Количество утечек медицинских данных продолжает расти. Медицинские учреждения все чаще становятся объектами киберпреступников, поскольку хранят большой объем персональных и конфиденциальных сведений.
По данным InfoWatch, Россия сохраняет второе место в мире по числу утечек данных из медицинских организаций, уступая только США. При этом практически каждый инцидент в российском здравоохранении затрагивает персональные данные пациентов, а нередко — сведения, составляющие врачебную тайну: диагнозы, результаты обследований, историю лечения и другую чувствительную информацию.
Согласно данным базы Privacy Rights в период с 2015 по 2022 год, на сферу здравоохранения пришлось около 32% всех утечек данных. Это почти вдвое больше, чем в финансовом и производственном секторах. Тенденция сохраняется и в 2025 году: как сообщает Центр по приему жалоб на интернет-преступления (IC3) ФБР, в прошлом году здравоохранение стало наиболее уязвимым сектором для атак с использованием программ-вымогателей. В России, согласно исследованию аналитического центра кибербезопасности компании «Газинформсервис», медицина входит в топ-5 наиболее подверженных атакам отраслей (4%) .
Причина проста - медицинская информация считается одним из самых дорогих видов данных на теневом рынке. В отличие от банковских карт, которые можно быстро заблокировать и перевыпустить, сведения о состоянии здоровья, диагнозах или истории лечения остаются актуальными очень долго и могут использоваться злоумышленниками многократно. По оценке компании Trustwave, специализирующейся на кибербезопасности, стоимость одной медицинской записи на теневом рынке может достигать 250$, что примерно в 10 раз выше стоимости данных банковской карты (5).
Полученные сведения могут использоваться различными способами:
В ряде случаев преступников интересует не отдельный пациент, а возможность проникновения во внутренние системы медицинской организации через скомпрометированные учетные записи сотрудников.
В России медицинские организации относятся к субъектам критической информационной инфраструктуры (КИИ). В соответствии с Федеральным законом № 187-ФЗ, критически важными объектами признаются информационные системы, сети и системы управления, нарушение работы которых создает угрозу безопасности государства и здоровью граждан. Одной из причин включения медицинских организаций в перечень субъектов КИИ стала масштабная цифровизация здравоохранения. Сегодня организации используют электронные медицинские карты, сервисы онлайн-записи, телемедицинские платформы, государственные информационные системы. Поэтому кибератаки способны привести не только к утечке данных, но и к сбоям в работе сервисов, от которых напрямую зависит оказание медицинской помощи.
Для субъектов КИИ законодательством установлен комплекс обязательных мер по обеспечению информационной безопасности, который включает:
Несмотря на совершенствование технологий защиты, причиной инцидентов часто становится человеческий фактор.
Подобные случаи не редкость. По данным исследования «СёрчИнформ», в 2025 году 38% медицинских организаций сталкивались с утечками по вине сотрудников, причем в 84% случаев нарушения были непреднамеренными. Основными каналами передачи конфиденциальной информации стали мессенджеры, электронная почта, внешние носители, фотографии на мобильные устройства и социальные сети. Обычно подобные случаи связаны с низкой осведомленностью сотрудников о требованиях информационной безопасности, а также ошибками, обусловленными человеческим фактором: отправкой документов не тому адресату, пересылкой служебной информации на личную почту и другими неосторожными действиями.
Помимо случайных ошибок, злоумышленники активно используют методы социальной инженерии. Так, в июне 2026 года американская компания iRhythm, разрабатывающая сервисы удаленного мониторинга здоровья, сообщила о существенной утечке данных. По оценке самой компании, злоумышленники получили доступ к информации с помощью методов социальной инженерии, а не через уязвимости медицинских систем. В результате были скомпрометированы сервисные данные, защищенная медицинская информация и другие персональные сведения клиентов. Точный масштаб инцидента компания не раскрывает.
Дополнительный риск связан с расширением цифровой экосистемы медицинских организаций. Утечки медицинских данных через цепочки поставок - это кибератаки, при которых злоумышленники крадут конфиденциальную информацию пациентов не напрямую у больницы, а через ее сторонних партнеров, подрядчиков или поставщиков услуг.
Кто входит в цепочку поставок:
Около 40% инцидентов связаны с подрядчиками и партнерами. Так, в феврале 2026 года компания NYC H+H сообщила о масштабной утечке данных. Компания связала инцидент с компрометацией стороннего поставщика, через которого злоумышленники получили доступ к ее инфраструктуре. В результате были раскрыты персональные, медицинские и биометрические данные более 1.8 млн человек.
Также распространенными причинами остаются:
В 2026 году в российском здравоохранении продолжается активное развитие цифровых технологий и сервисов. Ведущими направлениями развития стали внедрение технологий искусственного интеллекта, расширение телемедицинских сервисов, развитие дистанционного мониторинга пациентов. К 2030 году ключевым результатом должно стать формирование цифрового медицинского профиля гражданина и завершение создания единой платформы управления здоровьем.
Вместе с ростом объемов медицинских данных и их значимости для системы здравоохранения особую актуальность приобрели вопросы информационной безопасности и защиты персональных данных. Государственная политика в данной сфере направлена на создание многоуровневой системы защиты медицинской информации. Ее основу составляют требования Федеральных законов № 152-ФЗ «О персональных данных» и № 323-ФЗ «Об основах охраны здоровья граждан», устанавливающих особый правовой режим обработки сведений о состоянии здоровья и сохранения врачебной тайны. Важную роль играет развитие ЕГИСЗ как единой защищенной цифровой среды здравоохранения, а также обязательное применение сертифицированных средств криптографической защиты информации и выполнение требований ФСТЭК России и ФСБ России к медицинским информационным системам. Дополнительными мерами являются локализация баз данных на территории Российской Федерации, усиление контроля со стороны Роскомнадзора, ведение государственных регистров заболеваний по единым стандартам безопасности и повышение ответственности операторов персональных данных за нарушения требований законодательства.
Источники:
