2020/11/12 15:02:30

Автоматизация в медицине.
Как системы управления доступом повышают качество обслуживания пациентов


Содержание

Основные статьи:

Управление доступом в структурах здравоохранения – важная часть процесса, направленного на повышение качества медицинского обслуживания и улучшения здоровья населения. Очень часто бывает жизненно важно обеспечить оперативный и необходимый доступ к приложениям, которые используются в медицинских учреждениях, и данным, которые в них обрабатываются. Гарантировать конфиденциальность, целостность и доступность медицинской информации, которая хранится в этих приложениях.

Проблемы с правами доступа в медицинских организациях

1. Утечки конфиденциальных медицинских данных из-за компрометации прав доступа

В последнее время практически все медицинские учреждения перешли на электронную форму хранения медицинских записей. Это повышает скорость оказания медицинской помощи и её качество, снижает затраты на администрирование и в целом улучшает здоровье населения.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 2.1 т

Здравоохранение работает с людьми и производит больше данных, чем любая другая отрасль. Эти данные, которые касаются и технологий, и пациентов, могут стать уязвимыми и подвергаться искажению или краже. Количество утечек конфиденциальной информации из-за компрометации учётных записей, хакерских атак с применением несанкционированного доступа в системе здравоохранения растет день ото дня. Так, по оценкам экспертов российского рынка информационной безопасности, около четверти всех атак на медицинские учреждения за первые 3 месяца 2019 года были совершены методом подбора учетных данных в информационных системах.

Как правило бюджеты системы здравоохранения тратятся на совершенствование ИТ-технологий, на инновации, которые касаются развития клинической деятельности, и не всегда уделяется внимание проблемам безопасности, в частности управлению доступом. А между тем, поскольку сбор медицинских данных и их хранение в электронном виде постоянно увеличивается, необходимо чётко разделять, кто нуждается в доступе к этим данным и в какое время.

В отличие от других отраслей системы здравоохранения, больницы и поликлиники в случае разглашения персональных данных пациентов или данных о состоянии их здоровья помимо судебных исков и штрафов могут столкнуться с колоссальными репутационными рисками – потерей доверия пациентов.

2. Экстренное обеспечение доступом медицинского персонала во время внештатных ситуаций

В последнее время медучреждения во всём мире столкнулись с чрезвычайной ситуацией, вызванной COVID-19. Естественно, мало кто был готов к такому развитию событий и во многих организациях отрасли обнаружились проблемы.

Потребовалось увеличение мест в больничных стационарах, дополнительное медицинское оборудование. В свою очередь это вызвало необходимость расширения штата медиков – тысячи врачей и медсестёр, студенты и волонтёры были привлечены к работе в организациях здравоохранения. Многим из них нужно было срочно переквалифицироваться, их нужно было обеспечить экстренным доступом в информационные системы. При этом помимо клинического персонала в медицинских учреждениях трудятся тысячи лиц смежных профессий: диетологи и фармацевты, социальные работники, технический персонал. Членам этой большой команды часто требовалось менять штатное назначение и своё местоположение, а значит, оперативно получать права доступа в информационные системы в новой точке присутствия. И если медик вовремя такой доступ не получит, он просто не сможет качественно оказать помощь пациентам.

3. Рост запросов на доступ из-за новых внедряемых в медучреждениях ИТ систем

Наряду с ростом численности персонала расширяется и спектр внедряемого в организациях здравоохранения программного обеспечения для оказания медицинской помощи и консультирования. Это очень удобный инструмент, дающий медикам быстрый доступ к медицинским данным как со стационарного компьютера, так и с мобильного устройства. Каждая новая ИТ-система рождает резкий скачок запросов на оперативное предоставление доступа к ней, даже если это необходимо лишь части медперсонала.

4. Очереди на доступ из-за нехватки ИТ-специалистов

В свою очередь каждое медучреждение при работе в стандартном режиме не может похвастаться большим штатом сотрудников ИТ-подразделений, да это и не нужно. Но в экстремальной ситуации, такой как пандемия, на сотрудников ИТ-подразделений ложится огромная нагрузка по обеспечению сотрудников срочными доступами и правами для непрерывной деятельности медучреждений. Подготовка новых пользователей – настройка всех необходимых учётных данных для входа в нужные системы – в ручном режиме может занимать несколько дней.

