Хакеры задумались о здоровье
В российском здравоохранении растет доля умышленных утечек данных
Утечек информации из медучреждений в России становится меньше, но объем «сливающейся» информации резко растет. При этом увеличивается доля преднамеренных утечек. Теперь на них приходится 87,5% всех связанных со здравоохранением данных, попавших в публичный доступ. Растет объем как утечек вследствие хакерских атак, участившихся на фоне военных действий на Украине, так и умышленных «сливов» сотрудниками организаций. Информация из клиник становится все более ликвидным товаром на черном рынке данных, признают эксперты. Тенденцию, считают они, может переломить увеличение расходов на кибербезопасность и введение оборотных штрафов.
“Ъ” ознакомился с отчетом InfoWatch, посвященным утечкам информации в сфере здравоохранения за девять месяцев 2022 года. Из него следует, что в целом их число снизилось на 5,9% в мире и на 33% — в России. Согласно данным InfoWatch, за указанный период в РФ «утекли» восемь баз медорганизаций. При этом объем похищенных данных вырос в 775 раз, составив 31 млн записей. Специалисты компании объясняют такой перекос утечкой информации более чем о 30 млн клиентов сети лабораторий «Гемотест» (см. “Ъ” от 4 мая).
Отдельно InfoWatch отмечает заметный рост преднамеренных потерь данных: доля умышленно украденных баз, содержащих информацию о клиентах российских медучреждений, увеличилась почти на треть: с 58,3% до 87,5%.
Основатель сервиса DLBI Ашот Оганесян связывает рост объемов утечек в сфере здравоохранения с общим увеличением числа кибератак после начала военных действий на Украине, а также с «традиционно низким» уровнем кибербезопасности в этом секторе. Доля инцидентов в сфере здравоохранения с участием хакеров в 2022 году выросла более чем в два раза по сравнению с прошлым годом и достигла 75%, следует из отчета InfoWatch. После начала конфликта на Украине хакерским атакам подверглась большая часть государственных информсистем и крупных компаний. Например, число атак вирусов-шифровальщиков на российский ритейл увеличилось в первом полугодии на 45% (см. “Ъ” от 25 июля).
Если частные и государственные медорганизации не откажутся от модели выделения средств на кибербезопасность «по остаточному принципу», подчеркивает руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев, тенденция роста утечек информации продолжится. Расходы на кибербезопасность должны увеличиваться, согласен IT-директор медицинской компании «Инвитро» Владимир Федин. В то же время, отмечает он, большинство крупных клиник в этом году уже «понесли дополнительные расходы» на поиск и внедрение решений кибербезопасности.
Но фокус компаний на внешних кибератаках зачастую позволяет оставаться незамеченными внутренним нарушителям в медорганизациях, уточняет господин Арсентьев: «Мы также фиксируем рост умышленных утечек, допущенных сотрудниками клиник,— доля таких случаев за год выросла с 42% до 50%. Системы контроля за персоналом в медучреждениях по уровню реализации политики кибербезопасности отстают от актуального спектра угроз». При этом информация из клиник становится все более ликвидным активом на черном рынке данных, утверждает он, поскольку «знание информации о здоровье человека открывает невероятный простор для шантажа и угроз».
До тех пор пока не будут введены оборотные или «достигающие западного уровня» штрафы, у бизнеса не будет стимула полноценно решать проблему утечки данных, считает руководитель компании «Интернет-розыск» Игорь Бедеров.
После утечки «Гемотест» был оштрафован всего на 60 тыс. руб. (менее $1 тыс.). В этом же году американская медицинская компания EyeMed обязалась выплатить штраф в размере $600 тыс. за утечку информации о 2 млн клиентов.
Весной Минцифры предложило внести в КоАП поправки, по которым компания, допустившая утечку персональных данных, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если фирма попытается скрыть проблему (см. “Ъ” от 30 мая). Минцифры с лета обсуждает с бизнесом варианты механизма возмещения вреда пострадавшим субъектам. Так, смягчающим фактором для компаний, допустивших утечку персональных данных, говорил 24 ноября глава министерства Максут Шадаев, может стать компенсация ущерба двум третям пострадавших от нее граждан.