Кибербезопасность в медицине: ключевые угрозы и решения
Медицинские данные на черном рынке стоят дороже банковских — в среднем цена на них в 10–20 раз выше. Причина в том, что они содержат полный профиль человека: паспортные данные, страховые номера, диагнозы, — все, что позволяет строить сложные схемы мошенничества.
Мы в Purrweb разрабатываем цифровые продукты для здравоохранения и понимаем, что безопасность здесь базовая необходимость. Разобрались, с чем на практике сталкиваются клиники и как выстроить киберзащиту в условиях ужесточающегося регулирования, а также поговорили с Кариной Колобовой, советником, экспертом по медицинскому праву, руководителем практики юридической фирмы VERBA LEGAL, которая ответила на ряд правовых вопросов, связанных с защитой информации в медицинских организациях.
Что «болит» у больниц: главные риски информационной безопасности
В первом полугодии 2025 года в мире зафиксировано 172 утечки конфиденциальных данных в медицинской сфере, что на 55,7% меньше, чем годом ранее. При этом на Россию пришлось 14 инцидентов. Страна занимает второе место в мире по числу утечек в здравоохранении — после США.
От каких угроз необходимо защищаться:
Вредоносное программное обеспечение (ПО). Киберпреступники используют вирусы‑шифровальщики для блокировки доступа к информационным системам. Восстановление работы становится возможным только после выплаты выкупа, а последствия включают простой клиники, перенос операций и потерю критических данных.
Утечки данных. Нарушение конфиденциальности может произойти как по неосторожности сотрудников, так и в результате целенаправленной хакерской атаки. В зоне риска — цифровые системы и физические носители информации, которые могут быть утеряны или уничтожены.
Фишинговые атаки. Сотрудники получают письма, имитирующие официальные запросы от банков, госструктур или внутренних сервисов. Переход по ссылке или открытие вложения приводит к компрометации учетных данных, которые затем используются для доступа к медицинским информационным системам (МИС). Сегодня фишинговые атаки — это основной инструмент проникновения в корпоративную сеть.
DDoS‑атаки. Их цель состоит в том, чтобы сделать информационную систему недоступной путем перегрузки запросами. Для медицинских организаций, которые зависят от непрерывного доступа к данным пациентов, электронным рецептам и телемедицинским сервисам, это означает фактическую остановку критических процессов.
«МИС обеспечивают социально значимые процессы по оказанию медицинской помощи населению и сохранению информации об этом, поэтому нарушение их функционирования может привести к значимому ущербу как для пациентов, так и для государства в целом».
Карина Колобова
Руководитель практики юридической фирмы VERBA LEGALУстаревшее программное обеспечение. Любое ПО содержит «дыры», которые разработчики закрывают с выходом обновлений. Если клиника не обновляет системы вовремя, уязвимости становятся точками входа для злоумышленников. Особенно остро проблема стоит для устаревших МИС, где исправление уязвимостей может требовать остановки работы.
Более 40% утечек в мировой медицине происходят не из самих клиник, а из систем партнеров — страховых компаний, маркетинговых агентств, ИТ‑подрядчиков. По данным SecurityLab, утечка данных у подрядчика Conduent, обрабатывающего платежи и документы для крупных медицинских страховщиков США, затронула не менее 26 миллионов человек и продолжает расти: злоумышленники с октября 2024 года по январь 2025 года похищали имена, номера социального страхования, данные о медобслуживании и страховых полисах.
- Селлеры жалуются на падение выручки из‑за блокировки VPN‑трафика маркетплейсами
- Малый бизнес может начать массово закрываться при медленном снижении ключевой ставки
- Эксперты советуют работодателям не мстить зумерам за внезапные увольнения
- Самозанятым на цифровых платформах дадут преференции. Объясняем в 100 словах
- Т‑Путешествия заключили партнерство с сервисом «Бронируй Онлайн»
- В России увеличили лимит сверхурочной работы до 240 часов в год
Как защитить данные клиники
Построить надежную защиту можно с помощью 6 ключевых методов.
