Медицинские организации подвергаются атакам в среднем каждые 10 часов

Медицинские организации интересны злоумышленникам в первую очередь из-за объема ценной информации: они хранят персональные данные, страховую информацию, диагнозы, историю лечения, рецепты, результаты исследований и платежные сведения. По оценке компании в 2026 году доля атак, где злоумышленники помимо шифрования угрожали публикацией данных пациентов, выросла до 64% против 52% годом ранее. А остановка систем быстро приводит не только к финансовым потерям, но и к рискам для пациентов. На восстановление работы крупной клиники после масштабной атаки может уходить несколько недель, а простой стационара обходится в миллионы рублей ежедневно. По этой причине медицинские учреждения значительно чаще соглашаются на выплату выкупа, чем компании из других отраслей. По данным отраслевых исследований последних лет (Sophos, Coveware), доля платящих в медицине устойчиво держится на уровне 50–60% против 35-40% в среднем по рынку.

При этом основной удар приходится на системы удаленного доступа и учетные записи сотрудников . Эксплуатация VPN, шлюзов удаленного доступа и внешних сервисов обеспечила 32% первичных проникновений. Скомпрометированные учетные записи дали 28%. Фишинг занял 18%, причем в медицинской среде письма часто маскировались под направления пациентов, запросы страховых компаний, уведомления лабораторий и сообщения поставщиков оборудования. На атаки через публичные веб-приложения, файловые обменники и системы обмена медицинскими документами пришлось 12%. Инциденты через подрядчиков, интеграторов и сервисные организации составили 6%, а еще 4% были связаны с устаревшими медицинскими устройствами, IoMT-сегментами и сервисами, которые годами работали без полноценного контроля ИБ. Часть медицинских организаций относится к субъектам КИИ (187-ФЗ), а сведения о здоровье – это специальная категория персональных данных по 152-ФЗ, поэтому к финансовому и репутационному ущербу прибавляются прямые регуляторные последствия инцидента.

Снижать риск медицинским организациям нужно дисциплиной управления поверхностью атаки. В первую очередь требуется обязательная многофакторная аутентификация для VPN, администраторов, подрядчиков и доступа к критичным медицинским системам. Приоритет обновлений должен строиться не только по CVSS, а по факту эксплуатации: уязвимости из CISA KEV на внешнем периметре должны закрываться в сжатые сроки, а компенсирующие меры – фиксироваться и проверяться. Резервные копии должны быть изолированы, неизменяемы и регулярно тестироваться на восстановление, иначе они превращаются в формальность. Сегментация сети должна отделять медицинское оборудование, рабочие станции, серверы электронных карт, доменную инфраструктуру и административные сервисы. EDR и мониторинг событий нужны не для галочки, а для обнаружения ранних признаков атаки: сбора учетных данных, сканирования Active Directory, появления PsExec, RClone, Mimikatz, BloodHound и похожих инструментов. Отдельного внимания требуют подрядчики: их доступ должен быть временным, ограниченным и привязанным к конкретной задаче. Для медицины это не избыточная осторожность, а способ сохранить управляемость там, где цена простоя измеряется не только деньгами.