Обратная сторона цифровизации. Атаки на здравоохранение в России участились в разы

Миллионы документов в день

О резком росте числа кибератак на систему здравоохранения говорит, в частности, региональная статистика. Только в Московской области за девять месяцев зафиксировано 1036 инцидентов, рассказал на сессии «Кибербезопасность в эпоху больших данных» форума «Национальное здравоохранение 2025» заместитель министра здравоохранения Московской области Геннадий Легостаев. За аналогичный период 2024 года отмечено 136 случаев, отметил он.

По данным исследования центра мониторинга и реагирования на кибератаки RED Security SOC, в январе-марте этого года число кибератак на медицинские учреждения выросло на четверть по сравнению с аналогичным периодом 2024-го. При этом к медорганизациям авторы отчета относят и компании, занимающиеся производством и дистрибуцией лекарств – на них пришлось 40% всех инцидентов (в 2024-м – 10%).

Аналитики RED Security отмечают, что каждая пятая атака на медучреждения носила критический характер. «Такие инциденты могли привести к временным сбоям в работе систем, утечкам данных пациентов и нарушению производственных процессов в фармацевтике. Основными векторами атак стали попытки обхода средств защиты (45%), заражения вредоносным ПО (19%) и сетевые атаки (17%).

По данным аналитиков компании «Информзащита», сфера здравоохранения входит в топ-3 по числу атак с целью сбора и похищения данных. На нее приходится 15% всех инцидентов. По этому показателю медицина уступает лишь производственным предприятиям (26%) и финансовому сектору (18%).

Злоумышленников привлекают быстро растущие объемы данных в базах сферы здравоохранения. По словам замглавы Минздрава России Вадима Ванькова, в этом году в системе электронного медицинского документооборота регистрируется в среднем 6 млн документов в сутки – всего 1,6 млрд за январь-сентябрь. Это уже почти столько же, сколько за весь прошлый год – 1,7 млрд. А еще в 2019 году за все 12 месяцев в систему внесли всего 4 млн документов, привел статистику замминистра на форуме «Национальное здравоохранение».

«Думаю, что по итогам этого года выйдем на два миллиарда. И далее, если не экспоненциальный, то, по крайней мере, существенный рост», – прогнозирует Ваньков. В системе здравоохранения более миллиона компьютеров медицинских работников, 65 тысяч подразделений медорганизаций, использующих информационные системы. На уровне каждого субъекта работает своя ИС в этой сфере, добавил представитель федерального Минздрава.

Государственные информационные системы в здравоохранении являются объектами критической информационной инфраструктуры, что увеличивает требования к их безопасности, подчеркнул Ваньков. Поэтому большие данные в таких ИС – это масштабные угрозы и вызовы.

Не готовы к угрозам

Предпосылки к реализации таких угроз создают несколько факторов, сообщил на форуме заместитель директора ФСТЭК Виталий Лютиков. Один из них – отсутствие инвентаризации и понимания, из чего состоят защищаемые объекты, какой софт и программно-аппаратные средства используются. «Понятно, что система развивается, изменяется, но нужно контролировать, особенно то, что доступно для взаимодействия с внешними сетями. Отсутствие знаний у подразделений, которые занимаются ИТ, или, если такие есть, информационной безопасностью, говорят о том, что они о возможных точках проникновения в свою инфраструктуру просто не знают», – заявил Лютиков.

К числу факторов риска также относятся уязвимости в программном обеспечении, которые появляются в основном из-за использования зарубежного софта, который далеко не всегда удается обновлять, добавил замдиректора ФСТЭК. Также на ситуацию влияет нехватка специалистов по киберзащите и в целом по ИТ, особенно в региональных и муниципальных учреждениях.

«Есть еще вопросы, связанные с подрядными организациями. Это вообще боль. Когда вы нанимаете подрядчика, открываете ему доступ к своей инфраструктуре, а потом нарушитель через него заходит к вам в систему», – объяснил схему действия злоумышленников Лютиков.

В число самых распространенных методов и способов кибератак в области здравоохранения входит использование вредоносного ПО, социальная инженерия (например, фишинг), эксплуатация уязвимостей, компрометация учетных данных, сказал на форуме исполняющий обязанности руководителя отраслевого центра информационно безопасности и импортозамещения Минздрава Алексей Пилюков. Основной тренд последнего времени, по его словам, – кража учетных данных, ключей доступа администраторов, подрядчиков информационных систем. Злоумышленники отслеживают таких привилегированных пользователей и проводят на них таргетированные атаки.

