Медкарты на вес золота

Автор Арсений Смирнов

Медицинские учреждения все чаще становятся мишенью киберпреступников, платя за это высокую цену. Одна атака может привести к перебоям в работе на месяцы, утрате миллионов записей пациентов и даже угрозе их жизни. Несмотря на развитие технологий, медицинская отрасль остается одной из самых уязвимых: использование устаревших систем, незащищенных устройств и недостаточная квалификация персонала делают ее удобной мишенью для атак. 

Масштабы кибератак на систему здравоохранения

С каждым годом количество утечек данных в сфере здравоохранения становится больше, чем в других отраслях. Так, анализ утечек данных, зарегистрированных в базе Privacy Rights в период с 2015 по 2022 г., показал, что 32% инцидентов пришлось на сферу здравоохранения, что почти в два раза больше, чем в финансовом и производственном секторах.

По данным отчета ФБР о киберпреступности в Интернете, в 2024 г. сектор здравоохранения стал самой атакуемой отраслью критической инфраструктуры. ФБР зафиксировало 444 инцидента, из них 238 с применением программ-вымогателей и 206 с утечками данных. Больше атак от вымогателей произошло только в критическом производственном секторе – 258, но утечек там оказалось в три раза меньше – всего 71.

В среднем западные организации здравоохранения теряют 900 000 долларов в день из-за перебоев в работе, вызванных атаками программ-вымогателей, не считая размера выкупа, запрашиваемого этими программами

Пол Бишофф, редактор сайта Comparitech, эксперт по вопросам кибербезопасности и конфиденциальности

Также, согласно отчету международной консалтинговой компании Kroll, в 2024 г. количество утечек конфиденциальной информации в секторе здравоохранения составило 23%, по сравнению с 22% в финансовом секторе. Для сравнения: в 2023 г. количество утечек составляло 18% в секторе здравоохранения и 26% в финансовом секторе. В последние годы эти сферы стали лидерами по количеству инцидентов, и нет оснований полагать, что в 2025 г. ситуация изменится.

Громкие инциденты за последние годы

Одна из крупнейших утечек данных в здравоохранении произошла в 2015 г.: тогда хакеры атаковали американскую компанию Anthem Inc. и похитили данные 78,8 млн человек. Казалось, что инцидент такого масштаба вряд ли повторится, но в 2024 г. атака программы-вымогателя на Change Healthcare, дочернюю организацию UnitedHealth – крупнейшей компании в области медицинского страхования в США, привела к утечке конфиденциальной медицинской информации 190 млн человек. При этом атака парализовала ключевые процессы в системе здравоохранения – из-за нарушения обработки рецептов и отпуска льготных лекарств пациенты были вынуждены оплачивать их самостоятельно, а медучреждениям пришлось перейти в ручной режим обработки счетов.

Ответственность за атаку взяла на себя хакерская группировка BlackCat/ALPHV. По данным организаторов атаки, UnitedHealth отправила хакерам выкуп в размере 22 млн долларов, чтобы получить дешифратор и остановить утечку. Однако BlackCat, получив деньги, распалась и не выполнила обещание удалить украденную информацию. Ее бывшие участники перешли в группировку RansomHub и начали повторный шантаж, требуя новый выкуп. Позже запись об утечке исчезла из их списка, что может говорить о повторной выплате, однако официального подтверждения этому нет. По итогам девяти месяцев 2024 г. ущерб UnitedHealth от инцидента оценивается в 2,45 млрд долларов.

Также весной 2024 г. калифорнийская компания Kaiser Permanente, оказывающая услуги медицинского страхования и обслуживания, сообщила о масштабной утечке данных, затронувшей около 13,4 млн нынешних и бывших клиентов: при использовании сайтов и приложений компании личная информация, включая IP-адреса и поисковые запросы, передавалась сторонним сервисам, например, Google и X через веб-куки. Хотя пароли, номера социального страхования и финансовые данные не пострадали, компания проводит внутреннее расследование и уведомляет пострадавших.

