С какими киберугрозами столкнулись системы здравоохранения в России и мире в 2025 году. Обзор

Глобальные тенденции кибератак

Мировая практика демонстрирует, что кибератаки на здравоохранение перешли в формат регулярных и хорошо спланированных операций, а их фокус все заметнее смещается в сторону кражи личных и корпоративных данных. По оценкам компании «Информзащита», в 80% инцидентов среди всех отраслей злоумышленники занимаются сбором и хищением именно такой информации, а на медорганизации приходится около 15% всех атак. В центре внимания оказываются медицинские данные, клинические информационные системы и цифровые сервисы, от которых напрямую зависит работа больниц и доступность помощи.

К основным источникам риска относятся программы-вымогатели и атаки через цепочки поставок, прежде всего через производителей медицинской техники и IT-подрядчиков. Эти сценарии усиливаются из-за ошибок конфигурации и неустраненных уязвимостей. По оценке европейской компании Modat, в мире выявлено не менее 1,2 млн открытых медицинских систем, что создает риски утечек снимков, анализов и персональных данных, а также подмены клинической информации и удаленного вмешательства в работу оборудования.

Масштаб угроз подтверждают и отраслевые данные: согласно отчету Omega Systems Healthcare IT Landscape Report – 2025, более 80% медицинских организаций в США за год столкнулись с кибератаками, тогда как кибербезопасность остается стратегическим приоритетом лишь для части управленческих команд. Ущерб усиливается организационной незрелостью – дефицитом обучения персонала, планов реагирования и регулярной оценки уязвимостей.

Показательным стал инцидент в Change Healthcare, подразделении UnitedHealth Group, где атака вымогательского ПО BlackCat привела к утечке данных почти 193 млн человек и сбоям в страховых и клинических процессах. Параллельно кейс Flo Health показал еще один класс угроз – системные провалы в управлении медицинскими данными внутри легальных IT-экосистем, без внешнего взлома, но с сопоставимыми по масштабу последствиями для конфиденциальности и доверия пациентов.

Состояние угроз в России

Российское здравоохранение в 2025 году было одним из наиболее уязвимых с точки зрения кибербезопасности. По данным Servicepipe, уже в первой половине года число значимых бот-атак на медтех-инфраструктуру выросло на 26% и достигло 339 тысяч, притом что за весь 2024 год было зафиксировано 554 тысячи инцидентов. Наиболее уязвимыми сегментами остаются онлайн-лаборатории (60% атак), телемедицинские платформы (25%) и мобильные приложения клиник (15%).

Параллельно усиливается давление на информсистемы медицинских организаций. Данные InfoWatch показывают рост числа утечек в медорганизациях на 16,7% за первую половину 2025 года и выводят Россию на второе место в мире по числу крупных инцидентов. Целью для вымогательства или перепродажи становились медицинские карты, базы пациентов, результаты исследований и финансовая информация.

Резонансные инциденты лета 2025 года лишь подтвердили системность проблемы. О кибервмешательстве сообщили аптечные сети «Нео-Фарм» и «Столички», а также клиника «Семейный доктор», дополнительное внимание привлекли заявления группировки Silent Crow о якобы полученном доступе к ЕМИАС. В августе Минздрав Московской области сообщил, что эти сведения проверяются, система работает штатно, а приоритетом остается защита персональных данных, однако сам факт проверки подчеркивает чувствительность инфраструктуры.

Дополнительные риски связаны с развитием цифровых аптечных сервисов. Исследование Роскачества и группы компаний «Солар» показало, что приложения онлайн-аптек входят в число наименее защищенных мобильных сервисов: уязвимости позволяют перехватывать трафик и получать доступ к персональным и финансовым данным. На фоне роста онлайн-продаж аптечного ассортимента более чем на треть за полугодие эти слабые места увеличивают системные риски для отрасли.

Уязвимости инфраструктуры и ПО

Большинство киберинцидентов в здравоохранении связано не со сложными таргетированными атаками, а с базовыми уязвимостями инфраструктуры и программного обеспечения. Речь идет о zero-day в медицинском ПО, ошибках конфигурации крупных медицинских информационных систем уровня ЕМИАС, слабой сегментации сетей и эксплуатации устаревших устройств. В совокупности эти факторы формируют широкую поверхность атаки и позволяют злоумышленникам получать доступ к данным и сервисам без применения сложных технических приемов.

Эксперты отмечают, что многие медицинские IT-ландшафты развивались фрагментарно, без изначального учета требований к киберустойчивости. В результате критически важные контуры – от клинических информационных систем до диагностического оборудования – часто оказываются слабо изолированными, а обновления ПО откладываются из-за невозможности приостановить медицинские процессы.

В итоге кибербезопасность в здравоохранении остается вопросом базовой IT-дисциплины и управляемости. Эксперты сходятся во мнении, что многие медорганизации по-прежнему ограничиваются минимальным набором защитных мер и недооценивают сложность современных угроз. Существенное повышение устойчивости возможно только при системном подходе – от сегментирования инфраструктуры и регулярных обновлений до пентестов, обучения персонала и перехода к моделям Zero Trust. Основным драйвером изменений, вероятнее всего, станет не добровольная реформа рынка, а регуляторное давление и эффект от крупных инцидентов, наглядно показывающих прямую связь кибербезопасности с непрерывностью оказания медицинской помощи.