Предположим, что медицинская компания привлекла 1000 новых работников, им нужно предоставить доступ к пяти информационным системам – это выливается в 5000 заявок. В результате заявки выстраиваются в очередь, а сотрудники в ожидании доступа не могут полноценно выполнять свою работу. В случае с медициной, особенно в критической ситуации, это недопустимо, на карту может быть поставлена чья-то жизнь.

В экстренном случае медработникам также может потребоваться доступ не только на основании их стандартных ролей, но и какие-либо дополнительные права, чтобы обеспечить взаимозаменяемость персонала и непрерывность оказания медицинской помощи. Резкий всплеск таких запросов при их ручной обработке неизбежно создает очереди и тормозит процесс.

5. Проблема целостности медицинской информации

Помимо доступности - распределения большого числа новых работников и предоставления им необходимого доступа, конфиденциальности – защиты медицинской информации, которая проходит через приложения медучреждения, нужно обеспечить и её целостность.

Представим себе, что один из работников организации здравоохранения, например, лаборант, имевший в системе неоправданно расширенные права, заносил в карту пациента заключение об исследовании и случайно удалил назначения врача. В результате, больной вовремя не получил жизненно необходимое лекарство и, как следствие, его состояние резко ухудшилось. Пример демонстрирует, что отсутствие необходимых разграничений в правах доступа может привести к случайному или намеренному искажению или уничтожению информации, что обернется для пациента тяжёлыми последствиями вплоть до летальных.

6. Проблема удаленного доступа к медицинским данным

Одной из важнейших задач является обеспечение безопасного доступа для работников системы здравоохранения к медицинским программам и приложениям за пределами больницы или поликлиники. Потребность возникает, например, в случае выезда врача на дом к больному пациенту или же при оказании набирающих популярность услуг телемедицины. Необходима оперативная связь с медучреждением для просмотра истории болезни человека и реакции организма на различные препараты, передачи данных о текущем состоянии пациента и мерах реагирования на ухудшение состояния.

Это значит, что медики должны получать удалённый доступ к критически важным приложениям и отправлять данные на различные электронные устройства для координации медицинской помощи. Во всех этих сценариях специалистам требуется немедленный удаленный доступ к приложениям и ИТ-системам, быстрый обмен данными и соблюдение всех мер безопасности, гарантирующих сохранность данных. В одних случаях должен быть обеспечен только просмотр данных, чтобы работник не смог модифицировать информацию или удалить ее из медицинской карты. В других же случаях необходим расширенный доступ для оперативного согласования сложных манипуляций, чтобы обеспечить непрерывность медицинской помощи.

7. Замещение ключевых сотрудников

В любой организации здравоохранения есть ресурсы и информация, относящиеся к категории критически важных. Доступ к ним должен быть ограничен и жестко контролироваться.

Например, только старшая медсестра клиники имеет право оформить заявку на получение лекарств и медицинских препаратов, отнесённых к особой категории рецептурных – психотропные, наркотические и тому подобные вещества. А согласовать такую заявку может только заведующий отделением клиники. Но что делать, если кто-то из ключевых сотрудников вдруг заболел или ушёл в отпуск? Такие права необходимо незамедлительно делегировать другому медработнику, чтобы не прерывать рабочие процессы. При этом все данные об изменениях должны сохраниться, чтобы в любой момент можно было их использовать для проведения расследования.

IGA (Identity Governance and Administration)

Очевидно, что решить все вышеперечисленные проблемы управления доступом, задействовав лишь ручной труд ИТ-специалистов медицинских организаций, невозможно. Медучреждениям нужно брать на вооружения системы автоматизации процессов управления доступом. О возможностях наиболее передовых систем автоматизированного управления доступом IdM (Identity management) или, как как сейчас называют наиболее развитые решения, – IGA (Identity Governance and Administration) – расскажем ниже.

1. Управляем доступом к конфиденциальным медицинским данным

Решения по управлению правами доступа позволяют сохранить конфиденциальные клинические данные в безопасности, гарантируя, что сотрудники медучреждения имеют только необходимый им доступ для решения конкретных рабочих задач на основании разработанных политик. Например, медицинская сестра процедурного кабинета получит доступ к карте пациента только с правом просмотра для получения информации о назначениях. Врач отделения будет иметь полный доступ к картам только тех пациентов, с которыми он работает. А главный врач получит полный доступ ко всем документам клиники для контроля работы медицинского учреждения в целом.

