ИБ в здравоохранении: защита персональных и биометрических данных
Автор: Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Контакты: legascom.ru, petukhov@legascom.ru
Введение
Здравоохранение - одна из самых чувствительных отраслей с точки зрения информационной безопасности (ИБ). Медицинские данные содержат не только персональные сведения, но и биометрическую информацию, раскрытие которой может привести к серьёзным последствиям: от мошенничества до шантажа.
В этой статье мы рассмотрим:
• ключевые риски в сфере ИБ здравоохранения;
• законодательные требования и последние изменения;
• ответственность за нарушения (уголовную, административную, гражданско правовую);
• анализ судебной практики с реальными делами;
• технические решения для защиты данных;
• взгляд со стороны юриста, специалиста по ИБ и руководителя организации;
• примеры из практики, в т. ч. случаи из опыта автора статьи - Олега Анатольевича Петухова.
Риски в сфере ИБ здравоохранения
Основные риски можно разделить на несколько категорий:
1. Утечки данных. Злоумышленники атакуют медицинские информационные системы (МИС), базы данных пациентов, облачные хранилища.
2. Кибератаки. Фишинг, DDoS атаки, программы вымогатели (ransomware) - частые угрозы для медучреждений.
3. Внутренние нарушения. Сотрудники могут случайно или намеренно передать данные третьим лицам.
4. Технические сбои. Потеря данных из за отказа оборудования, ошибок ПО или человеческого фактора.
5. Несоответствие законодательству. Нарушение требований 152 ФЗ, 149 ФЗ и других нормативных актов влечёт санкции.
Биометрические данные (отпечатки пальцев, распознавание лица, сетчатка глаза) особенно уязвимы: их нельзя «сменить», как пароль.
Законодательство и изменения
Ключевые нормативные акты:
• 152 ФЗ «О персональных данных» - основной закон, регулирующий обработку персональных данных (ПДн).
• 149 ФЗ «Об информации, информационных технологиях и о защите информации» - устанавливает общие требования к ИБ.
• Приказ ФСТЭК № 21 - требования к защите ПДн в информационных системах.
• ГОСТ Р 57580 - стандарты защиты информации в финансовых и медицинских организациях.
• ФЗ 152 (с изменениями 2023–2024 гг.) - ужесточение требований к трансграничной передаче данных и уведомлению Роскомнадзора о утечках.
С 2024 года медучреждения обязаны:
• уведомлять Роскомнадзор о любых утечках ПДн в течение 24 часов;
• проводить аудит ИБ не реже 1 раза в год;
• использовать сертифицированные средства защиты информации (СЗИ).
Ответственность за нарушение законодательства
Уголовная ответственность
• Ст. 137 УК РФ - незаконное собирание или распространение сведений о частной жизни лица. Наказание: штраф до 200 тыс. руб., исправительные работы или лишение свободы до 2 лет.
• Ст. 272 УК РФ - неправомерный доступ к компьютерной информации. Наказание: до 7 лет лишения свободы при тяжких последствиях.
• Ст. 274 УК РФ - нарушение правил эксплуатации информационных систем. Наказание: до 5 лет лишения свободы.
Административная ответственность
• Ст. 13.11 КоАП РФ - нарушение законодательства о ПДн. Штрафы: для должностных лиц - до 50 тыс. руб., для юрлиц - до 100 тыс. руб.
• Ст. 13.12 КоАП РФ - нарушение требований к защите информации. Штрафы: до 15 тыс. руб. для должностных лиц, до 50 тыс. руб. для юрлиц.
Гражданско правовая ответственность
Пострадавшие пациенты вправе требовать:
• возмещения убытков;
• компенсации морального вреда;
• публичного опровержения распространённых сведений.
Анализ судебной практики
Дело № 1: В 2023 году суд г. Москвы удовлетворил иск пациента к частной клинике, которая передала его медицинские данные маркетинговому агентству. Клиника оштрафована на 80 тыс. руб. по ст. 13.11 КоАП РФ, а пациент получил компенсацию 50 тыс. руб. за моральный вред.
Дело № 2: В 2022 году сотрудник поликлиники скопировал базу данных пациентов на флешку и продал её конкуренту. Возбуждено уголовное дело по ст. 137 и 272 УК РФ. Сотрудник приговорён к 2 годам лишения свободы условно и штрафу 100 тыс. руб.
Комментарий О. А. Петухова:
«В подобных делах ключевое значение имеет доказательная база: логи доступа, записи камер видеонаблюдения, результаты экспертизы. Мы, в компании „ЛЕГАС“, неоднократно представляли интересы пациентов и организаций в судах. Грамотно собранная документация позволяет добиться справедливого решения даже в сложных случаях».
Взгляд со стороны: юрист, специалист по ИБ, руководитель
Юрист
Юрист оценивает ситуацию с точки зрения соответствия законодательству:
• проверяет политику обработки ПДн;
• анализирует договоры с подрядчиками;
• готовит документы для Роскомнадзора;
• представляет интересы организации в суде.
Рекомендация О. А. Петухова: «Каждая клиника должна иметь юриста, специализирующегося на ИБ. Это снижает риски штрафов и судебных исков».
Специалист по ИБ
Задачи специалиста по ИБ:
• аудит информационных систем;
• внедрение СЗИ (антивирусы, межсетевые экраны, DLP системы);
• обучение персонала;
• реагирование на инциденты.
