Вопрос утечек данных из медицинских организаций в последнее время поднимался неоднократно.  По данным аналитиков ГК InfoWatch, темпы роста утечек данных в этой сфере показывают положительную динамику, и в условиях, когда число и мощность атак растет, а внутренний нарушитель не дремлет, предпосылок для улучшения ситуации пока нет. 

При этом помимо персональных данных утекают и другие категории чувствительной информации. Во-первых, всё, что связано с медицинской тайной: диагнозы и анамнез, результаты анализов, планы лечения. Во-вторых, даже история назначения тех или иных лекарств может помочь злоумышленнику составить примерный медицинский портрет пользователя — какие лекарства он покупает, как часто, что принимает на постоянной основе, чтобы в дальнейшем развести на дорогостоящее лечение.

На фоне этого информация о введении в РФ Единого регистра медицинских состояний, который должен стать обязательным с 1 марта 2026 года, показалась нам важной не только для обсуждения, но и для реагирования. 

Для начала немного статистики

За первое полугодие 2025 количество утечек конфиденциальной информации из медицинских организаций в целом уменьшилось — на 55,7% по миру и на 12,5% в России в частности. Страна-лидер по утечкам в этой сфере — США. Россия на втором месте.

Всего с 2023 года по первое полугодие 2025 из мировых медучреждений утекло 1,2 млрд записей персданных, более 66 млн приходится на Россию. Как правило (не всегда, но часто) такие данные сопровождаются и сведениями, содержащими врачебную тайну. А с первого полугодия 2025 часто стала утекать ещё и коммерческая тайна.

И это не всегда следствие проведённой извне атаки. Если рассматривать только российскую статистику, то более 20% таких сливов — это результаты воздействия внутреннего нарушителя, а не внешние взломы систем или фишинг. 

К слову, похожая история с подрядчиками и партнёрами медучреждения — не все данные утекают именно из больниц, клиник или лабораторий по проведению анализов. Более 40% всех утечек в области здравоохранения — это инциденты, связанные с партнёрами медучреждений (страховые компании и прочее).

И про последствия утечек — если для самих компаний это штрафы и потеря репутации (даже с учетом того, что институт репутации в России развит все еще не так серьезно), то для пациентов всё сильно иначе. Они могут сталкиваться с оскорблениями, стигматизацией из-за своих заболеваний, и даже шантажом. Вот пример от Seattle Times:

К моменту, когда онкологическая клиника FredHutch Cancer Center публично уведомила об утечке информации, сотни пациентов уже получили от хакеров угрозы о продаже их персональных данных в даркнете, если те не заплатят выкуп. Некоторым из пациентов также угрожали «сваттингом» — формой преступления, когда злоумышленник сообщает в полицию о ложной (например, террористической) угрозе. Данные действия во многих странах являются уголовно наказуемыми. Однако судебные документы не содержали подробностей о том, сколько человек фактически заплатили киберпреступникам.

А вот из финской YLE:

Утечка данных, произошедшая в финском психотерапевтическом центре Вастаамо, привела к трагичным последствиям для некоторых пациентов. По словам адвоката, представляющего интересы 1500 жертв, некоторые пациенты центра Вастаамо покончили жизнь самоубийством после того, как их конфиденциальная информация была украдена и использована в попытках вымогательства обвиняемым Алексантери Кивимяки. В результате утечки данных была раскрыта информация о 33 000 пациентах психотерапевтического центра.

Переоценить важность защиты данных в сфере здравоохранения сложно и, судя по новостям, таких атак будет больше.

Что нас ждет с 1 марта 2026 года в контексте безопасности данных в медицинской сфере

Речь идет про Постановление Правительства России от 31 мая 2025 г. №822 «Об утверждении Правил ведения федерального регистра лиц с отдельными заболеваниями».

Если хотите полный текст — вам сюда.

Подробный разбор рисков введения регистра заболеваний дала в своем телеграм-канале Наталья Касперская. Резюмируем основные моменты. 

  1. Медицинские и фармацевтические организации, а также другие учреждения (включая Фонд обязательного медицинского страхования, Фонд пенсионного и социального страхования)  будут обязаны предоставлять в регистр данные по обширному списку заболеваний, перечисленных в п.8 Постановления, начиная с психических расстройств и суицидальных мыслей и заканчивая беременностью. 

  2. Данные заносятся автоматически, согласия или уведомления гражданина об этом не требуется. Исключений не предусмотрено.

  3. Нельзя запретить внесение данных, оспорить, исправить или удалить запись

При этом, если изучить «Состав информации и обобщенных сведений о пациентах, размещаемых в федеральном регистре лиц с отдельными заболеваниями», то видна удивительная вещь. Чтобы стать пациентом с психическими заболеваниями, например, достаточно установить: «Факт проведения пациенту патопсихологического исследования (с указанием даты проведения и результатов такого исследования)» или «Факт наличия у пациента суицидальных мыслей и намерений…», то есть обратился к врачу с просьбой об исследовании – всё, готово, ты – псих в Регистре. Или, не дай Бог, поделился с врачом плохими мыслями – добро пожаловать в регистр с очень нехорошей пометкой.

Официально введение регистра сопровождается такими намерениями:

Цель регистра — мониторинг заболеваемости и демографии, а также упрощение планирования бюджета и кадров в системе здравоохранения. Единая система избавит врачей от многократного ввода информации.

Но у каждой медали есть обратная сторона. Возникает много вопросов к защите этих данных и к большому количеству ведомств и организаций, которые получают к ним неограниченный и при этом легитимный доступ. Сейчас непонятно, кто будет нести ответственность за утечку этих данных и последствия от внедрения инструмента, позволяющего мошенникам без всяких усилий получать сверхчувствительную информацию о гражданах, заботливо собранную в едином хранилище. 

Про принудительный сбор подобных данных и нарушение Конституции РФ, закона о врачебной тайне, закона 152-ФЗ о персональных данных и так все понятно.

Возможные последствия

  • Утечка данных к мошенникам, страховщикам, фармкомпаниям, маркетологам и так далее   

  • Злоупотребления доступом к персональным данным

  • Манипуляции и фальсификации с диагнозами и назначениями  

  • Массовый уход граждан из медицинских учреждений на самолечение

  • Подрыв демографии 

  • Рост теневого сегмента медицинского рынка, в том числе в таких чувствительных областях как психотерапия, психиатрия и так далее

…вариантов масса 

Что дальше? 

В настоящий момент ведется работа по привлечению внимания государства и широкой общественности к данному вопросу: Наталья Касперская отправила письма в Совет Федерации, провела несколько опросов подписчиков в телеграм-канале, выявляющих риски появления такого регистра (опрос 1, опрос 2, опрос 3). Пока не ясно, что именно сможет остановить введение регистра, так что мы продолжаем информировать и собирать мнения в отношении этой инициативы.  

Публикуем для вас слегка расширенную версию опроса, размещенного в канале Натальи Касперской. 

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Единый регистр заболеваний: ваше мнение?
5.56%Полностью поддерживаю создание Единого регистра заболеваний. Мне от государства скрывать нечего.1
11.11%Считаю, что гражданин имеет право отказаться от включения его данных в Регистр, а государство обязано обеспечить альтернативный способ обработки персональных данных отказников, без какой-либо дискриминации.2
83.33%Считаю создание Единого регистра недопустимым, так как он нарушает моё право на личную жизнь и врачебную тайну. И требую локализовать мои персональные данные по месту сбора (поликлиника, женская консультация и др.)15
Проголосовали 18 пользователей. Воздержались 3 пользователя.