безопасности стали привычными в рутинной практике проведения исследований лекарственных препаратов. В дополнение проведение клинических исследований подразумевает широкое вовлечение самых различных сторон и организаций: это и пациент, и врач-исследователь, другие члены исследовательской команды, а кроме того, компания-разработчик, контрактно-исследовательская организация, подразделение обработки данных, центральная лаборатория, складские и логистические компании и многие другие структуры. Безусловно, оперирование данными на бумажных носителях, использование средств вычислительной техники и сети Интернет в дополнение к многообразию участников процесса требуют особого внимания к вопросам обеспечения безопасности данных, ведь данные, состоящие из информации о персонале и пациентах, а также технологические ноу-хау пользуются большим спросом у преступных группировок.

В последнее десятилетие государства преимущественного числа стран мира вплотную обеспокоились развитием регулирования в сфере безопасности данных. Так, было принято множество законодательных актов как на наднациональном, так и на национальном уровнях, в том числе нацеленных на надлежащую защиту данных медицинского характера. Так, в ЕС в 2018 году вступил в силу Общий регламент по защите данных (GDPR), который установил более строгие правила обработки персональных данных, в том числе данных пациентов. В США в 2009 году был принят Закон о технологическом содействии медицинскому учету и информации о здоровье (HITECH), который расширил сферу действия Закона о переносимости и подотчетности медицинского страхования (HIPPA) и усилил требования к обеспечению медицинской информации. Параллельно международные организации такие, как ВОЗ и ICH выпустили рекомендации и руководства по обеспечению конфиденциальности данных в клинических исследованиях.

В большинстве развитых стран предусмотрены серьезные штрафные санкции и даже уголовная ответственность за ненадлежащую защиту информации. В США штрафы за каждое нарушение по закону HIPAA при утечках медицинских данных могут достигать 50 тыс. долларов; в Германии утечка медицинских сведений может повлечь за собой штрафы в размере до 10 млн. евро или 2% от оборота компании согласно GDPR; в соответствии с Законом КНР о защите персональных данных, который вступил в силу в 2021 году, за несоблюдение обязанностей по защите медицинских данных предусмотрен штраф в размере до 1 млн. юаней, а за кражу или незаконный доступ к компьютерной информации, в том числе клиническим данным, грозит наказание в виде лишения свободы на срок до 7 лет.

В процессе рутинной работы любая компания, задействованная в проведении клинических исследований, будь то спонсор, исследовательский центр, контрактно-исследовательская организация или логистическая компания могут столкнуться как с внутренними, так и с внешними угрозами безопасности данных. Внутренние угрозы компании с точки зрения защиты данных – это риски утечки конфиденциальных данных или нарушения их целостности со стороны самой компании, ее сотрудников или систем. К примерам внутренних угроз можно отнести намеренные действия сотрудников, например, кражу данных, промышленный шпионаж, нарушение политик безопасности, непреднамеренные ошибки персонала, в том числе отправка данных не по адресу, утеря носителей с данными, утечка через личные устройства, низкий уровень осведомленности о безопасности (когда сотрудники не знают о правилах работы с данными, используют слабые пароли, не меняют или разглашают пароли), похищение данных увольняемыми работниками перед уходом из компании, нарушение принципа минимальных привилегий (в случаях, когда сотрудникам предоставлен доступ к избыточному объему данных), несоблюдение политик безопасности (когда сотрудники игнорируют правила работы с данными, установленные в компании), установка несанкционированного программного обеспечения, в том числе вредоносного, на рабочие компьютеры.