Шифрование данных. Вся информация, которая хранится на серверах, передается между системами или выгружается на резервные носители, должна быть зашифрована. Это касается и электронных медицинских карт, и результатов исследований, и даже логов доступа.
Если злоумышленник получит физический доступ к диску или перехватит трафик, без ключа расшифровки данные останутся бесполезными. Для шифрования используют как встроенные средства операционной системы (ОС), так и специализированные решения.
Важно, чтобы ключи хранились отдельно от самих данных.
Разграничение доступа. Врач видит только карты своих пациентов, медсестра — назначения и показатели, администратор — расписание и контакты, но не диагнозы.
Двухфакторная аутентификация обязательна для любых удаленных подключений и для доступа к критическим системам. Учетные записи должны быть индивидуальными: запрещено использовать общий логин для нескольких сотрудников. Это не только требование законодательства, в том числе для объектов КИИ (критической информационной инфраструктуры), но и способ отследить, кто именно совершил действие в системе.
Резервное копирование и восстановление. Этот способ является основной защитой от программ‑вымогателей (ransomware). Если данные зашифрованы хакерами, у клиники должна быть возможность откатиться к последней чистой копии.
Резервные копии нужно хранить отдельно от основной сети (на изолированных носителях или в защищенном облаке), регулярно проверять их восстановление — иначе в критический момент может оказаться, что бэкапы тоже зашифрованы или повреждены. Время восстановления должно быть согласовано с бизнес‑процессами: для операционной и реанимации минуты простоя критичны.
Мониторинг событий информационной безопасности. Даже идеально настроенная защита не гарантирует, что атака не произойдет. Нужно видеть, что происходит в сети: кто и когда заходил в систему, откуда, какие файлы открывал, были ли попытки входа с необычных IP‑адресов.
Для этого используются SIEM‑системы (Security Information and Event Management), которые собирают логи со всех устройств и анализируют их в реальном времени. Особенно важно это для выявления внутренних нарушителей: если сотрудник в нерабочее время копирует базу пациентов, система должна зафиксировать это и отправить алерт.
Для объектов КИИ, к которым относятся медицинские информационные системы, наличие таких средств мониторинга — обязательное требование.
Регулярные внутренние аудиты и расследования каждого инцидента. Без них невозможно понять, работают ли установленные средства защиты и не появились ли новые уязвимости. Аудиты помогают выявить, где сотрудники отступают от регламентов, а где инфраструктура требует доработки. Даже если утечка была небольшой, важно разобраться, как она возникла, кто виноват и как не допустить повторения.
«В протоколы безопасности должно быть внедрено современное защитное и антивирусное ПО российской разработки, специальные программы фиксации и оповещения регулятора об инцидентах безопасности. Должны проводиться регулярные проверки безопасности и тесты на уязвимость, анализ рисков нарушений целостности защиты, должно быть назначено лицо, ответственное за защиту МИС. В работу МИС должны быть внедрены модели аутентификации, системы контроля доступа и учетных записей, протоколирования событий, организованы меры по предотвращению несанкционированного доступа, антивирусная защита.
При фиксации инцидента компьютерной безопасности должно быть проведено внутреннее расследование для выявления и устранения причин появления инцидента и его последствий».
Карина Колобова
Руководитель практики юридической фирмы VERBA LEGALОбучение персонала — самое проблемное место в обеспечении кибербезопасности. Сотрудники остаются главной уязвимостью любой системы защиты. Они могут открывать фишинговые письма, использовать простые пароли, передавать учетные данные коллегам или заходить в медицинскую систему через чужой компьютер и распространять личную информацию пациентов.
Чтобы этого не случалось, важно проводить с персоналом регулярное обучение: фишинговые рассылки‑тренажеры, обязательные курсы по безопасности, разбор реальных инцидентов.
Регуляторные требования для медучреждений
Можно выделить следующие базовые стандарты по обеспечению информационной безопасности для медицинских организаций.
152‑ФЗ «О персональных данных». Основной закон, который регулирует все, что связано с персональными данными.
Категории данных. Закон делит персональные данные на обычные (ФИО, адрес, телефон) и специальные (сведения о здоровье, диагнозы, результаты анализов). Вторые защищаются строже — и штрафы за их утечку выше.