Самые распространенные категории инцидентов в системе здравоохранения – атаки на веб-приложения (SQL-инъекции и межсайтовый скриптинг), попытки неавторизованного доступа, использование вредоносных программ, нарушение политики информационной безопасности, а также DDoS-атаки, рассказал Пилюков.

От ФИО до истории болезни

Многие медицинские учреждения не могут обеспечить даже базовый уровень защиты от киберугроз, отмечают эксперты. Среди основных причин проджект менеджер MD Audit (ГК Softline) Кирилл Левкин называет устаревшее оборудование, слабую сегментацию сетей и кадровый дефицит. «Долгое время приоритет отдавался медицинским системам, а не информационной безопасности. Часто медучреждения работают с множеством подрядчиков и систем, не имеющих централизованного управления и мониторинга. Недооценка роли обучения персонала также повышает риск: именно человек чаще всего становится точкой входа для атаки», – подчеркивает Левкин.

Медорганизации привлекают злоумышленников тем, что их данные содержат много информации о людях — от фамилии, имени и отчества до истории болезни, комментируют в группе компаний «Солар». Такую информацию нарушители используют для схем с медицинскими страховками, продажи данных на черном рынке, целевого фишинга вплоть до шантажа.

«Ключевая проблема таких организаций – отсутствие четкого контроля над тем, кто к таким данным и с какого устройства имеет доступ. Устаревшие системы часто работают с привилегированными учетными записями по умолчанию, доступы сотрудников не рецензируются годами, а уволенные сотрудники могут сохранять доступ к системам», — добавили в «Солар».

Риски для здоровья

Технически атаки на медицинские организации принципиально ничем не выделяются, потому что эти учреждения в основном используют те же устройства и ПО, что и любые другие, говорит директор по стратегическим альянсам и GR группы компаний «Гарда» Павел Кузнецов. «При этом необходимо осознавать, что уровень цифровизации сферы растет, как и в целом в обществе, а значит, рано или поздно злоумышленники получают возможность вмешиваться в работу медоборудования и специфичного ПО, если не организовать должным образом систему защиты. А это уже может привести к непоправимым последствиям для здоровья граждан», — полагает эксперт.

Специфику медицины, связанную с большим количеством обрабатываемых персональных данных, следует учитывать при организации защиты, обращает внимание Кузнецов. Акцент, по его словам, стоит делать на решения для безопасности СУБД и предотвращения утечек.

Государственные медучреждения лучше защищены с точки зрения нормативной базы, чем частные, потому что обязаны соответствовать требованиям к КИИ по защите персональных данных, отмечает Левкин. Однако на практике коммерческие клиники часто реагируют на угрозы и риски быстрее, внедряя современные решения, потому что напрямую зависят от репутации и доверия клиентов.

У бюджетных организаций более строгие регламенты по закупке нового оборудования и централизованной замене устаревшего. В то время как коммерческие более гибки в принятии и распределении бюджета и могут быстрее внедрять передовые решения в области ИБ, объясняют в ГК «Солар».

Защита медучреждений требует комплексного подхода, комментируют в «Солар». В свою очередь медицинские организации, особенно государственные, часто работают в условиях ограниченного бюджета, который в приоритетном порядке направляется на закупку лекарств, оборудования и оплату труда персонала. Информационная безопасность воспринимается как «неосязаемая» статья расходов, пока не случится инцидент, считают в компании.

Особенность защиты медицинских систем, по словам Кирилла Левкина, в необходимости обеспечить непрерывность работы. ИБ-системы не должны помешать оказанию медуслуг. «Особое внимание уделяется защите телемедицинских платформ, систем хранения медицинских изображений (PACS) и каналов передачи данных между отделениями», — говорит представитель MD Audit.

В RED Security прогнозируют, что здравоохранение в ближайшее время останется в зоне повышенного риска, особенно в сезонные периоды пиковых нагрузок на отрасль. Аналитики рекомендуют регулярно проводить аудиты безопасности, отслеживать ИБ-события в ИТ-инфраструктуре, обучать сотрудников кибергигиене.