Обзор утечек информации в сфере здравоохранения

Количество утечек информации в медицинских организациях за прошлый год сократилось. Тем не менее, утечки информации в этой сфере по-прежнему происходят регулярно. Компрометация данных пациентов может приводить к волнам мошенничества, шантажу и другим неприятным последствиям. Экспертно-аналитический центр InfoWatch (ЭАЦ) подготовил обзор утечек информации в сфере здравоохранения за год.

Отрасль здравоохранения занимает 6,5% в мировом распределении утечек конфиденциальной информации.

Всего в 2024 году ЭАЦ зарегистрировал 601 утечку из медицинских организаций в мире. Это на 36,3% меньше, чем в 2023 году. Количество утекших из медучреждений записей персональных данных в 2024 году составило 341 млн, что на 28,7% меньше показателя 2023 года. Таким образом, в 2024 году за один инцидент утекало в среднем 567 тыс. записей ПДн.

В результате действий хакеров и других внешних нарушителей произошло около 92% всех зарегистрированных утечек из медицинских организаций в 2024 году.

В 2024 году зарегистрирован крупнейший в истории случай утечки персональных данных пациентов (пострадали 190 млн человек). Этот инцидент произошел в дочерней структуре компании UnitedHealth, занимающейся медицинским страхованием.

Американский конгломерат здравоохранения Kaiser весной 2024 года признался, что была допущена утечка информации более 13 млн человек. Компрометация данных происходила, когда пациенты заходили на различные сайты пользовались мобильными приложениями. В результате доступ к некоторым данным, включая IP-адреса и поисковые запросы, получали технологические компании, такие как Google и Twitter. Kaiser заявил, что удалил код отслеживания со своих веб-ресурсов и приложений.

В сентябре 2024 года хакерская группировка Everest, оператор одноименного вируса-вымогателя, заявила о взломе канадского радиологического центра Pureform. Злоумышленники слили в сеть данные более 10 млн пациентов, полученных из электронной медицинской системы. По словам хакеров, им удалось скачать данные объемом 150 ГБ, используя уязвимость в программном обеспечении.

Медицинская сеть Ascension из США пострадала от утечки данных в конце 2024 года. Взлом случился в результате фишинговой атаки: сотрудник открыл письмо от злоумышленников и тем самым запустил вредоносное ПО на своем компьютере. Хакеры получили доступ к информации 5,6 млн пациентов, включая медицинские данные, сведения о полисах медстрахования, различные персональные данные.

Индийская компания Niva Bupa Health призналась, что в конце 2024 года хакеры украли у нее персональные данные более 30 млн пациентов. В частности, злоумышленники завладели списками мобильных телефонов и уникальных налоговых идентификаторов (PAN). Порядка 5 млн записей ПДн были выставлены на продажу в дарквебе.

Исследователи безопасности из проекта vpnMentor обнаружили незащищенную паролем базу, содержащую более 1,3 млн записей персональных данных, включая сертификаты, записи на прием и образцы тестирования. Выяснилось, что база оставалась открытой около трех недель, а принадлежала она сертифицированной лаборатории Coronalab из Нидерландов. Среди прочего в хранилище оказались результаты тестов на COVID, содержащие имя каждого пациента, его гражданство, номер паспорта и результаты тестов, а также цену, место и тип проведенного теста.

По оценкам Black Kite, 41,2% инцидентов, связанных с утечками данных в здравоохранении, в 2024 году произошли в результате нарушений у сторонних компаний (third-party breaches).

По данным американской некоммерческой организации «Центр обмена и анализа медицинской информации» (Health-ISAC), ключевыми проблемами для специалистов по ИБ в сфере здравоохранения в 2025 году остаются кибератаки на медицинские организации, утечки у сторонних компаний и атаки на цепочки поставок. Опрос порядка 200 руководителей и специалистов по ИБ в сфере здравоохранения показал, что главной угрозой 2025 года рассматривается распространение вирусов-вымогателей.