Сегодня медицина невозможна без цифровых систем, которые хранят наши данные и обеспечивают работу больниц.

В этой статье я предлагаю обсудить вопрос кибербезопасности в сфере здравоохранения.

Масштаб бедствия

Здравоохранение в прошлом году стало удобной целью для атак. Медицинские данные – это не только история болезни, но и финансы, рецепты, а также налоговые идентификаторы. Такой набор данных ценится на теневых рынках выше, чем обычные банковские карты.

Чаще всего злоумышленники используют программы‑вымогатели. Сценарий такой: сначала шифруются данные, затем блокируется к ним доступ, а потом поступает требование выкупа. В банковской сфере это удар по деньгам, а в больнице – буквально остановка тех процессов, от которых зависят жизни пациентов.

Посмотрим на цифры: в первом квартале 2025 года количество атак на медицинские организации в России выросло на 24% по сравнению с прошлым годом. Причем, впервые за все время наблюдений почти половина инцидентов пришлась на компании, которые производят и распространяют лекарства. Всего зафиксировано чуть меньше 2,5 тысяч атак, при том что общий их уровень на другие отрасли остался примерно тем же.

Еще годом ранее, в 2024 году, атаки на медицину выросли втрое, а в декабре того же года количество DDoS‑атак удвоилось. Очевидно, что отрасль остается уязвимой и привлекательной для злоумышленников.

Какие риски?

Кибератаки затрагивают не только больницы, но и частные клиники, которые сталкиваются с нарушением расписания приемов, невозможностью открыть электронные карты пациентов и задержками в диагностике. А для аптек последствия выражаются в сбоях учета лекарств, проблемах с рецептами и перебоях в поставках. Во всех случаях страдает не только сама организация, но и пациенты, которые ожидают доступности услуг и препаратов. Персонал работает в условиях стресса, переходит на бумажные журналы, процессы замедляются. Пациенты теряют доверие, а качество обслуживания падает.

Отдельный риск связан с утечкой данных. Для клиник это медицинские карты и результаты обследований, для аптек – базы рецептов и истории покупок. Такие массивы информации ценны для злоумышленников: их используют для мошенничества, подделки рецептов или перепродажи в даркнете.

Исследования показали, что после серьезных атак смертность в больницах может увеличиться в течение нескольких месяцев, потому что приходится дольше ждать прием врача, диагностика занимает больше времени, и ошибки допускаются чаще. Для пациентов, чьи данные оказываются в даркнете, это еще и психологическая травма от осознания того, что личная информация стала доступна посторонним людям.

Немного примеров

В сентябре 2020 года Университетская клиника Дюссельдорфа стала жертвой атаки программы‑вымогателя Doppelpaymer, которая проникла в инфраструктуру через уязвимость в VPN‑решении Citrix. Первые признаки шифрования появились 9 сентября, а 10 сентября атака была обнаружена. Расшифровка началась лишь 11 сентября и заняла почти две недели, в течение которых больница работала на половину своей мощности. В результате были повреждены 30 серверов, включая системы координации персонала, управления койко‑местами, электронной почты и планирования операций.

Особенность инцидента заключалась в том, что записка с требованием связаться с атакующими была адресована не самой клинике, а Университету Генриха Хайне, связанному с больницей. Это указывало на то, что целью могла быть другая организация, а атака на клинику произошла по ошибке. После того как полиция связалась с злоумышленниками и сообщила им, что они парализовали работу медицинского учреждения, ключ расшифровки был предоставлен без требования выкупа, и контакт прервался.

Последствия: сотни операций и процедур были отменены, прием новых пациентов прекращен. Одна пациентка с аневризмой аорты не была принята в клинику в экстренном порядке и была перевезена в другую больницу, за 32 км, но ее не смогли спасти, пациентка скончалась. Немецкая прокуратура начала расследование по факту ее смерти, рассматривая возможность обвинения хакеров в убийстве по неосторожности, однако позже пришла к выводу, что пациентка, вероятно, умерла бы независимо от задержки.

Этот случай стал одним из первых в мире, когда кибератака напрямую ассоциировалась с гибелью человека, и показал, насколько уязвимы медицинские учреждения перед программами‑вымогателями. Инцидент также подчеркнул системные риски пандемийного периода, когда удаленная работа немедицинского персонала увеличивала число точек доступа и вероятность фишинга, а Европейская комиссия после этого предложила обновить директиву о сетевой и информационной безопасности, усилив требования к защите здравоохранения.

Еще ранее, в мае 2017 года, мир столкнулся с одной из крупнейших эпидемий программ‑вымогателей – WannaCry. Атака началась 12 мая и за считанные дни распространилась по 150 странам, затронув более 300 000 компьютеров. Основой для заражения стал эксплойт EternalBlue, использовавший уязвимость в протоколе SMB операционной системы Windows. Этот эксплойт был разработан Агентством национальной безопасности США и за месяц до атаки опубликован группой Shadow Brokers.