В отличие от внутренних угроз, внешние угрозы информационной безопасности — это угрозы со стороны внешних по отношению к компании субъектов, неаффилированных с ней. К примерам внешних угроз безопасности можно отнести кибератаки с целью кражи, вымогательства, нанесения ущерба или шифрования данных; несанкционированный удаленный доступ к системам компании через уязвимости в сетях и приложениях; утечки через облачные сервисы, вызванные ненадежной конфигурацией облачных хранилищ данных; перехват данных при передаче по незашифрованным каналам связи; атаки на подрядчиков и партнеров с целью получения доступа к данным, например, взлом систем ИТ-компании, обслуживающей сеть, а также преднамеренные действия самих подрядчиков; кража оборудования с данными или несанкционированный физический доступ к данным путем проникновения в офисы и складские помещения, где хранятся данные.

При этом при проведении клинических исследований можно выделить следующие типовые нарушения требований безопасности данных. Со стороны спонсоров исследований — недостаточное контролирование соблюдения требований безопасности данных подрядчиками, некорректное анонимизирование данных пациентов при публикации результатов, необеспечение надлежащего резервного копирования данных. Со стороны складских и логистических компаний — ненадлежащее хранение и транспортировка биоматериалов и документации по исследованию, утечка данных о логистике исследуемого препарата. Со стороны исследовательских центров —нарушение протокола исследования, что может привести к недостоверности данных, ненадлежащее обеспечение конфиденциальности данных субъектов исследования. Со стороны контрактно-исследовательских организаций — ошибки при вводе и обработке данных исследования, отсутствие должного хранения и архивирования данных по завершении исследования.

Очевидно, проведение клинических исследований связано с обработкой большого объема данных, в том числе о разработках, исследовательских центрах, логистике, транспортировке и хранении препаратов, персональных данных пациентов, данных об эффективности и безопасности исследуемых препаратов. В свою очередь государственные регуляторы и спонсоры клинических исследований предъявляют все более и более высокие требования к обеспечению их защиты, ведь ответственный подход к защите данных со стороны всех участников процесса клинических исследований критически важен для обеспечения прав пациентов, достоверности результатов исследований, соблюдения этических норм и защиты интеллектуальной собственности.

Чтобы снизить угрозы и минимизировать риски, связанные с возможными утечками, субъектам, участвующим в проведении клинических исследований, необходимо выстраивать эффективную систему управления информационной безопасностью, в том числе путем:

• проведения комплексного аудита и анализа рисков с точки зрения безопасности данных; 

• внедрения политик и регламентов по информационной безопасности и работе с данными, в том числе ограничивающих возможности сотрудников по несанкционированному использованию информации;

• тщательного отбора персонала и background check кандидатов, особенно для должностей, связанных с доступом к ценным данным, регулярного обучения работников правилам информационной безопасности и основам кибергигиены, внедрения системы разграничения и минимизации доступа к данным на основе ролей, оперативного блокирования доступа увольняемых сотрудников к информационным системам и данным;

• имплементации современных систем защиты от кибератак: межсетевых экранов, IPS/ IDS, антивирусов, систем защиты от DDoS атак;

• использования DLP (Data Loss Prevention) систем — программных или программно-аппаратных решений, которые позволяют контролировать и блокировать несанкционированные попытки скачивания, копирования или передачи конфиденциальных данных, анализируют содержимое трафика, почты и файлов; а также внедрение SIEM (Security Information and Event Management) систем — программных комплексов, которые в режиме реального времени собирают и анализируют информацию о событиях безопасности из разных источников и позволяют быстро выявлять инциденты и угрозы, в том числе утечки данных;

• валидации систем сбора и обработки данных;

• шифрования конфиденциальных данных как при хранении, так и при передаче по сетям;

• организации процесса управления уязвимостями и обновлениями программного обеспечения;

• осуществления резервного копирования критически важных данных;

• ограничения и контролирования удаленного доступа к корпоративной сети;

• внедрения организационных мер по обеспечению сохранности бумажных носителей данных;

• проведения мониторинга соблюдения требований безопасности данных подрядчиками;

• внедрения процессов надежного уничтожения данных по завершении исследований.

Такой комплексный подход со стороны всех участников процесса клинических исследований критически важен для обеспечения прав пациентов, достоверности результатов исследований, соблюдения этических норм и защиты интеллектуальной собственности.