.PNG)
Здравоохранение: кибербезопасность и SOC-мониторинг
Медицинские данные стоят на чёрном рынке в 10 раз дороже банковских карт.
Ransomware-атака на клинику — среднее время простоя 14 дней. Прямой ущерб — от 5 млн рублей. SOC-мониторинг для клиник, больниц и медицинских сетей. Защита МИС, персональных данных пациентов, медицинского оборудования и объектов КИИ по 187-ФЗ.
Актуальные угрозы: Здравоохранение
Специфические векторы атак, о которых должен знать ваш SOC
Ransomware: блокировка МИС угрожает жизни пациентов
Блокировка медицинских информационных систем (Медиалог, ЕМИАС, 1С:Медицина) создаёт прямую угрозу жизни пациентов: врачи теряют доступ к картам, расписанию, лабораторным данным. Медицина — одна из наиболее атакуемых ransomware-группировками отраслей: организации платят выкуп чаще других из-за критичности простоя. Средний выкуп по медицинской отрасли в 2024 году — $1,5 млн (данные Coveware).
Утечки медицинских данных пациентов
Медицинские данные относятся к специальным категориям персональных данных по 152-ФЗ и требуют усиленной защиты. За утечку специальных категорий ПДн с 2025 года действуют оборотные штрафы до 500 млн рублей по ФЗ-420. Помимо штрафа — репутационный ущерб и исковые требования пациентов. Каждый инцидент требует уведомления Роскомнадзора в течение 24 часов.
Атаки на подключённое медицинское оборудование
IoT-устройства в медицине — инфузионные помпы, аппараты УЗИ, мониторы пациентов, системы визуализации PACS — подключены к сети, но не имеют встроенной защиты. Производители выпускают обновления безопасности крайне редко, а патчи часто нарушают медицинскую сертификацию устройства. Эти устройства становятся точками входа в медицинскую сеть.
Инсайдерский доступ к данным пациентов
Кража медицинских данных пациентов сотрудниками клиники для передачи страховым компаниям, фармацевтическим компаниям или продажи на чёрном рынке — распространённая угроза. UEBA-мониторинг выявляет аномальный доступ: массовые запросы к картам пациентов вне рабочего контекста, доступ в нерабочее время, экспорт данных на внешние носители.
Регуляторные требования
152-ФЗ и ФЗ-420 (специальные категории ПДн)
Медицинские данные пациентов — специальная категория персональных данных, требующая усиленного режима защиты. С 2025 года действуют оборотные штрафы: до 3% годового оборота организации или до 500 млн рублей при повторной утечке специальных категорий ПДн. Обязательно: уведомление Роскомнадзора об утечке в течение 24 часов, отчёт о принятых мерах — в течение 72 часов.
187-ФЗ для медицины
К субъектам КИИ в сфере здравоохранения относятся: учреждения скорой помощи, реанимации, хирургии, крупные многопрофильные больницы. Их информационные системы (МИС, системы жизнеобеспечения) могут быть признаны значимыми объектами КИИ. Это требует категорирования по 187-ФЗ, выстраивания защиты согласно Приказу ФСТЭК №239 и подключения к ГосСОПКА.
Требования к МИС и электронным медицинским документам
Приказы Минздрава России устанавливают требования к медицинским информационным системам: защищённый обмен медицинскими данными, интеграция с ЕГИСЗ (Единой государственной информационной системой здравоохранения), ведение электронных медицинских карт. Нарушение требований к защите МИС влечёт ответственность руководителя медицинской организации.
ГОСТ Р ИСО/МЭК 27799 (управление ИБ в медицине)
Руководство по управлению информационной безопасностью в здравоохранении, разработанное на основе ISO 27799. Определяет специфические требования к защите медицинских данных с учётом особенностей клинических процессов: непрерывности доступа к данным пациентов, интеграции с медицинским оборудованием, требований к резервированию критичных систем.
SOC КРЕДО-С — лицензиат ФСТЭК с 2007 года и ФСБ с 2009 года. Полный комплект документации для регуляторных проверок предоставляется в рамках договора.
Наши услуги — Здравоохранение
Комплекс мер защиты с учётом специфики отрасли
Мониторинг событий ИБ (SOC)
Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.
Расследование инцидентов
Атака произошла — теперь важно понять, как именно, что утекло и какие следы остались. КРЕДО-С подключается в течение 4 часов, фиксирует цифровые доказательства и восстанавливает полную картину инцидента. Предварительные результаты — за 3–5 рабочих дней.
Анализ защищённости
Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.
Защита критической информационной инфраструктуры
За нарушение требований 187-ФЗ по значимым объектам КИИ грозит уголовная ответственность по ст. 274.1 УК РФ. CREDOS:KII проводит категорирование, выстраивает защиту и подключает к ГосСОПКА.
