Александр Уляхин, UDV Group: о финансовых и репутационных потерях медучреждений из-за утечек данных и мерах их предотвращения

Отвечая на вопросы Делового Петербурга об утечках медицинских данных в России, Александр Уляхин, отметил, что одним из самых чувствительных последствий утечек медицинских данных для организаций становятся не только технические сбои и потеря информации, но и прямые финансовые издержки вместе с долгосрочными репутационными рисками.

С какими репутационными и финансовыми потерями сталкиваются медучреждения?

Прямой финансовый ущерб для недавней атаки на аптечные сети "Столичек" и "Неофарм" оценивается примерно в 500 млн рублей, включая простой и перерывы в работе. При этом эта сумма не учитывает возможные штрафы и компенсации из-за утечки медицинских данных. Медицинские учреждения как операторы персональных данных могут быть обязаны выплатить до 20 млн рублей штрафов, в случае утечки — дополнительно компенсировать пациентам ущерб (обычно 60–100 тыс. рублей на человека). Примерно до двух третей медучреждений допускали утечки, около половины скрывали инциденты. Касательно репутационных потерь после атак медицинские учреждения сталкиваются с серьезным и длительным подрывом доверия пациентов — восстановление репутации требует значительных усилий, прозрачной коммуникации, инвестиций в кибербезопасность и времени.

Какие меры по защите данных должны стать приоритетом для медицинских организаций?

Для медицинских организаций рекомендации не так сильно отличаются от других сфер, которые работают с чувствительной информацией граждан. 

Какую роль в предотвращении утечек играет законодательство и его ужесточение? Так, с 30 мая 2025 года введены новые, многократно возросшие штрафы за утечки, вплоть до оборотных штрафов за повторные нарушения. Насколько эффективными могут быть эти меры?

Нормативно-правовые акты являются дополнительным стимулом для внедрения мероприятий и средств, направленных на повышения информационной безопасности в организации. Ожидается что оборотные штрафы подтолкнут к расширению существующих мер по защите информации, однако наблюдая подобную практику в других странах может сложиться ситуация что крупным организациям будет проще выплачивать штрафы, нежели перестраивать свои системы и бизнес-процессы. Касательно медицинских учреждений в нашей стране нужно будет смотреть практику применения.

Ожидают ли эксперты ухудшения ситуации и почему?

Учитывая тренды последних лет, подтверждающие рост количества кибератак, к таким факторам можно отнести геополитические реалии, цифровизацию бизнес-процессов и нехватку квалифицированных кадров в сфере IT и ИБ, что безусловно приводит к увеличению количества угроз для бизнеса и открывает дополнительные возможности для достижения целей злоумышленниками. Однако конкретных предпосылок для резкого усиления сейчас нет, сейчас мы сталкиваемся с результатом накопительного эффекта, и паника, разжигаемая СМИ в обществе, может подстегнуть злоумышленников ускорить реализацию атак.

Могут ли новые технологии (например, облачные сервисы, биометрия) одновременно стать и новым вектором атак, и решением проблемы безопасности?

Безусловно внедрение новых технологий решает задачи, с которыми не было возможности справиться ранее или делают это более эффективно. В части повышения безопасности важным будет то, как эти технологии будут внедрятся и как будут учитываться требования со стороны информационной безопасности. При этом важно понимать, что в любой технологии можно со временем найти уязвимости, которыми будут пользоваться злоумышленники и важно поддерживать защищенность инфраструктуру на протяжении времени и своевременно внедрять новые мероприятия и средства для обеспечения киберустойчивости.