Учреждениям здравоохранения придётся больше инвестировать в защиту от кибератак, чтобы не потерять доверие пациентов.
Проблема утечки данных из учреждений здравоохранения становится всё более заметной. По подсчётам InfoWatch, с 2023 года из российских медицинских организаций утекло более 66 млн записей. При этом риски и последствия таких инцидентов могут быть значительно серьёзнее, чем в случае кражи данных из других источников.
Подлинная ценность
Руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова объясняет, что, к примеру, при регистрации в онлайн–магазине пользователи часто используют вымышленные сведения. А вот в медучреждениях пациенты предоставляют исключительно подлинную информацию.
"Для злоумышленников это золотая жила. Такие данные позволяют проводить более изощрённые и успешные мошеннические атаки, например звонки от имени банка", — комментирует эксперт.
По словам директора Центра консалтинга Angara Security Александра Хонина, в принципе ценна любая информация о человеке, включая медицинскую и финансовую.
"Даже если сегодня технологии не позволяют использовать биометрические данные или геном, в будущем эти сведения могут быть использованы во вред пациентам или их родственникам (в случае утечек генетических данных)", — считает эксперт.
По словам бизнес–партнёра компании "Компьютерные технологии" Павла Карасёва, наиболее тревожным аспектом является высокая доля внутренних нарушителей. По оценке специалистов, в России около 21,4% инцидентов связано с действиями сотрудников медицинских учреждений. Это почти в 10 раз выше среднемирового показателя (2,3%).
"Причина в совокупности факторов. Недостаточный контроль доступа к системам, слабая мотивация персонала соблюдать политику информационной безопасности, а также возможность получения личной выгоды. Особенно востребованы биометрические и страховые данные — они ценятся на теневом рынке и могут использоваться как для мошенничества, так и для дискредитации", — отмечает Павел Карасёв.
Придётся платить
По данным "СёрчИнформ", в 2024 году 48% отечественных компаний столкнулись с утечками информации по вине сотрудников. В отрасли здравоохранения пострадала почти каждая третья (30%) организация.
Однако, как рассказал аналитик "СёрчИнформ" Максим Мостовой, в 2023 году инцидентов по вине сотрудников было больше: 66% по всем отраслям и 72% в сфере здравоохранения.
"На уменьшение повлияли рост компетенций сотрудников в области информационной безопасности после усиления атак в связи с геополитической ситуацией и оборотные штрафы", — поясняет эксперт.
С 30 мая 2025 года в России действительно введены новые штрафные механизмы. За повторную утечку может быть назначен штраф до 3% годового оборота компании, но не менее 20 млн рублей. Введены отдельные категории ответственности за утечку биометрических данных, а также повышенные штрафы за несвоевременное уведомление Роскомнадзора об инциденте.
"Это шаг в правильном направлении, — убеждён Павел Карасёв. — Однако эффективность таких мер напрямую зависит от готовности организаций инвестировать в технологии защиты, заниматься обучением сотрудников и регулярно проводить аудит систем безопасности. Сегодня, к сожалению, не все медучреждения — особенно региональные — располагают ресурсами на полноценную реализацию таких инициатив. Недофинансирование и неравномерная цифровизация создают серьёзные дисбалансы, усиливая риски".
Очевидно, что ситуация будет только усугубляться, поскольку в последние годы также отмечается и активизация внешних злоумышленников, включая хактивистов, которые стали рассматривать российские медучреждения в качестве привлекательных целей и чаще находить уязвимости в их инфраструктуре.
Один из наиболее кричащих примеров — компьютерные атаки на две крупные аптечные сети в конце июля 2025 года.
"Прямой финансовый ущерб для аптечных сетей “Столички” и “Неофарм” оценивается примерно в 500 млн рублей, включая простой и перерывы в работе, — рассказывает руководитель отдела технической поддержки продаж UDV Group Александр Уляхин. — При этом эта сумма не учитывает возможные штрафы и компенсации из–за утечки медицинских данных".
Разделить ответственность
Помимо финансовых медицинские учреждения сталкиваются и с серьёзными репутационными потерями.
"Безопасность данных пациентов — это условие их лояльности к клинике. Информация об утечке данных быстро распространяется в СМИ и социальных сетях, формируя негативный имидж клиники. Отрицательные отзывы и комментарии в интернете могут отпугнуть потенциальных пациентов", — комментирует генеральный директор Ассоциации частных клиник Санкт–Петербурга Александр Солонин.
По его словам, восстановление репутации после утечки данных требует значительных усилий и затрат. В условиях высокой конкуренции на рынке медицинских услуг Санкт–Петербурга утечка данных может стать серьёзным конкурентным недостатком.
"Пациенты будут отдавать предпочтение клиникам с более надёжной системой защиты", — убеждён Александр Солонин.
По мнению Кристины Буренковой, для медицинских организаций приоритеты в защите данных должны выстраиваться по принципу "от базового к сложному".
"Начинать необходимо с фундамента: аудита информационных систем и классификации данных, чтобы понять, что и где хранится и кто имеет к этому доступ. Следующий критически важный шаг — внедрение строгого разграничения прав доступа по принципу “минимум привилегий”, чтобы сотрудник имел доступ только к необходимым для работы данным. Параллельно следует применять технические средства защиты, такие как DLP–системы для контроля утечек и шифрование на всех ключевых точках. При этом эффективность мер невозможна без регулярного обучения персонала, поскольку человеческий фактор остаётся одним из основных рисков. Также необходимы регулярное пентестирование и формирование инцидент–команды для быстрого реагирования на угрозы. Без этого любая защита будет неполной", — считает Кристина Буренкова.
По мнению Александра Солонина, в перспективе хотелось бы реализовать концепцию распределения зон ответственности организаций и их сотрудников.
"У медицинских организаций есть определённая сфера своих высоких компетенций, которые достигаются за счёт больших затрат на образование врачей и инвестиций в высокие медицинские технологии. А защита персональных данных — это сфера высоких компетенций другой отрасли, — поясняет эксперт. — Поэтому если у медицинской организации заключён договор на обеспечение защиты персональных данных с высокопрофессиональной, сертифицированной государственными органами организацией, то риски и ответственность должны ложиться в большей степени именно на профессионалов по защите персональных данных".
По мнению Александра Солонина, необходимо стремиться к минимизации непрофильных дополнительных трудозатрат персонала клиники, чтобы он мог сосредоточиться на медицинской деятельности. А специалисты по защите персональных данных должны разрабатывать и применять новые инструменты, которые снижали бы ресурсоёмкость технических мер и временные затраты медицинского персонала.
