Особенности защиты данных в медицинских организациях

Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет [1], и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении.

Автор: Дмитрий Вощуков, GR-специалист "СёрчИнформ"

Ежегодно медицинские организации оказываются под прицелом хакеров и других кибермошенников. По данным МТС RED, в первом полугодии 2024 г. количество атак на организации сферы здравоохранения увеличилось на 32% [2]. По данным исследования "СёрчИнформ", в 2024 г. почти каждая третья медорганизация столкнулась с утечками по вине сотрудников, в 57% случаев скомпрометированными оказывались персональные данные [3].

Особые данные и специфика их защиты

Специфика ИБ в здравоохранении заключается в том, что медицинские организации одновременно являются и субъектами КИИ, и операторами персональных данных сотрудников и пациентов. Причем большая часть этих данных попадает в категорию врачебной тайны и, согласно закону, такие данные должны храниться, обрабатываться, передаваться и уничтожаться особым образом. Предотвращение ИБ-рисков является приоритетом цифровизации здравоохранения: это закреплено актуальной отраслевой Стратегией цифровой трансформации, утвержденной Правительством [4].

Типовые ИБ-правонарушения в здравоохранении

Рассмотрев судебную практику, мы выявили несколько характерных сценариев инцидентов:

1. Утечка данных тяжелобольных или недавно умерших людей [5]. Такие инциденты практически всегда связаны или со злым умыслом, или с халатностью сотрудников, которые работают с информацией о пациентах. Эти данные особенно ценятся среди поставщиков медикаментов и ритуальных услуг, которые зачастую зарабатывают на людях, оказавшихся в тяжелой ситуации.
2. Утечка данных пациентов с инфекционными и психическими заболеваниями [6]. Такие инциденты чаще всего допускаются персоналом по ошибке и без злого умысла, однако последствия таких утечек критичны как для пациентов, так и для медицинских организаций. Пациенты становятся объектом шантажа со стороны мошенников, а медицинские организации сталкиваются с недоверием со стороны граждан.
3. Нарушение правил ведения электронных реестров (подделка документов или внесение ложных данных в МИС) [7]. Хотя этот сценарий не связан с утечкой, однако происходит неправомерное воздействие на системы, являющиеся объектами КИИ. В случае нарушения возникает необходимость повторной проверки реестров и корректировки информации в них, что требует дополнительных затрат. Например, если система связана с учетом привитых граждан, то получение подложных сертификатов о вакцинации не только незаконно, но и может привести к распространению болезней.

Специфика этих инцидентов говорит о том, что наиболее опасные угрозы ИБ медицинских организаций – внутренние, связанные с действиями собственных сотрудников. Кроме того, внутренние риски отражены первыми в Концепции информационной безопасности в сфере здравоохранения, принятой Правительством.

Как на практике реализуется буква закона

С принятием Концепции по ИБ в здравоохранении и ужесточением других требований регуляторов, организации стали активнее интересоваться темой защиты данных и рассматривать внедрение ИБ-решений. Однако выполнение требований осложняется сразу несколькими факторами:

• Любой файл, хранящийся в системах медучреждений, несет защищаемую информацию: персональные данные и врачебную тайну. При этом они могут быть представлены в различном виде: текстовые документы, медицинские изображения, таблицы и журналы. Более того, эти файлы находятся в разных местах: серверные хранилища, устройства персонала и др. Контроль их затруднен, а неконтролируемое хранение – это фактически половина утечки.
• Хранение и передача информации должны быть удобны для медперсонала: от этого зависит оперативность и качество медицинской помощи. При этом основной проблемой остается низкий уровень знаний рядовых сотрудников медучреждений об информационной безопасности. У медиков, как правило, не хватает времени на ИБ-инструктажи или обучение. По данным исследования, в 67% случаев сотрудники российских организаций допускали утечку из-за ошибок и незнания базовых правил кибергигиены [8].
• Нехватка ИБ-специалистов – хроническая проблема для здравоохранения. Здесь же вторая трудность – низкая квалификация кадров. Необходимо доучивать сотрудников на платных и бесплатных курсах, чтобы их подготовка соответствовала современному уровню угроз.

Все же изменения в регуляторике должны позитивно сказаться на практической безопасности в сфере здравоохранения. Но результат будет зависеть от личной ответственности каждой организации. Что же для этого нужно?

Внедрять современные СЗИ  

Обеспечить сохранность данных в ручном режиме сегодня просто невозможно. Большая часть информации хранится и передается в электронном виде, к ней имеют доступ различные сотрудники и подрядные организации. Автоматизированные средства защиты позволяют специалисту по ИБ не только отслеживать любые действия с информацией, но в случае инцидента оперативно провести расследование и отчитаться перед регулятором. Важно, чтобы средства защиты были просты в использовании и поставлялись с встроенными политиками безопасности.

Контролировать опасные действия сотрудников

Необходимо на техническом уровне запретить опасные действия с данными, которые часто совершаются из-за низкого уровня ИБ-знаний. Например, заблокировать выгрузку медицинской информации на съемные носители, отправку через мессенджеры и пересылку на личный почтовый ящик. Таким образом можно избежать большинства случайных инцидентов внутренней ИБ.

Предотвращать намеренные нарушения

У ИБ-специалиста должна быть возможность анализировать поведение сотрудников на рабочих местах и выборочно изменять правила ИБ-средств. В случае умышленных нарушений сотрудники ищут способы вывести данные в обход средств защиты. Поэтому ИБ-специалист должен видеть попытки доступа и выгрузки закрытой информации, входы с чужих учетных записей и нежелательную коммуникацию на рабочих местах. При обнаружении таких предпосылок для потенциального инсайдера стоит установить более жесткие политики работы с информацией.

1. https://rspectr.com/infographics/eksperty-sravnili-tendenczii-utechek-dannyh-v-rossii-i-mire
2. https://www.comnews.ru/content/234514/2024-07-29/2024-w31/1008/khakery-vzyalis-za-medicinu
3. https://searchinform.ru/survey/global-2024/
4. https://www.garant.ru/products/ipo/prime/doc/408813257/
5. https://vlad.mk.ru/incident/2025/03/03/vrach-skoroy-prodavala-dannye-umershikh-pacientov-pokhoronnym-byuro-vo-vladivostoke.html
6. https://www.forbes.ru/tehnologii/415857-situaciya-vesma-kritichna-chem-grozit-krupneyshaya-utechka-dannyh-zabolevshih
7. https://kln--spb.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=711324787&case_uid=a72fab2d-771a-4df6-8e48-38aca4673b25&delo_id=1540006
8. https://searchinform.ru/news/company-news/2025/2/20/48-of-russian-companies-have-experienced-information-leaks-caused-by-employees/