Купон на скидку: 2026
По данным аналитиков компании «Информзащита», сектор здравоохранения продолжает оставаться одной из основных целей для киберпреступников, использующих шифровальщиков. К маю 2026 года медицинские учреждения подвергаются атакам в среднем каждые 10 часов, а количество подтвержденных инцидентов за год увеличилось на 19%. На долю атак с использованием ransomware приходится 58,9%, что делает шифровальщиков основным инструментом давления на клиники, лаборатории, диагностические сети и медицинских подрядчиков. Об этом сообщили представители компании «Информзащита» в интервью CNews. Медицинские учреждения привлекают злоумышленников из-за большого объема ценной информации, которую они хранят: персональные данные, страховая информация, диагнозы, история лечения, рецепты, результаты исследований и платежные сведения.
В 2026 году, по оценкам компании, доля атак, в которых злоумышленники угрожали публикацией данных пациентов, выросла до 64% по сравнению с 52% годом ранее. Остановка систем может привести не только к финансовым потерям, но и к рискам для пациентов. Восстановление работы крупной клиники после масштабной атаки может занять несколько недель, а простой стационара обходится в миллионы рублей ежедневно. Из-за этого медицинские учреждения чаще соглашаются на выплату выкупа, чем компании из других отраслей. Согласно данным отраслевых исследований последних лет (Sophos, Coveware), доля платящих в медицине стабильно держится на уровне 50–60% против 35-40% в среднем по рынку.
Основные атаки нацелены на системы удаленного доступа и учетные записи сотрудников. Эксплуатация VPN, шлюзов удаленного доступа и внешних сервисов обеспечила 32% первичных проникновений. Скомпрометированные учетные записи составили 28%. Фишинг занял 18%, причем в медицинской среде письма часто маскировались под направления пациентов, запросы страховых компаний, уведомления лабораторий и сообщения поставщиков оборудования. Атаки через публичные веб-приложения, файловые обменники и системы обмена медицинскими документами составили 12%. Инциденты через подрядчиков, интеграторов и сервисные организации составили 6%, а еще 4% были связаны с устаревшими медицинскими устройствами, IoMT-сегментами и сервисами, которые годами работали без полноценного контроля информационной безопасности.
Некоторые медицинские организации подпадают под действие закона о критической информационной инфраструктуре (187-ФЗ), а сведения о здоровье относятся к специальной категории персональных данных по закону 152-ФЗ, поэтому к финансовому и репутационному ущербу добавляются прямые регуляторные последствия инцидента. Для снижения риска медицинским учреждениям необходимо управлять поверхностью атаки. В первую очередь требуется обязательная многофакторная аутентификация для VPN, администраторов, подрядчиков и доступа к критически важным медицинским системам. Приоритет обновлений должен определяться не только по CVSS, но и по факту эксплуатации: уязвимости из CISA KEV на внешнем периметре должны устраняться в кратчайшие сроки, а компенсирующие меры должны фиксироваться и проверяться. Резервные копии должны быть изолированы, неизменяемы и регулярно тестироваться на восстановление, иначе они становятся формальностью. Сегментация сети должна отделять медицинское оборудование, рабочие станции, серверы электронных карт, доменную инфраструктуру и административные сервисы. EDR и мониторинг событий необходимы для обнаружения ранних признаков атаки, таких как сбор учетных данных, сканирование Active Directory, появление PsExec, RClone, Mimikatz, BloodHound и других инструментов. Особое внимание следует уделять подрядчикам: их доступ должен быть временным, ограниченным и привязанным к конкретной задаче. Для медицины это не излишняя осторожность, а способ сохранить управляемость, где цена простоя измеряется не только деньгами.