Кейс из практики
Многопрофильный медицинский центр
150 АРМ, 3 филиала, МИС Медиалог, система PACS
После ransomware-атаки на клинику-конкурента в том же регионе руководство приняло решение о срочном выстраивании защиты. Исходно: нет SIEM, МИС не изолирована от офисного сегмента, медицинское оборудование доступно из общей сети, бэкапы хранятся на том же сервере.
Срочная сегрегация сетей (офис/МИС/PACS/IoT), настройка SOC-мониторинга с акцентом на медицинские системы, разработка playbook реагирования на ransomware, внедрение резервного копирования по схеме 3-2-1 с изолированным хранилищем, обучение персонала.
За первые 90 дней SOC зафиксировал и остановил 2 инцидента на стадии разведки: попытку горизонтального перемещения из офисного сегмента и подозрительную активность от скомпрометированного аккаунта. Данные пациентов не скомпрометированы. Регуляторные уведомления не потребовались.
Полезные статьи
Персональные данные и 152-ФЗ — что нужно знать бизнесу в 2025-2026 году
Что такое персональные данные, какие требования предъявляет 152-ФЗ, какие штрафы грозят за утечку (оборотные штрафы до 3% выручки). Пошаговый план приведения в соответствие и роль SOC в защите ПДн.
Уведомление Роскомнадзора об утечке персональных данных — пошаговая инструкция
Как уведомить Роскомнадзор об утечке ПДн за 24 и 72 часа: портал pd.rkn.gov.ru, содержание уведомления, штрафы за неуведомление и роль SOC в обнаружении утечек.
Ransomware — что делать бизнесу при атаке шифровальщика
Пошаговый план действий при атаке вируса-шифровальщика: что делать в первые часы, платить ли выкуп, как восстановить данные без оплаты. Практическое руководство для IT-директоров и руководителей.
Мониторинг событий ИБ: как работает и зачем нужен
Мониторинг событий информационной безопасности — непрерывный анализ логов через SIEM для раннего обнаружения атак. Как работает, что мониторить и как выбрать SOC.
Расследование инцидентов ИБ: как проводится и что даёт
Расследование инцидентов информационной безопасности — форензика и анализ цифровых следов атаки. Хронология, масштаб компрометации, доказательная база для регуляторов.
Вопросы и ответы
Подходит ли ваш SOC для небольшой частной клиники или стоматологии (50–100 ПК)?
Да. Минимальная инфраструктура для эффективного подключения к SOC — от 50 рабочих станций и серверов. Для небольших клиник предусмотрен базовый пакет от 50 000 рублей в месяц, который включает мониторинг 24/7, защиту МИС и реагирование на инциденты. Для частных стоматологий и небольших специализированных центров КРЕДО-С предлагает облегчённую схему подключения без установки агентов — через сетевые сенсоры, без влияния на работу медицинских систем.
Как защитить медицинскую информационную систему от атак шифровальщиков?
Комплексная защита от ransomware в медицинской организации включает несколько уровней. Первый — изоляция сегмента с МИС от офисного сегмента и интернета. Второй — поведенческий мониторинг (EDR) на серверах МИС и рабочих станциях врачей. Третий — резервное копирование по схеме 3-2-1: три копии, на двух разных носителях, одна — изолированная (не подключённая к сети). Четвёртый — мониторинг SOC: шифровальщики выявляются на стадии разведки и горизонтального перемещения — до начала шифрования, если мониторинг настроен правильно.
Что грозит медицинской организации за утечку данных пациентов?
С 2025 года за утечку специальных категорий персональных данных (медицинские сведения — именно такая категория) действует оборотный штраф до 500 миллионов рублей при повторном нарушении. При первичном инциденте — до 15 млн рублей на организацию плюс административная ответственность должностных лиц. Кроме штрафов: обязанность уведомить РКН в течение 24 часов, уведомить пострадавших пациентов, предоставить отчёт о мерах. При нарушении сроков уведомления — дополнительные санкции.
Как обеспечить безопасность подключённого медицинского оборудования (IoT)?
Безопасность медицинских IoT-устройств строится на принципе изоляции: каждый сегмент устройств (инфузионные помпы, УЗИ-аппараты, мониторы) должен быть отделён в отдельный VLAN без прямого доступа в интернет и офисный сегмент. Дополнительно — пассивный мониторинг трафика в этих сегментах через специализированные сенсоры: они выявляют аномальную активность, не нарушая работу медицинских устройств и не требуя установки агентов.
Поддерживаете ли интеграцию с ЕМИАС, Медиалог и другими российскими МИС?
Да. SOC КРЕДО-С имеет опыт интеграции с ведущими российскими МИС: Медиалог, ЕМИАС (включая региональные реализации), 1С:Медицина, Инфоклиника, QMIS. Интеграция строится на уровне системных журналов (syslog/Windows Event Log) и сетевого мониторинга — без необходимости изменений в конфигурации МИС. Корреляционные правила адаптируются под специфику используемой системы.
Рассчитайте стоимость SOC — Здравоохранение
Калькулятор учитывает специфику вашей отрасли, регуляторные требования и размер инфраструктуры