Компания Ascension, крупный медицинский провайдер, управляющий 140 больницами и 40 учреждениями по уходу за пожилыми людьми в США, 19 декабря 2024 г. объявила о масштабной утечке данных. Инцидент затронул почти 5,6 млн пациентов и сотрудников и, как выяснилось, начался еще в мае 2024 г. Взлом был осуществлен с помощью социальной инженерии: сотруднику Ascension было отправлено вредоносное электронное письмо от группы злоумышленников. Его обманом вынудили загрузить вредоносное ПО, которое позволило хакерам получить доступ к внутренним данным компании. Помимо персональных данных и другой личной информации, была скомпрометирована медицинская информация, включая данные страховых полисов.

Отмечается, что утечка такой информации представляет особую опасность, поскольку может привести к искажению медицинской истории пациента, если в его карту будут внесены чужие медицинские данные. Это не только создаст сложности при удалении недостоверной информации, но может привести к опасным медицинским ошибкам – например, к переливанию крови неподходящей группы.

Ситуацию осложняет то, что законы о защите персональных данных фактически защищают даже неправомерно добавленные в карту сведения, если они касаются злоумышленника. Жертве придется доказывать свою правоту и добиваться удаления чужих данных самостоятельно, поскольку в регулирующем эту сферу законодательстве нет четко прописанной процедуры для таких случаев. Поэтому решение об изменении данных остается за конкретным медицинским учреждением.

Джереми Фаулер, соучредитель Security Discovery и исследователь в области безопасности компании vpnMentor, обнаружил в интернете открытую базу данных, содержащую конфиденциальную информацию почти 1,3 млн человек. Эта база принадлежала медицинской лаборатории в Нидерландах, которая функционировала как центр тестирования на COVID-19. В базе содержалось около 1 285 277 записей, включая 118 441 сертификат о прививках, 506 663 записи о визитах к врачу, 660 173 тестовых образца и небольшое количество внутренних файлов приложений. Также в базе находились тысячи QR-кодов, ведущих на веб-страницы с деталями приемов и Email-адресами.

Фаулер неоднократно пытался связаться с компанией, управляющей лабораторией, чтобы сообщить об утечке, но не получил ответа. В результате база данных оставалась в открытом доступе около трех недель, пока Фаулер не сообщил об этом хостинг-провайдеру – компании Google, которая закрыла доступ к базе и предотвратила дальнейшие несанкционированные обращения. Точный период, в течение которого база находилась открытой, и количество людей, получивших к ней доступ, остаются неизвестными.

Одно из значимых последствий любой атаки – подрыв доверия к компании. Опрос 2017 г. показал, что примерно 25% жертв утечек данных сменили поставщика медицинских услуг после инцидента из-за обеспокоенности уровнем защиты конфиденциальных данных. По результатам другого опроса, 54% пациентов были бы «очень» или «в умеренной степени» склонны сменить поставщика после утечки данных. При этом их решение во многом зависело от причин произошедшего инцидента.

Однако не во всех случаях атаки на объекты здравоохранения были связаны лишь с утечками данных. Так, в мае 2024 г. больницы Mountain View Hospital и Idaho Falls Community Hospital, а также их клиники-партнеры подверглись атаке программы-шифровальщика, из-за которого ряд учреждений были закрыты. Представители Idaho Falls Community Hospital подтвердили, что некоторые машины скорой помощи были перенаправлены в близлежащие больницы. Клиникам понадобилось более месяца для полного восстановления рабочих процессов.

В России в первой половине 2025 г. чаще всего атакам с использованием ботов подвергались лаборатории – на них пришлось 60% от всех зарегистрированных случаев. Телемедицинские сервисы стали целью 25% атак, еще 15% пришлось на мобильные приложения клиник. В целом число атак с применением ботов увеличилось на 26% по сравнению с тем же периодом 2024 г. и составило 339 000 случаев. За весь 2024 г. было зарегистрировано 547 000 подобных случаев.