Работники могут автоматически получать необходимые им права в медицинских информационных системах на основании той должности, которую они занимают, и ровно на то время, когда это необходимо. По окончании срока работы в компании доступ автоматически прекращается. В то же время администраторы систем управления доступом могут видеть полную картину доступа всех работников к информационным системам, получать отчёты о доступе сотрудника с момента его оформления на работу до момента прекращения работы в компании. Это позволяет выявлять и пресекать наличие избыточных полномочий у медработников, снижая риски несанкционированного доступа к конфиденциальным медицинским данным.

2. Обеспечиваем быстрый доступ к медицинским данным во внештатных ситуациях

Эффективное решение по управлению доступом позволяет соблюдать регламенты и требования организации здравоохранения и в тоже время обеспечивает работу сотрудников без задержек. Представьте себе экстренную ситуацию, когда в отделение скорой помощи нужно временно перевести несколько десятков врачей и медицинских сестёр из других отделений. Если в учреждении используется система управления доступом, то как только приказ о переводе будет подписан и внесён в кадровую базу данных, работники автоматически получат права доступа, соответствующие их временной позиции. А как только временный период истечёт, система уведомит об этом всех работников и их руководителей, временный доступ будет автоматически прекращён и все временные права аннулированы.

3. Автоматизируем доступ к медицинским ИТ-системам

Система управления доступом обеспечивает интеграцию с ключевыми приложениями и источниками данных, которые эксплуатируются в медицинском учреждении. В крупных организациях могут использоваться сотни различных приложений, необходимых в работе сотрудникам и контрагентам.

Технологическая инфраструктура медицинской организации часто представляет собой гибридную среду, включающую как стандартные решения известных поставщиков, так и решения собственной разработки. В ряду последних часто встречаются устаревшие системы, эксплуатировавшийся десятилетиями, которые тоже нужно подключать к общей экосистеме и обеспечить к ним удобный и быстрый доступ.

Внедрение централизованной системы управления доступом решает задачи такой интеграции, при этом система масштабируется для подключения новых приложений при расширении ИТ-ландшафта организации.

4. Снижаем нагрузку на ИТ-кадры в медучреждениях

С внедрением в организации решения IGA медики могут в автоматическом режиме получать необходимые им права в медицинских информационных системах на основании должности, которую они занимают, и ровно на то время, на которое это необходимо.

Участие сотрудника ИТ-подразделения в этом процессе не требуется. По окончании срока работы доступ автоматически закрывается. При необходимости получения дополнительных прав доступа работник может оформить заявку, через единый централизованный портал, которая будет направлена системой по заданному маршруту согласования и, при положительном решении, будет автоматически исполнена. Количество обращений в ИТ-службу сократится, так как любой работник медучреждения может отследить статус свой заявки через интерфейс системы. Ресурсы ИТ-подразделения освободятся для выполнения более важных задач.

5. Обеспечиваем целостность медицинской информации

Решения IGA позволяют управлять доступом к ресурсам организации на основании ролевой модели. Ролевая модель – это распределение прав доступа между сотрудниками в зависимости от того, какие роли они играют в медучреждении, какие функции выполняют. Младший медицинский персонал, который не принимает решений, а в основном является исполнителем, получит только роли, связанные с просмотром данных и только по специфике своего направления. Например, медсестре процедурного кабинета будут доступны только данные о назначенных процедурах пациенту отделения, где она работает.

Персонал белее высокой категории – врачи, заведующие отделениями – получат роли с возможностью не только просмотра, но и изменения данных для внесения информации о диагнозе, методе лечения, назначении препаратов и процедур и т.п. Кроме того в системе управления доступом сохранится вся история по предоставленным правам, и её, в случае необходимости, можно будет использовать для анализа событий и разбора конкретных происшествий.

