В российском здравоохранении растет доля умышленных утечек данных

Пулитцер

Команда форума
Журналист
Регистрация
Сообщения
1 253
Реакции
112
Утечек информации из медучреждений в России становится меньше, но объем «сливающейся» информации резко растет.


При этом увеличивается доля преднамеренных утечек. Теперь на них приходится 87,5% всех связанных со здравоохранением данных, попавших в публичный доступ. Растет объем как утечек вследствие хакерских атак, участившихся на фоне военных действий на Украине, так и умышленных «сливов» сотрудниками организаций. Информация из клиник становится все более ликвидным товаром на черном рынке данных, признают эксперты. Тенденцию, считают они, может переломить увеличение расходов на кибербезопасность и введение оборотных штрафов.

В отчете InfoWatch, посвященным утечкам информации в сфере здравоохранения за девять месяцев 2022 года, следует, что в целом их число снизилось на 5,9% в мире и на 33% — в России. Согласно данным InfoWatch, за указанный период в РФ «утекли» восемь баз медорганизаций. При этом объем похищенных данных вырос в 775 раз, составив 31 млн записей. Специалисты компании объясняют такой перекос утечкой информации более чем о 30 млн клиентов сети лабораторий «Гемотест».

Отдельно InfoWatch отмечает заметный рост преднамеренных потерь данных: доля умышленно украденных баз, содержащих информацию о клиентах российских медучреждений, увеличилась почти на треть: с 58,3% до 87,5%.

Эксперты связывают рост объемов утечек в сфере здравоохранения с общим увеличением числа кибератак после начала военных действий на Украине, а также с «традиционно низким» уровнем кибербезопасности в этом секторе. Доля инцидентов в сфере здравоохранения с участием хакеров в 2022 году выросла более чем в два раза по сравнению с прошлым годом и достигла 75%. После начала конфликта на Украине хакерским атакам подверглась большая часть государственных информсистем и крупных компаний. Например, число атак вирусов-шифровальщиков на российский ритейл увеличилось в первом полугодии на 45%.

Если частные и государственные медорганизации не откажутся от модели выделения средств на кибербезопасность «по остаточному принципу», тенденция роста утечек информации продолжится. Расходы на кибербезопасность должны увеличиваться. В то же время, большинство крупных клиник в этом году уже «понесли дополнительные расходы» на поиск и внедрение решений кибербезопасности.

Но фокус компаний на внешних кибератаках зачастую позволяет оставаться незамеченными внутренним нарушителям в медорганизациях: «Мы также фиксируем рост умышленных утечек, допущенных сотрудниками клиник,— доля таких случаев за год выросла с 42% до 50%. Системы контроля за персоналом в медучреждениях по уровню реализации политики кибербезопасности отстают от актуального спектра угроз». При этом информация из клиник становится все более ликвидным активом на черном рынке данных, поскольку «знание информации о здоровье человека открывает невероятный простор для шантажа и угроз».

До тех пор пока не будут введены оборотные или «достигающие западного уровня» штрафы, у бизнеса не будет стимула полноценно решать проблему утечки данных.

После утечки «Гемотест» был оштрафован всего на 60 тыс. руб. (менее $1 тыс.). В этом же году американская медицинская компания EyeMed обязалась выплатить штраф в размере $600 тыс. за утечку информации о 2 млн клиентов.

Весной Минцифры предложило внести в КоАП поправки, по которым компания, допустившая утечку персональных данных, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если фирма попытается скрыть проблему. Минцифры с лета обсуждает с бизнесом варианты механизма возмещения вреда пострадавшим субъектам. Так, смягчающим фактором для компаний, допустивших утечку персональных данных, говорил 24 ноября глава министерства Максут Шадаев, может стать компенсация ущерба двум третям пострадавших от нее граждан.
 
Сверху