Цифрофобия: как защитить персональные данные
Цифрофобия: как защитить персональные данные, страхи россиян
- 2 мин
- 58
В последние месяцы вопросы утечки информации из медицинских учреждений становятся всё более актуальными. Согласно аналитике группы компаний InfoWatch – разработчика решений для защиты данных – количество случаев утечек в этой сфере неизменно растет. Поводов для оптимизма нет: растет и число атак, и их масштаб, да и внутренние злоумышленники проявляют все больше активности.
Становятся доступными не только персональные данные. Утекает огромное количество чувствительной информации: диагнозы, анамнез, результаты анализов и планы лечения – сведения, относящиеся к медицинской тайне. Злоумышленники крадут также данные о назначенных лекарствах, что позволяет им составить примерный медицинский профиль пациента — какие медикаменты он приобретает, что принимает регулярно – чтобы в дальнейшем использовать это для навязывания дорогостоящих методов лечения.
В этом контексте особое значение приобретает информация о вводе в РФ Единого регистра медицинских состояний, запуск которого запланирован на 1 марта 2026 года.
Немного конкретных примеров
В целом за первую половину 2025 года сократилось количество утечек конфиденциальных данных в мировой медицинской сфере: на 55,7% по всему миру, и на 12,5% по России. При этом мировыми лидерами по утечкам остаются США и Россия.
Но цифры все равно впечатляют: около 1,2 миллиарда персональных записей украдено с 2023 по 2025, причем на Россию приходится более 60 миллионов. Обычно такие утечки связаны не только с хакерскими атаками, но и с раскрытием врачебной или коммерческой тайны, причем зачастую источниками являются внутренние нарушители – сотрудники (или бывшие сотрудники!) медицинских организаций.
Удивительно, но весьма значительная часть данных поступает от сторонних источников — страховых компаний и других партнеров, а не только из самих клиник и лабораторий. В России более 20% утечек происходят по вине сотрудников, а не благодаря внешним злоумышленникам или фишинговым атакам.
Что касается последствий, то для медицинских организаций главными рисками остаются штрафы и репутационные потери (хотя в России культура защиты имиджа пока не столь развита). Для пациентов же утечки могут иметь куда более серьезные последствия: возможны оскорбления, социальная изоляция, уголовное преследование, шантаж.
Ярким примером может служить история взлома онкологической клиники FredHutch Cancer Center, рассказанная журналистами Seattle Times. После уведомления о взломе множество пациентов получили угрозы продажи их данных и требования выкупа, а некоторые даже — угрозы ложных сообщений о террористических угрозах полиции. Во многих странах подобные действия считаются уголовным преступлением.
Похожая ситуация произошла и в финском центре психотерапии Вастаамо. В результате взлома были раскрыты сведения о 33 тысячах пациентов центра, что привело к трагическим последствиям для пациентов: как утверждает адвокат, представляющий интересы примерно 1500 пострадавших, некоторые из них покончили с собой, став жертвами шантажа или использования их информации злоумышленниками.
Сложности защиты персональных данных в сфере здравоохранения остаются острой проблемой, и с каждым годом количество подобных киберинцидентов, вероятно, будет увеличиваться.
Изменения в сфере безопасности медицинских данных с 1 марта 2026
Вступают в силу новые правила оборота медицинских данных в России. Постановлением Правительства №822 от 31 мая 2025 утвержден порядок ведения федерального регистра лиц с отдельными заболеваниями.
Детальный анализ рисков этого нововведения провела Наталья Касперская, президент группы компаний InfoWatch, в своём телеграм-канале. Основные тезисы — ниже.
Медицинские и фармацевтические организации, а также структуры вроде ФОМС, Социального и Пенсионного фондов обязаны направлять в регистр сведения по широкому кругу диагнозов из п.8 упомянутого Постановления. Перечень включает, в числе прочего, психические расстройства, суицидальные мысли и беременность.
Все данные загружаются автоматически и по всем пациентам без исключений — получения согласия или даже уведомления гражданина не предусмотрено.
Запретить внесение информации, оспорить её, скорректировать или удалить запись — невозможно.
Если заглянуть в «Состав информации о пациентах», обнаруживается любопытная деталь. Чтобы попасть в регистр с психическим заболеванием, достаточно одного факта проведения патопсихологического исследования (с указанием даты и результатов) или выявления у пациента суицидальных мыслей и намерений.
Иными словами, ты просто обратился к врачу с просьбой о таком исследовании — и ты уже в реестре с пометкой «псих». Поделился с доктором тяжелыми переживаниями — пожалуйте в базу данных, откуда уже не выбраться.
Официально создание регистра обосновано так: отслеживание заболеваемости и демографических показателей, упрощение бюджетного и кадрового планирования в медицине.
Единая база должна избавить врачей от повторного ввода данных.
Однако у подобного нововведения неизбежна и оборотная сторона. Вопросов к защите этой информации и к числу ведомств, получающих к ней законный и ничем не ограниченный доступ, — масса.
Пока непонятно, кто понесёт ответственность за возможную утечку. К чему приведет создание инструмента, взлом которого позволит мошенникам без труда добывать крайне чувствительные сведения о людях из единого хранилища?
Что касается принудительного сбора подобной информации, нарушения Конституции, законов о врачебной тайне и 152-ФЗ — здесь всё очевидно.
Потенциальные риски:
- утечка к злоумышленникам, страховщикам, фармкомпаниям, маркетологам;
- злоупотребление легальным доступом к чувствительным данным;
- подделка или манипуляции с диагнозами и назначениями;
- массовый отказ граждан от обращения в медучреждения в пользу самолечения;
- ухудшение демографической ситуации;
- рост теневого сектора медицинских услуг, особенно в таких уязвимых сферах, как психотерапия и психиатрия.
Вариантов — множество, и это не может не тревожить.
И что же дальше?
Ведётся работа по привлечению внимания властей и общества. Наталья Касперская направила обращения в Совет Федерации, провела в Telegram несколько опросов о рисках появления такого реестра.
Остановит ли это введение базы — предсказать трудно, поэтому мы продолжаем отслеживать судьбу этой инициативы.