Использование ИИ в кибератаках

Искусственный интеллект все чаще выступает усилителем киберугроз для здравоохранения, снижая порог входа и ускоряя масштабирование атак. Злоумышленники используют его для создания убедительных фишинговых писем и deepfake-сообщений «от имени врача или администратора», а также для автоматизированного поиска уязвимостей в клинических IT-системах. В декабре 2025 года на этот риск указала American Hospital Association, предупредив медорганизации о росте ИИ-мошенничества с применением синтезированного аудио и видео для обмана персонала, кражи учетных данных и перевода средств.

Параллельно ИИ обостряет вопросы защиты медицинских данных. Исследование ученых из University of Ottawa показало, что регуляторы не рассматривают синтетические медданные как заведомо безопасные. Анализ подходов ICO, PDPC и PIPC фиксирует единый принцип – обязательную оценку остаточного риска идентификации пациентов, поскольку ошибки генерации и переобучение моделей могут сохранять уязвимости, сопоставимые с работой с реальными персональными данными.

На этом фоне появляются и защитные сценарии применения ИИ. Исследователи из Asan Medical Center разработали систему деидентификации электронных медкарт на базе Klue-BERT, которая с точностью около 95% удаляет персональные данные, сохраняя клиническую ценность записей, и может работать локально без передачи информации во внешние облачные сервисы. Такие решения рассматриваются как практический инструмент кибербезопасности – они снижают риски утечек и позволяют масштабировать использование ИИ в медицине без расширения поверхности атак.

Риски для критически важных медицинских сервисов

Киберугрозы в здравоохранении, с большой долей вероятности, могут сместиться с хищения данных на целевые атаки против критически важных сервисов – стационаров, лабораторий, служб скорой помощи и систем удаленного мониторинга за состоянием пациентов. В таких контурах даже кратковременный сбой цифровых систем способен привести к прямым клиническим последствиям, нарушить доступ к информации и замедлить оказание помощи. Рост зависимости от цифровых платформ и интегрированных информационных систем делает медицинскую инфраструктуру уязвимой для атак, ориентированных не на кражу данных, а на остановку или деградацию ключевых процессов.

Отдельный класс рисков формируют новые технологические сценарии. К ним относятся атаки с использованием автономных ИИ-агентов, вмешательство в работу клинических ИИ-систем, компрометация обучающих дата-сетов, а также долгосрочные квантовые угрозы для криптографической защиты. Эти векторы смещают фокус с защиты периметра к задаче построения отказоустойчивой цифровой медицины – с резервированием критических сервисов, сегментацией ИИ-контуров, контролем качества данных и заранее отработанными сценариями восстановления после киберинцидентов.

В целом эксперты сходятся во мнении, что регуляторные механизмы постепенно догоняют реальный уровень угроз. Однако без системного внедрения практик – сегментирования инфраструктуры, регулярных аудитов и пентестов, многофакторной аутентификации, DLP-систем и обучения персонала – формальные требования не обеспечат устойчивость. Скепсис сохраняется: крупные игроки, вероятнее всего, продолжат наращивать инвестиции в безопасность, тогда как малые клиники и аптеки будут реагировать на риски точечно, под давлением инцидентов или регуляторов.

Регуляторные меры в России

В течение 2025 года кибербезопасность здравоохранения последовательно выходила за контур ведомственной IT-повестки и оформлялась как многоуровневая задача – от федеральной регуляторики до региональных практических мер. Рост числа атак на медицинские системы и утечек данных вынудил власти рассматривать цифровую устойчивость отрасли как элемент непрерывности оказания медицинской помощи.

Весной Минздрав РФ ужесточил требования к производителям медизделий. Приказ от 11 апреля 2025 года ввел с 1 сентября новые требования к технической и эксплуатационной документации медизделий, включая программное обеспечение и решения с ИИ. Циркуляр призван усилить акцент на управлении рисками, верификации, валидации и мерах кибербезопасности. Документация, выпущенная ранее, подлежит актуализации, что фактически повышает регуляторную планку для всей отрасли.

На конгрессе «Национальное здравоохранение – 2025» Ассоциация больших данных предложила Минздраву функциональную модель оценки рисков при обмене чувствительными данными, предусматривающую создание центров компетенций в контуре ведомства. Инициатива стала реакцией на резкий рост цифровизации: за девять месяцев 2025 года число электронных медицинских документов в ЕГИСЗ достигло 1,6 млрд. Замглавы Минздрава Вадим Ваньков подтвердил интерес к предложениям, подчеркнув необходимость баланса между защитой данных и развитием ИИ, включая возможный запуск экспериментального правового режима.

На региональном уровне, прежде всего в Москве, акцент сместился к защите уже развернутых цифровых контуров. В конце июля Департамент информационных технологий и Информационно-аналитический центр в сфере здравоохранения столицы объявили тендеры на поставку средств защиты и проведение технической экспертизы ЕМИАС на сумму свыше 660 млн рублей.

Дополнительно Департамент здравоохранения Москвы в декабре закрепил требования к подлинности, целостности и защите медицинских документов при электронном оформлении информированного согласия и их передаче в ЕМИАС, что позволило снизить риски подмены данных и несанкционированного доступа в одном из наиболее нагруженных цифровых контуров системы здравоохранения.

Итогом года стало закрепление этих процессов на уровне государственной политики. В конце 2025 года президент России Владимир Путин отнес кибератаки на медицинские информационные системы и риски утечки персональных данных к угрозам национальной безопасности, зафиксировав цифровую устойчивость здравоохранения как элемент общей системы безопасности государства.