С 30 мая 2025 года вступили в силу поправки к КоАП (Федеральный закон № 420‑ФЗ), которые ужесточают административную ответственность за нарушения при обработке персональных данных. Главное для бизнеса — введены оборотные штрафы за повторную утечку данных любого типа: от 3% годовой выручки, но не менее 25 млн и не более 500 млн рублей.
На сегодняшний день для коммерческих организаций и индивидуальных предпринимателей установлены следующие штрафы:
Для небольших утечек отдельного штрафа за объем не предусмотрено, но компания все равно может быть оштрафована по общим статьям — за любые нарушения правил работы с персональными данными.
«В норме об ответственности за утечку персональных данных специальной категории возможность привлечения к ответственности и размер штрафа не привязаны ни к какому количественному порогу утекших данных, что означает, что медицинская организация может быть привлечена к административной ответственности при утечке медицинских данных в любом, даже в некрупном, объеме».
Карина Колобова
Руководитель практики юридической фирмы VERBA LEGALУведомление об утечках. Оператор (клиника) обязан уведомить Роскомнадзор об инциденте в течение 24 часов после того, как стало известно об утечке. Задержки или сокрытие являются основанием для штрафа. Как уже говорили выше, объем таких штрафов для юрлиц и ИП составит 1‑3 млн рублей.
МИС официально отнесены к объектам КИИ. Для клиник это означает, что помимо стандартной защиты персональных данных им нужно выполнять дополнительные требования по безопасности, установленные для объектов КИИ.
Аттестация. Для государственных информационных систем (ЕГИСЗ, региональные МИС) обязательна аттестация по уровням защищенности. За это отвечает Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Приказы Минздрава. Есть отдельные ведомственные требования к защите данных в медицинских информационных системах. Они конкретизируют, как именно должна быть выстроена защита в клиниках (шифрование, разграничение доступа, журналы аудита и т.д.).
Чтобы повысить уровень информационной безопасности в медицине, Минздрав создал на базе ЦНИИОИЗ отраслевой центр обработки данных. Это система, которая помогает реагировать на кибератаки и инциденты. Главные задачи центра — методически поддерживать больницы и клиники, а также следить за проектами по кибербезопасности и импортозамещению.
Что планируется. В феврале 2026 года Федеральный центр гигиены и эпидемиологии Роспотребнадзора объявил электронный аукцион на создание единой защищенной сети передачи данных (ЕЗСПД). Стартовая цена контракта установлена на уровне 1,5 млрд рублей. Прием заявок от потенциальных подрядчиков продлятся до 13 марта 2026 года.
Как сообщает «Агентство Бизнес Новостей», цель проекта — создание инфраструктуры, которая объединит разрозненные объекты ведомства в единую безопасную ИТ‑среду. Это необходимо для того, чтобы привести ИТ‑системы в соответствие с обязательными требованиями, установленными для государственных информационных систем и значимых объектов КИИ.
Барьеры: почему защита все еще несовершенна
Даже когда руководство клиники осознает риски и готово вкладываться в безопасность, на пути встают системные проблемы, которые не решаются покупкой антивируса. Эти барьеры знакомы практически любой медицинской организации, от районной поликлиники до частной сети.
Бюджеты и приоритеты. Информационная безопасность долгое время оставалась невидимой статьей расходов. Пока атаки не случилось, сложно понять, зачем тратить миллионы на то, что не приносит прямого дохода. В приоритете всегда новое оборудование, ремонт или повышение зарплат. ИБ финансируется по остаточному принципу.
При этом, по данным отчета InfoWatch, стоимость утечки данных в медицине остается самой высокой среди всех отраслей и составляет в среднем 7,42 млн долларов США.
Кадровый дефицит. Медицинские организации сталкиваются с острым дефицитом профильных специалистов по информационной безопасности. Квалифицированные кадры традиционно сосредоточены в финансовом и ИТ‑секторах, где уровень оплаты и сложность задач выше.