Механизм работы WannaCry был классическим для программ‑вымогателей: после проникновения в систему он шифровал файлы и требовал выкуп в размере от 300 до 600 долларов в биткойнах. Вирус обладал функцией самораспространения по сетям, что сделало его особенно разрушительным. Многие организации оказались не готовы к такому повороту: часть систем работала на устаревших версиях Windows без актуальных обновлений безопасности, что позволило атаке быстро охватить критическую инфраструктуру.

Особенно пострадала британская Национальная служба здравоохранения (NHS). Сотни больниц и клиник были вынуждены отменить операции, перенести прием пациентов и работать в условиях парализованной ИТ‑инфраструктуры. Медицинские системы, включая базы данных пациентов и лабораторные сервисы, оказались недоступны, что напрямую повлияло на оказание помощи. Этот эпизод стал одним из первых случаев, когда атака программ‑вымогателя вызвала массовые сбои в здравоохранении на национальном уровне.

Финансовый ущерб от WannaCry оценивается в миллиарды долларов, но куда важнее его системные последствия. Инцидент показал, что даже известные уязвимости, если они не закрыты вовремя, могут стать катастрофой для критических отраслей. Он также стал толчком для пересмотра политики обновлений и резервного копирования в медицинских учреждениях и государственных структурах по всему миру.

И еще пример.

В период с 27 июня по 4 июля 2018 года неизвестные злоумышленники проникли в базы данных SingHealth в Сингапуре. Хакеры получили доступ к персональным данным пациентов, включая имена, номера национальных удостоверений личности, адреса, даты рождения, пол и расу. Особенно резонансным стало то, что среди пострадавших оказался премьер‑министр Ли Сянь Лун и несколько министров, чьи данные о назначенных лекарствах также были похищены.

Технически атака была квалифицирована как Advanced Persistent Threat (APT). Злоумышленники использовали уязвимости в инфраструктуре и недостаточную подготовку персонала, чтобы закрепиться в системе и незаметно извлекать данные в течение восьми дней. При этом медицинские записи о диагнозах, результатах анализов и врачебных заметках не были изменены или уничтожены, что указывает на целенаправленный интерес именно к персональным данным и информации о назначенных лекарствах.

Расследование показало, что причиной успеха атаки стали медленные процессы обновления и устранения уязвимостей, а также недостаточная кибергигиена сотрудников.

Последствия инцидента оказались масштабными: доверие к системе здравоохранения было подорвано, а правительство Сингапура инициировало пересмотр национальной стратегии кибербезопасности. В частности, были усилены требования к защите критической инфраструктуры и проведены реформы в области подготовки персонала.

Российская практика также демонстрирует уязвимость сектора. Но, настолько детальную информацию в открытых источниках о деталях инцидентов мне найти не удалось. Может, вы сможете? Мне показалось, что у нас не принято такие вопросы выводить в общий доступ.

Какой он, хакер медицины?

Точно, не одинокий волк. Сегодня это целые транснациональные структуры, работающие по принципам корпоративного управления. У них есть собственные «отделы кадров», которые набирают специалистов, службы поддержки, отвечающие на запросы жертв, и команды программистов, создающих и тестирующих новые версии вредоносного ПО. Даже процесс расшифровки данных сопровождается своеобразным контролем качества, чтобы повысить доверие к «услуге» и стимулировать выплату выкупа. Эти организации тесно связаны с традиционными криминальными сетями, включая мафию, и параллельно занимаются торговлей наркотиками, оружием и людьми.

Особое внимание заслуживает модель «вымогатели как услуга». Крупные группировки разрабатывают инструменты и сдают их в аренду менее опытным преступникам, получая процент от каждого выплаченного выкупа. Это превращает кибератаки в масштабный бизнес с отлаженной системой франшизы, где каждый участник получает свою долю прибыли.

В результате мы имеем дело с индустрией, сопоставимой по оборотам с крупнейшими технологическими компаниями. Прибыльность таких операций настолько высока, что здравоохранение стало одной из самых привлекательных целей: данные пациентов ценны, а критичность медицинских сервисов делает организации более склонными к выплате выкупа ради сохранения жизни и здоровья людей.

Кто виноват?

Кибербезопасность в медицине редко рушится из‑за сложных технических эксплойтов, а чаще всего причиной становится человек. Современная больница представляет собой сеть из тысяч подключенных устройств: кардиомониторы, инфузионные насосы, системы визуализации, электронные медицинские карты. Каждое из них представляет собой потенциальную точку входа для злоумышленников. Если атакующему достаточно найти одну брешь, то защитникам приходится закрывать все возможные каналы одновременно.

Достаточно одного клика по ссылке в правдоподобном письме, слабого пароля врача или доверчивости администратора, поверившего в поддельный видеозвонок от «медицинского директора». Несколько секунд невнимательности превращаются в катастрофу для всей инфраструктуры.

Эта уязвимость усиливается спецификой работы в здравоохранении. Врачи и медсестры действуют в условиях постоянного стресса и высокой нагрузки. В таких обстоятельствах внимание рассеивается, а привычка доверять коллегам и спешка при принятии решений создают идеальные условия для социальной инженерии. Именно поэтому человеческий фактор остается главным вектором проникновения в медицинские сети, и никакие технические меры не способны полностью компенсировать его слабости.