6. Обеспечиваем безопасный удаленный доступ к медицинским данным

Для организации безопасного удаленного доступа помимо настройки защищённого канала передачи данных помогут и заранее разработанные ролевые модели, чтобы каждый врач получал удалённый доступ по заранее определённой роли только к тем данным, которые ему нужны для работы. Также поможет атрибутная модель, когда при предоставлении доступа в ИТ-систему помимо роли будет учитываться ещё и дополнительный атрибут (код) устройства, с которого осуществляется запрос. Здесь будут востребованы и дополнительные средства двухфакторной аутентификации, чтобы исключить риск захвата учётных данных мошенниками. Вторым фактором может стать устройство, которым владеет медработник и на который поступает одноразовый код доступа в медицинскую систему.

7. Настраиваем функции замещения и делегирования

С использованием IGA-системы управления доступом вопросы временного отсутствия ключевых сотрудников больше не будут проблемой. В программе можно назначить заместителя вручную, однако система может сделать это и автоматически, на основании поступившего сигнала из кадровой базы, когда в ней появляется информация, что ответственный работник ушёл в отпуск. При этом возможна настройка как полного замещения сотрудника с передачей всего функционала, так и разрешение на использование отдельных ролей/функций.

Процессы согласования в медучреждении не должны буксовать в случае отсутствия кото-то из руководства. Поэтому в системе IGA можно настроить делегирование согласования, причем сделать это как оперативно, так и заблаговременно. Для этого в маршрут согласования вносятся соответствующие критерии предельного времени ожидания и дальнейшего сценария согласования заявки.

Очевидно, что организации здравоохранения нуждаются в создании полноценной системы управления доступом, которая обеспечит безопасный доступ к медицинским данным: будет включать в себя управление идентификацией, правами, привилегированным доступом и систему единого входа (однократного ввода учётных данных) для удобства пользователей.

При этом, чем больше рутинных или стандартизованных процессов будет автоматизировано, тем выше будет эффективность работы персонала и меньше ошибок.

Какие преимущества получат медицинские организации и их персонал, если возьмут на вооружение системы управления доступом?

1. Автоматизация

Позволит оптимизировать процедуры принятия решений по доступу к ресурсам организации. Это исключит ошибки, повысит скорость обслуживания пациентов и выполнения работ, снизит затраты на обеспечение безопасности медицинских данных. Выдача прав доступа на основании ролей пользователей позволит медперсоналу оперативно, без простоев, начать свою работу.

Возможно оперативное изменение доступа на основании изменения позиции работника в организации или замещения.

Автоматическое аннулирование доступа, блокировка учётных записей работников, покинувших учреждение или прекративших договор с ним, позволит сократить риски несанкционированного доступа.

2. Система подачи заявок

Обеспечивает понятный и прозрачный процесс оформления запросов к информационным системам на дополнительный доступ, чтобы работники могли самостоятельно подать заявку. Система по управлению доступом имеет единый интерфейс для оформления и согласования запросов.

Заявки автоматически направляются на согласование/утверждение по маршрутам, определенным политикой организации. Все участники процесса своевременно получают информацию об этапах прохождения заявки.

4. Отчётность

Встроенная система отчетности снижает затраты на проведение аудитов и сбор необходимой информации. Продвинутые системы могут автоматически создавать аудиторские журналы и отчеты о доступе ко всем ключевым приложениям компании.

Возможность быстрого создания новых отчётов и изменения существующих в графическом редакторе позволит удовлетворить любые требования по проверке доступа, как со стороны внутреннего контроля, так и со стороны внешних регуляторов.

Подведем итог

В результате внедрения такой системы медицинская организация получит:

  • Управление доступом каждого сотрудника на протяжении всего жизненного цикла его учётной записи
  • Полную картину прав доступа: кто имеет доступ, к чему и на основании чего
  • Контроль и разграничение доступа к приложениям, содержащим конфиденциальные данные
  • Высвобождение ресурсов ИТ-команды за счёт отказа от ручных процессов управления доступом
  • Защиту репутации медицинской компании от случаев несанкционированного доступа и предотвращение судебных исков

Основная задача здравоохранения – повышение уровня обслуживания и достижение наилучших результатов в лечении пациентов. Внедрение решения по управлению доступом IGA является стратегической инвестицией, которая поможет медицинской организации получить максимальную отдачу от своих сотрудников и процессов, обеспечить высокий уровень врачебной помощи и сервиса, а также успешно развиваться, минимизируя сопутствующие риски.

Автор: Людмила Севастьянова, менеджер по продвижению Solar inRights

Новые технологии в здравоохранении