В клиниках функции ИБ часто распределяются между штатными системными администраторами, чья компетенция не всегда покрывает требования к защите медицинских данных. Либо передаются внешним подрядчикам, которые зачастую недостаточно погружены в отраслевую специфику.
Проблема привлечения квалифицированных кадров для защиты информации в здравоохранении стоит остро во многих странах. Так, в России дефицит кадров в области информационной безопасности продолжает расти. Об этом заявили 18% респондентов опроса, проведенного «СерчИнформ» в рамках ежегодного исследования ситуации с информационной безопасностью в российских компаниях.
С нехваткой ИБ‑кадров организации справляются по‑разному.
Устаревшая инфраструктура. Многие клиники до сих пор работают на оборудовании и программном обеспечении, которое нельзя обновить без остановки работы. Замена серверов или миграция на новую версию МИС — это многомесячный проект с риском сбоев. В итоге системы годами эксплуатируются с известными уязвимостями, которые хакеры давно научились использовать.
Сложность интеграции. В медицинской организации одновременно сосуществуют десятки систем: МИС, лабораторные модули, диагностическое оборудование, телемедицинские платформы, бухгалтерия. Каждая имеет свои требования к безопасности, своих разработчиков, свои графики обновлений. Обеспечить единый контур защиты, который не нарушал бы работу этих систем, представляет собой сложную комплексную задачу. Часто компромисс находят в сторону работоспособности: руководители жертвуют безопасностью, чтобы не останавливать процессы.
Разрыв между требованиями и реальностью. Соблюдение требований 152‑ФЗ, законодательства о КИИ и стандартов ФСТЭК требует значительных ресурсов. Когда бюджет медицинской организации ограничен, приходится ранжировать задачи, откладывая меры, которые не дают быстрого видимого результата. В первую очередь это касается мониторинга, анализа рисков и внутренних аудитов.
В США, где регуляторное давление и бюджеты на ИБ выше, клиники признают, что одних лишь инструментов недостаточно — необходимо более эффективное управление ими, особенно в таких критически важных областях, как искусственный интеллект, внутренние угрозы и риски со стороны третьих лиц. В России, где рынок киберстрахования только формируется, а опыт реагирования на инциденты у многих организаций отсутствует, этот разрыв ощущается еще острее.
Перспективы: что изменится в ближайшие 3–5 лет
Выделим несколько ключевых трендов в сфере ИБ в медицине.
Искусственный интеллект в защите и угрозах. Использование ИИ‑агентов это главный тренд. Согласно прогнозам, такие агенты станут рабочим инструментом медицины уже в горизонте от трех до пяти лет. С одной стороны, они повышают защиту за счет автоматизации и прогнозирования атак. С другой, хакеры тоже применяют ИИ, а это означает новые риски для информационной безопасности.
Безопасность как основа проектирования. Концепция Secure by Design (конструктивная кибербезопасность) перестает быть рекомендацией и становится требованием: фундамент защиты закладывается на этапе архитектурного проектирования. Подход особенно критичен для медицинских стартапов, чьи приложения интегрируются с МИС.
Переход к проактивной защите. В России будет расти практика регулярных киберучений с симуляцией атак, разработка и отработка планов реагирования на инциденты, а также внедрение страхования кибер рисков как инструмента для покрытия потенциальных убытков.
Импортозамещение как системный вызов. Переход на отечественное ПО и оборудование, которое должно соответствовать требованиям ФСТЭК. С одной стороны, это снижает риски санкционных ограничений, с другой — создает вызовы совместимости и квалификации кадров.
Выводы и рекомендации
Даже в условиях ограниченных ресурсов можно закрыть основные уязвимости:
Для разработчиков медицинских ИТ‑решений: безопасность с первого дня. Встраивать безопасность постфактум сложнее и дороже, а часто и невозможно без вмешательства в архитектуру. Принцип Secure by Design должен быть заложен в основу проектирования — особенно для продуктов, интегрируемых с МИС и работающих с врачебной тайной.
При этом нужно учитывать, что на архитектурные решения влияет и общий контекст цифровизации в здравоохранении: готовность ИТ‑инфраструктуры к изменениям, наличие подходящих специалистов, финансирование, а также требования регуляторов.
