Коротко и по делу: утечки медицинских данных сейчас — одна из самых горячих тем. В 2025-м Россия вышла на 2-е место в мире по утечкам из медорганизаций, а вымогатели и ошибки людей продолжают бить по клиникам и пациентам. В статье — почему так происходит, где слабые места, и что сделать прямо сейчас, чтобы снизить риск.
Почему медицина под ударом
Медицинские данные «жирнее» обычных персональных: в них есть диагнозы, результаты анализов, страховые номера — всё, что позволяет и шантажировать, и монетизировать жульничеством. В 2023–2025 годах хакерские инциденты стали главной причиной утечек в здравоохранении, достигнув ~80% всех случаев в 2023-м и 83% в июле 2025-го.
Тренд усиливается масштабом: 2023 год побил рекорд — 133+ млн медицинских записей, а 2024-й «перекрыл» его из-за инцидента Change Healthcare (около 190 млн). При этом цепочка поставок и контрагенты заметно усилили вклад в крупные инциденты — бизнес-ассоциированные утечки бьют по десяткам миллионов людей.
Внутренние угрозы: человеческий фактор и злоупотребления
Российская специфика — необычно высокая доля «инсайдерских» инцидентов. За первое полугодие 2025-го каждый пятый случай в медицине приходился на внутренних нарушителей (21,4%) — в мире это около 2,3%. Пересмотр прав доступа, DLP и регулярные аудиты активности в медсистемах — must-have.
Бывает и прямое мошенничество: в 2025-м МВД пресекло схему, где злоумышленники, используя утёкшие полисы ОМС и персональные данные, «рисовали» липовые услуги и получали деньги из фонда — ущерб с 2021 года превысил 50 млн ₽. Это наглядно показывает, как лики бьют не только по приватности, но и по бюджету.
Внешние угрозы: вымогатели, цепочка поставок и ИТ-инциденты
Рэнсомварь — главный драйвер крупных утечек. В августе 2025-го о себе вновь напомнила атака на DaVita: затронуто 2,7 млн человек, зафиксированы расходы на восстановление и уведомления пациентов. Даже при сохранении медпомощи организациям приходится неделями латать ИТ-ландшафт и объясняться с регуляторами.
Картина месяца в США: 48 инцидентов в июле 2025-го (наименьший показатель с сентября 2024-го), но почти все крупные случаи — «хакинг/ИТ-инциденты». Это подтверждает: сеть, e-mail и поставщики остаются основными точками входа.
Свежие данные и тренды 2025: что важно знать
Россия — № 2 в мире по утечкам из медорганизаций (доля 8,1% против 55,8% у США) за I полугодие 2025-го. Зафиксировано 14 инцидентов, а темп роста ускорился относительно второй половины 2024-го.
На внутреннем рынке увеличилась доля аутентификационных данных в утечках (логины/пароли): 33,3% против 27,2% годом ранее — тревожный маркер компрометации учёток.
По оценкам ИБ-сообществ, за I квартал 2025-го в РФ — около 2400 атак на медицину и смежные сферы, +24% к году. Фармацевтика и аптеки — в зоне повышенного внимания злоумышленников.
Источник цифр — InfoWatch, Anti-Malware.ru, Reuters, HIPAA Journal.
Матрица угроз и контролей (внутренние vs внешние)
| Угроза | Типичный канал | Признаки/метрики | Приоритет | Ключевые меры |
|---|---|---|---|---|
| Внутренние ошибки (неверные права, «сноупинг», рассылка не тем) | EMR/ЛИС/МИС, e-mail, выгрузки | Аномалии доступа, всплески выгрузок, жалобы пациентов | Высокий | RBAC/ABAC, минимизация прав, аудит логов, DLP, обучение персонала |
| Злоумышленник внутри (кража баз/учёток) | Админ-доступ, съём копий, фото экрана | Ночные/массовые чтения карт, обход DLP | Критичный | PAM, раздельные роли, записи сессий, «двухконтроль», реагирование |
| Рэнсомварь/хакерская атака | Фишинг, RDP/VPN, уязвимые веб-сервисы | Шифрование серверов, утечка на тор-площадках | Критичный | MFA, EDR/XDR, сегментация, офлайн-бэкапы, патчи, playbooks |
| Цепочка поставок (вендоры/МСФ, интеграторы) | Бизнес-ассоциаты, MFT/обмен файлами, интеграции | Инцидент у подрядчика → уведомление | Высокий | Due diligence, DPIA, договорные SLA/PIA, мониторинг третьих лиц |
Комментарий. Данные HIPAA Journal показывают стремительный рост инцидентов у бизнес-ассоциатов, а июль 2025-го — доминирование «хакинг/ИТ» причин. Это усиливает требования к подрядчикам и к управлению интеграциями.
Что изменилось для клиник и аптечных сетей — «до/после» 2024–2025
До: ставка на периметр и формальную «галочку» соответствия. После: бессмысленно без сегментации, MFA и отработанных сценариев — иначе даже «устойчивость услуг» не спасает бюджет и репутацию, как видно на кейсах крупнейших операторов и поставщиков.
Ещё один сдвиг — таргет на фарму и розницу: доля инцидентов растёт, а интерес к аутентификационным данным означает удар по учёткам врачей, касс и интеграций с МИС/ERP. Это напрямую конвертируется в мошеннические схемы с ОМС.
Чек-лист быстрого укрепления (на 30 дней)
- MFA везде: VPN, почта, МИС/EMR, админ-учётки. Запрет слабых факторов.
- Сегментация: отделите ЛИС/МИС, бэкапы офлайн, запрет RDP из интернета.
- Инвентаризация данных: где хранятся карты пациентов, кто и зачем имеет доступ.
- PAM и «минимальные привилегии»: уберите избыточные роли, включите запись сессий.
- Антифишинг: DMARC/SPF/DKIM, тренировки, блок макросов.
- Мониторинг и журналирование: централизуйте логи (SIEM), настраивайте алерты по аномалиям.
- Вендор-риск: опросники, проверки, SLA по инцидентам и шифрованию, тест безопасности обменников (MFT).
- Учебная тревога: проведите tabletop-учения по сценарию «рэнсомварь + утечка» с PR/Юр/ИТ.
- Политика уведомлений: шаблоны писем пациентам/регуляторам, контакты 24/7.
- Киберстрахование: обновите условия, проверьте покрытие для бизнес-ассоциатов.
Заключение
Медицинские данные — лакомая цель для киберпреступников и источник прямых убытков, если внутри не выстроены доступы, а снаружи — защита периметра и интеграций. Российская медицина оказалась в мировом топе по утечкам, а значит, реактивной обороны мало. Первый шаг — включить MFA, пересобрать права и прогнать «учебную тревогу» с участием ИТ, юристов и PR. Дальше — системно закрывать вендор-риски и инцидент-менеджмент.
