Медицинские данные: как клиникам выстраивать защиту без остановки процессов
Медицинская организация хранит не только ФИО, телефон и номер полиса. В ее системах находятся диагнозы, результаты исследований, назначения, история обращений, данные платежей, страховая информация и иногда доступы к телемедицинским сервисам. Для злоумышленников такой массив ценнее многих финансовых данных: его нельзя перевыпустить как банковскую карту и проще использовать в мошеннических схемах.
Кибербезопасность влияет на работу регистратуры, личного кабинета пациента и всей цифровой инфраструктуры клиники или лаборатории. Если система недоступна из-за атаки, врач может потерять доступ к карте пациента, администратор — к расписанию, пациент — к результатам анализов или записям.
Как медицинским учреждениям построить защиту так, чтобы она не мешала лечить и одновременно закрывала требования регуляторов? Мы в Purrweb разобрались с этим вопросом, а также обсудили правовой контекст с Кариной Колобовой — советником, экспертом по медицинскому праву и руководителем практики юридической фирмы VERBA LEGAL.
Главные уязвимости медицинских учреждений
У медицинских организаций есть 5 основных слабых мест.
Первое — DDoS-атаки. Они могут парализовать работу клиники, сделав ее сервисы недоступными из-за перегрузки сервера. Это критично для клиники, которая полагается на современные технологии для ведения своей деятельности.
Второе — фишинг. Сотруднику приходит письмо, похожее на запрос от госструктуры, банка, внутреннего сервиса или коллеги. Один переход по ссылке — и злоумышленники получают учетные данные, через которые заходят в корпоративную сеть.
Третье — вредоносное ПО и программы-вымогатели. Вирус может заблокировать доступ к МИС. Для клиники это означает простой, потерю данных, перенос приемов и операций. Чтобы возобновить работу, мошенники могут потребовать заплатить выкуп.
МИС обеспечивают социально значимые процессы по оказанию медицинской помощи населению и сохранению информации об этом, поэтому нарушение их функционирования может привести к значимому ущербу как для пациентов, так и для государства в целом.
Четвертое — устаревшее ПО. Программное обеспечение содержит уязвимости, которые разработчики устраняют через обновления. Если клиника не следит за своевременным обновлением систем, слабые места могут стать лазейками для киберпреступников.
Пятое — утечка данных. Утечка не всегда происходит внутри клиники по вине или неосторожности сотрудников. Риск может прийти через страховую компанию, ИТ-подрядчика, маркетинговое агентство, колл-центр или сервис, который обрабатывает платежи и документы.
Что должно быть в минимальном контуре защиты медучреждения
Первый элемент безопасности — разграничение ролей. Одна из типичных ошибок — воспринимать защиту как:
- поставить антивирус,
- купить средство мониторинга,
- назначить ответственного
- и считать задачу закрытой.
В медицине такой подход не сработает, потому что данные движутся между разными ролями, системами и сценариями. Врач, медсестра, администратор, бухгалтерия, лаборатория, колл-центр и технический специалист не должны видеть один и тот же набор данных. У каждого должна быть своя зона доступа.
Базовая логика должна выглядеть так: врач работает с медицинской картой своих пациентов, медсестра — с назначениями и показателями, администратор — с записью, контактами и расписанием, но не с диагнозами. Таким образом получится снизить ущерб, если учетная запись будет скомпрометирована.
К разграничению доступа добавляются обязательные элементы:
- двухфакторная аутентификация для удаленного доступа и критичных систем;
- индивидуальные учетные записи вместо общих логинов;
- журналирование действий пользователей;
- регулярный пересмотр прав доступа при увольнении, переводе или смене роли сотрудника.
Второй элемент — шифрование данных. Оно должно применяться к информации, которая хранится на серверах, передается между системами или выгружается в резервные копии. При этом ключи шифрования нельзя хранить там же, где лежат сами данные. Данные останутся зашифрованными, даже если хакер получит доступ к диску или перехватит трафик.
Второй элемент — резервное копирование и восстановление. Бэкапы нужно делать как можно чаще. Также нужно их хранить отдельно от основной сети и регулярно проверять, возможно ли восстановить. Иначе в момент атаки может оказаться, что резервные копии зашифрованы или повреждены.
Третий элемент — мониторинг событий. Клиника должна видеть подозрительную активность: входы из необычных локаций, массовое копирование данных, попытки доступа в нерабочее время, действия с учетными записями. Для этого используют SIEM- и UEBA-системы, или другие средства контроля.
Четвертый элемент — аудиты. Они нужны, чтобы понять, где остались слабые места: устаревшие системы, лишние права, неработающие регламенты, неподготовленные сотрудники или небезопасные интеграции.
В протоколы безопасности должно быть внедрено современное защитное и антивирусное ПО российской разработки, специальные программы фиксации и оповещения регулятора об инцидентах безопасности. Должны проводиться регулярные проверки безопасности и тесты на уязвимость, анализ рисков нарушений целостности защиты, должно быть назначено лицо, ответственное за защиту МИС. В работу МИС должны быть внедрены модели аутентификации, системы контроля доступа и учетных записей, протоколирования событий, организованы меры по предотвращению несанкционированного доступа, антивирусная защита.
При фиксации инцидента компьютерной безопасности должно быть проведено внутреннее расследование для выявления и устранения причин появления инцидента и его последствий.
Пятый элемент — обучение персонала. Это самый недооцененный слой защиты. Сотрудники могут открывать фишинговые письма, пересылать данные через мессенджеры, использовать простые пароли, заходить через чужие устройства. Без регулярного обучения даже сильная техническая защита остается уязвимой.
Законы, касающиеся защиты данных
Медицинские данные относятся к специальной категории персональных данных, поэтому требования к их обработке выше.
Основной закон здесь — 152-ФЗ «О персональных данных». Он регулирует сбор, хранение, передачу и защиту информации о пациентах.
С 30 мая 2025 года начали действовать поправки к КоАП, усиливающие ответственность за нарушения при обработке персональных данных. Для бизнеса особенно важно появление оборотных штрафов за повторную утечку: от 3% годовой выручки, но не менее 25 млн и не более 500 млн рублей.
Медицинским организациям важно знать, что ответственность за утечку специальных категорий данных не зависит от объема инцидента.
В норме об ответственности за утечку персональных данных специальной категории возможность привлечения к ответственности и размер штрафа не привязаны ни к какому количественному порогу утекших данных, что означает, что медицинская организация может быть привлечена к административной ответственности при утечке медицинских данных в любом, даже в некрупном, объеме.
Операторы обязаны уведомлять Роскомнадзор о любых утечках данных в течение 24 часов после того, как им стало известно об инциденте. Сокрытие или задержка уведомления могут привести к штрафу.
Кроме того, медицинские информационные системы официально относятся к объектам критической информационной инфраструктуры (КИИ). Это добавляет требования к защите, мониторингу, реагированию на инциденты и соблюдению норм ФСТЭК.
Что делать клинике уже сейчас
Даже при ограниченном бюджете можно начать с практических шагов:
Для медицинских ИТ-продуктов требования жестче чем к другим: безопасность должна быть с первого дня. Встраивать ее в готовую архитектуру дороже, сложнее и иногда невозможно без серьезной переработки. Поэтому защита медицинских данных — это часть сервиса и доверия пациента к клинике.