Конфиденциальность и удаленная психоаналитическая работа 


Комитет по конфиденциальности IPA подготовил этот краткий совет для членов IPA, которые могут беспокоиться о конфиденциальности при удаленной психоаналитической работе. Он пересматривает и обновляет более раннюю версию, опубликованную в апреле 2020 года.. [1] 


В начале 2020 года, в начале пандемии COVID-19, многим психоаналитикам пришлось быстро адаптироваться к использованию удаленных технологий без какой-либо подготовки или предупреждения, чтобы поддерживать контакт со своими пациентами и иметь возможность продолжать предлагать психологические услуги. здравоохранение. В условиях стресса, неуверенности и необычности новой ситуации членам IPA пришлось полагаться на свою внутреннюю стойкость, а также на поддержку коллег. 

В последующие месяцы многие аналитики и пациенты стали более знакомы с удаленной работой и в разной степени адаптировались к ней, но многие трудности все еще испытываются, а среда общения постоянно развивается. Аналитики и пациенты по всему миру используют различные физические устройства (телефоны, планшеты, компьютеры, маршрутизаторы и т. Д.), Операционные системы (Windows, MacOS, iOS, Android, Chrome и т. Д.) И программные сервисы (Skype, FaceTime, WhatsApp, Teams, Zoom, Signal и т. Д.), Часто практически без доступа к технической поддержке. 

Конфиденциальность важна для психоанализа. Сохранение конфиденциальности зависит от защиты конфиденциальности общения между пациентом и аналитиком, а также между аналитиками при обсуждении клинических материалов. К сожалению, никакие коммуникационные технологии не являются полностью безопасными. Вероятность потери конфиденциальности часто может быть небольшой, но практически все интернет-коммуникации могут быть перехвачены, материалы могут быть украдены или изменены, а последствия нарушения могут быть серьезными. Выполнение нормативных требований, таких как HIPAA (в США) или GDPR (в Европе), может помочь, но не делает технологию полностью безопасной. Возможен перехват любой формы коммуникации: видео, аудио, электронная почта, текстовые сообщения, социальные сети и т. Д. Конфиденциальность может быть нарушена либо внутри самого Интернета, либо в «конечных точках», где аналитик и пациент (или аналитик и аналитик) соответственно расположены: 

Риски перехвата в Интернете можно значительно снизить с помощью «сквозного шифрования» (E2EE). Это означает, что содержимое сообщения шифруется повсюду в Интернете, за исключением конечных точек, где оно должно быть понятным. При правильном администрировании это гарантирует, что перехваченные в Интернете сообщения не будут понятны третьим лицам. Некоторые системы используют E2EE, а некоторые нет. Были ложные заявления о его использовании (например, со стороны Zoom в начале 2020 года), поэтому то, можно ли доверять провайдеру, является важным фактором при выборе того, какую систему использовать. 

Конечные точки связи, где контент не зашифрован, защитить сложнее. Безопасность конечных точек включает в себя защиту устройств, которые используются каждым человеком (их компьютеры, планшеты, смартфоны и т. Д.), А также локальной среды, в которой они используются (например, дома или офиса), и ограничение того, кто имеет доступ к ним. В корпоративной среде, такой как больница или университет, где устройства поставляются и управляются центральной ИТ-службой, безопасность конечных точек можно относительно хорошо контролировать. Однако для большинства аналитиков и пациентов это не так; их безопасность конечных точек является специальной и зависит от того, какое оборудование они могут предоставить и какие меры они могут предпринять, чтобы защитить себя. Например, легко получить программное обеспечение, которое может записывать нажатия клавиш, сделанные на устройстве, или аудио или видео, захваченное его микрофоном или камерой. Скрытно установленное на устройстве такое «преследовательское ПО» может нарушить безопасность конечных точек. 

Общие советы по улучшению защиты конфиденциальности в Интернете 

  • Убедитесь, что физическая обстановка на обоих концах конфиденциально, без риска того, что аналитик или пациент будут подслушаны или вторгнуты. Это может быть труднее организовать для пациента, чем для аналитика, в зависимости от их обстоятельств. 
  • По возможности используйте только системы, обеспечивающие сквозное шифрование (Е2ЕЕ). 
  • Если возможно, используйте программное обеспечение с открытым исходным кодом, т. е. программное обеспечение, код которого опубликован и, следовательно, открыт для изучения мировым сообществом разработчиков программного обеспечения. Программное обеспечение с открытым исходным кодом с меньшей вероятностью будет включать скрытые «лазейки», которые могут позволить подслушивать. 
  • Держите все программное обеспечение в актуальном состоянии. Поставщики программного обеспечения обычно пытаются «залатать» новые уязвимости, как только они обнаруживаются; хакеры воспользуются любым, что не исправлено. 
  • Включите любой дополнительные функции безопасности об используемых вами услугах связи, таких как: видеоконференцсвязь, блокировка собраний после того, как все приехали; использование залов ожидания для проверки посетителей; требовать коды доступа для входа в собрания. 
  • Используйте надежные пароликак для ваших устройств, так и для любых приложений или служб, которые вы используете. Ваша интуиция относительно надежности запоминающихся, неслучайных паролей может ошибаться. Никогда не используйте простой, очевидный пароль, каким бы удобным он ни был. Подумайте о том, чтобы хранить свои пароли в диспетчере паролей или в браузере. Дополнительные советы по поводу паролей можно найти по нескольким ссылкам, указанным ниже. 
  • Если возможно, используйте выделенное устройство для связи с пациентами и отдельным устройством, которое никогда не подключается к Интернету или только на короткое время по мере необходимости, для администрирования, хранения заметок, бухгалтерского учета и т. д. 
  • Сведите к минимуму любую конфиденциальную и / или идентифицирующую информацию, передаваемую через Интернет. По возможности используйте псевдонимы или числовые коды вместо настоящих имен или других идентифицирующих деталей. 
  • Ограничьте риск несанкционированного доступа к устройствам или программному обеспечению с помощью двухфакторная аутентификация (2FA) там, где это возможно. Например, это требует от пользователя входа в систему как на используемом устройстве, так и на отдельном устройстве, таком как мобильный телефон. 
  • При личной работе в офисе / консультационном кабинете помните о возможности того, что любой мобильный телефон в комнате, принадлежащий пациенту или аналитику, может быть тайно использован в качестве устройства для мониторинга или записи без ведома владельца, и возможно даже после того, как он был выключен. 
  • Продумайте свои меры по резервному копированию и восстановлению и проверьте их, чтобы убедиться, что они работают. Они могут вам понадобиться однажды, если ваша система будет взломана. Резервные копии должны быть зашифрованы.