Еще одной из причин остаются устаревшие ИТ‑системы: многие учреждения продолжают использовать старые версии Windows и специализированное ПО, которое не обновляется годами. Такие системы часто несовместимы с современными средствами защиты, и именно они становятся легкой добычей для эксплойтов. Как отмечает ВОЗ, критическая инфраструктура здравоохранения особенно уязвима именно из‑за зависимости от старых технологий и сетевых систем.

Другой фактор – стремительная цифровизация медицины. Телемедицина, облачные платформы для хранения данных и электронные медицинские карты создают удобство для пациентов и врачей, но при этом расширяют поверхность атаки. Если внедрение идет быстрее, чем выстраивание защиты, злоумышленники получают возможность проникать через плохо настроенные облачные сервисы или незащищенные API. По данным Radensa, именно быстрый рост цифровых сервисов без должной защиты стал одной из ключевых причин роста атак в последние годы.

Особую угрозу представляют устройства IoMT: от кардиомониторов до инфузионных насосов. Каждый такой прибор подключен к сети и может быть использован как точка входа. В отличие от классических компьютеров, медицинские устройства редко обновляются и часто работают на закрытых прошивках, что делает их уязвимыми для атак. В отчёте S‑lib подчеркивается, что устройства медицинской инфраструктуры становятся частыми целями атак, поскольку их защита минимальна.

Таким образом, картина складывается такая: человеческий фактор остается ключевым, но он усиливается техническими и организационными проблемами. Именно сочетание устаревших систем, новых цифровых сервисов и слабой культуры безопасности делает здравоохранение одной из самых уязвимых отраслей для киберпреступников.

Основные направления решения проблемы

Обеспечение кибербезопасности в здравоохранении невозможно свести к установке антивируса или закупке нового оборудования. Угрозы должны рассматриваться как корпоративный риск, затрагивающий все уровни управления. Стратегия защиты должна быть встроена в процессы планирования, управления персоналом и оказания медицинской помощи.

Перечислю то, что кажется очевидным:

• Регулярный патч‑менеджмент и переход на современные платформы снижают вероятность эксплуатации известных уязвимостей.

• Обучение персонала должно быть системным и регулярным. Симуляции фишинговых атак, тренинги по управлению паролями и повышение осведомленности о методах социальной инженерии помогают снизить риски.

• Многоуровневая защита данных. Это сегментация сетей, использование многофакторной аутентификации, резервное копирование и мониторинг активности. Именно резервные копии позволяют восстановить работу без выплаты выкупа, а сегментация сети ограничивает распространение вредоносного ПО.

• Системная готовность к инцидентам. Должен быть план реагирования, включающий сценарии восстановления, коммуникацию с пациентами и взаимодействие с правоохранительными органами. Это позволяет минимизировать ущерб и сохранить доверие общества даже в случае успешной атаки.

Но, обновление инфраструктуры требует значительных инвестиций, обучение персонала сталкивается с сопротивлением из‑за высокой нагрузки, а резервное копирование не всегда защищает от утечек данных. Кроме того, здравоохранение остается привлекательной целью для преступников именно из‑за критичности услуг: больницы чаще соглашаются на требования вымогателей ради сохранения жизни пациентов.

Пациенты тоже могут сыграть важную роль в защите своих данных и снижении рисков. Хотя основная ответственность лежит на клиниках и государственных системах, именно поведение пациентов часто становится дополнительным барьером для злоумышленников.

Опять же, перечислю очевидное:

• Фишинговые письма и поддельные SMS от «поликлиники» или «страховой компании» остаются одним из самых распространённых способов кражи данных. Нужно проверять адрес отправителя, не переходить по подозрительным ссылкам и не скачивать вложения без уверенности в их легитимности.

• Важно использовать сильные пароли и двухфакторную аутентификацию для доступа к личным кабинетам в медицинских системах и страховых порталах. Простые комбинации вроде «123456» или даты рождения делают аккаунт легкой добычей.

• Осознанное использование телемедицины и мобильных приложений также снижает риски. Перед установкой приложения для записи к врачу или хранения медицинских данных нужно убедиться, что оно официальное и опубликовано в проверенном магазине.

• Регулярная проверка медицинских записей помогает вовремя заметить признаки компрометации аккаунта. Например, странные назначения или визиты, которых не было.

• Обновление устройств, использование антивируса и отказ от публичных Wi‑Fi при входе в медицинские сервисы снижают вероятность утечки данных.

Заключение

Если коротко: кибератаки на здравоохранение – это реальная угроза. Решение проблемы лежит в комплексной защите как со стороны медучреждений, так и со стороны пациентов.

Размещайте облачную инфраструктуру и масштабируйте сервисы с надежным облачным провайдером Beget.
Эксклюзивно для читателей Хабра мы даем бонус 10% при первом пополнении.