 

Подобные шаги снизят риски для конфиденциальности, так же как мытье рук, социальное дистанцирование и вентиляция уменьшат риски вирусной инфекции, но они не могут свести их к нулю. Если вы не уверены, как это сделать, по возможности обратитесь за помощью к тому, кто это делает.

Стать лучше информированным 

В целом ситуация сложная и постоянно меняется. Сделанные выше предложения отражают наши лучшие текущие взгляды, но они могут устареть в любое время. По этой причине и поскольку доступные советы экспертов не всегда однозначны, чем больше члены IPA узнают о кибербезопасности в целом, тем лучше они смогут защитить себя и своих пациентов. Дополнительные полезные инструкции широко и легко доступны в Интернете, и к ним прилагается выбор соответствующих ссылок. 

Альтернативные клинические подходы к управлению рисками 

Психоаналитики по-прежнему несут ответственность за обеспечение клинической конфиденциальности, даже если они не имеют надлежащего понимания технологии. Технология вводит параметр, который может повлиять на уверенность пациента в том, что конфиденциальность может быть сохранена. Каждый аналитик должен сделать клиническое суждение о том, как подойти к этим вопросам с каждым пациентом. Некоторые захотят обсудить ситуацию с пациентом, возможно, признав как невозможность гарантировать конфиденциальность, так и пределы их собственного понимания технологии. Другие предпочтут открытое слушание, исследование и интерпретацию как способы решения этих проблем, как и любой другой аспект аналитической ситуации. Психоаналитическое лечение в Интернете появилось слишком недавно и слишком много еще находится в процессе изменения, чтобы мы могли с уверенностью сформулировать какие-либо общие правила о том, как сделать такой выбор в текущих условиях текущего лечения. 

Запросы или комментарии? 

Если у вас есть какие-либо вопросы или комментарии по поводу этого совета, отправьте его по электронной почте в Комитет по конфиденциальности IPA: [электронная почта защищена] 

Несколько полезных ссылок 

BSI (Германия): Домашний офис aBSIchern? Geht ganz einfach.
https://www.bsi.bund.de/DE/Themen/Kampagne-einfach-absichern/Home-Office/home-office_node.html 

CCCS (Канада): Кибербезопасность дома и в офисе
https://www.cyber.gc.ca/en/guidance/cyber-security-home-and-office-secure-your-devices-computers-and-networks-itsap00007 

Ciberseguridad.com: Руководство по кибербезопасности в санитарном секторе
https://ciberseguridad.com/guias/sanidad/ 

ЧПУ (Португалия): Сидадао Киберинформадо
https://www.cncs.gov.pt/recursos/cidadao-ciberseguro/ 

EFF: Самозащита наблюдения
https://ssd.eff.org/ 

ESET: Cómo crear una contraseña fuerte en un minuto y proteger tu identitydad digital
https://www.welivesecurity.com/la-es/2016/05/06/crear-contrasena-fuerte-un-minuto/ 

правительство (Франция): Совет дополнительных пользователей
https://www.gouvernement.fr/risques/conseils-aux-usagers 

IPA: Отчет Комитета по конфиденциальности МПАе (2018)
https://www.ipa.world/IPA/en/IPA1/Confidentiality_Report_public_.aspx 

NCSA (США): Оставайтесь в безопасности онлайн
https://staysafeonline.org/stay-safe-online/ 

НККК (ВЕЛИКОБРИТАНИЯ): Cyber ​​Aware
https://www.ncsc.gov.uk/section/information-for/individuals-families 

NSA (США): Руководство по удаленной работе и мобильной безопасности
https://www.nsa.gov/What-We-Do/Cybersecurity/Telework-and-Mobile-Security-Guidance/ 

OSI (Испания): Будьте готовы: обеспечить безопасность и защиту ваших устройств в Интернете
https://www.osi.es/es/actualidad/blog/2021/03/08/empoderate-manten-seguros-tus-dispositivos-y-protegete-en-internet 

Впервые опубликовано 27 апреля 2020 г .; эта пересмотренная версия опубликована 10 мая 2021 г. 



1 Доступно здесь. В этой пересмотренной версии учтены рекомендации, предоставленные Россом Андерсоном FRS, профессором инженерии безопасности Кембриджского университета. Полный отчет профессора Андерсона доступен здесь.