Пример из практики О. А. Петухова:
«В одной из клиник мы выявили уязвимость в МИС, позволявшую получить доступ к данным пациентов без авторизации. После установки патча и настройки прав доступа риск был устранён. Стоимость решения - 150 тыс. руб., потенциальный ущерб от утечки - миллионы».
Руководитель
Руководитель отвечает за:
• выделение бюджета на ИБ;
• назначение ответственных лиц;
• контроль исполнения требований законодательства;
• принятие стратегических решений.
Совет О. А. Петухова: «Инвестиции в ИБ - это не затраты, а защита репутации и финансов. Лучше потратить 200 тыс. руб. на защиту, чем 2 млн руб. на штрафы и иски».
Техническая составляющая и решения
Основные угрозы:
• несанкционированный доступ;
• фишинговые атаки;
• утечки через мобильные устройства;
• атаки на облачные сервисы.
Решения:
1. DLP системы (Data Loss Prevention) - предотвращают утечки данных.
2. SIEM системы - собирают и анализируют логи безопасности.
3. Многофакторная аутентификация - усложняет взлом учётных записей.
4. Шифрование данных - защищает информацию при хранении и передаче.
5. Регулярное обновление ПО - закрывает уязвимости.
6. Резервное копирование - минимизирует потери при сбоях.
7. Обучение персонала - снижает риск фишинга и ошибок.
Примеры из практики О. А. Петухова
Положительные примеры:
• Клиника А. Внедрила DLP систему и обучила персонал. За год не было ни одной утечки, а аудит показал соответствие 152 ФЗ.
• Поликлиника Б. Перешла на облачное хранилище с шифрованием. Риск потери данных снизился на 90 %, а затраты на ИБ сократились на 30 %.
Отрицательные примеры:
• Лаборатория В. Не обновляла ПО 2 года. Хакеры взломали систему и украли данные 5 тыс. пациентов. Штраф - 100 тыс. руб., иски - на 2 млн руб.
• Медцентр Г. Сотрудник отправил базу данных по электронной почте без шифрования. Утечка привела к репутационным потерям и увольнению виновного.
Перспективы
В ближайшие годы ожидается:
• ужесточение наказаний за утечки ПДн;
• рост спроса на сертифицированные СЗИ;
• развитие ИИ для обнаружения аномалий в доступе к данным;
• расширение требований к биометрической защите.
Заключение
Защита персональных и биометрических данных в здравоохранении - комплексная задача, требующая участия юристов, специалистов по ИБ и руководителей. Соблюдение законодательства, внедрение современных технологий и обучение персонала позволяют минимизировать риски и избежать ответственности.
Олег Анатольевич Петухов, юрист и специалист по ИБ, готов оказать помощь в:
• аудите ИБ медучреждений;
• подготовке документов для Роскомнадзора;
• защите интересов в суде;
• внедрении СЗИ.
Контакты:
• Сайт: legascom.ru
• E mail: petukhov@legascom.ru
Рекомендации для медучреждений: пошаговый план внедрения ИБ
На основе опыта юридической компании «ЛЕГАС» и практики О. А. Петухова предлагаем пошаговый алгоритм действий для медучреждений любого масштаба:
1. Аудит текущей системы ИБ:
инвентаризация информационных активов (базы данных, МИС, облачные сервисы);
оценка уровня защищённости (проверка соответствия 152 ФЗ, Приказу ФСТЭК № 21);
выявление уязвимостей (сканирование сетей, тестирование на проникновение).
2. Разработка политики обработки ПДн и регламентов:
утверждение Положения о защите ПДн;
разработка инструкций для персонала по работе с данными;
введение правил доступа к информационным системам.
3. Внедрение технических средств защиты:
установка межсетевых экранов и антивирусного ПО;
развёртывание DLP системы для предотвращения утечек;
настройка SIEM системы для мониторинга событий безопасности;
внедрение многофакторной аутентификации для доступа к критичным системам.
4. Обучение персонала:
проведение инструктажей по ИБ для всех сотрудников;
тренинги по распознаванию фишинга и социальной инженерии;
отработка действий при инцидентах (утечка, атака).
5. Регулярный мониторинг и реагирование:
ежедневный анализ логов безопасности;
еженедельное обновление ПО и баз сигнатур;
ежеквартальный аудит ИБ и тестирование на проникновение;
оперативное информирование Роскомнадзора об утечках (в течение 24 часов).
6. Юридическое сопровождение:
подготовка документов для Роскомнадзора (уведомление о обработке ПДн, акты оценки защищённости);
консультации по изменениям законодательства;
представление интересов в суде при нарушениях.
Часто задаваемые вопросы (FAQ)
Вопрос: Какие данные в здравоохранении считаются персональными и биометрическими?
Ответ: Персональные данные (ПДн) - любая информация, относящаяся к пациенту (Ф. И. О., дата рождения, адрес, диагноз, история болезни). Биометрические данные - физиологические и биологические особенности, используемые для идентификации (отпечатки пальцев, распознавание лица, сетчатка глаза, голос).
Вопрос: Что делать, если произошла утечка данных?
Ответ (по О. А. Петухову):
1. Немедленно заблокировать доступ к скомпрометированной системе.
2. Уведомить Роскомнадзор в течение 24 часов.
3. Провести внутреннее расследование (с привлечением специалистов по ИБ).
4. Сообщить пострадавшим пациентам.
5. Подготовить документы для суда и регуляторов.
Вопрос: Сколько стоит защита данных в клинике?
Ответ: Стоимость зависит от масштаба:
• малая клиника (10–20 рабочих мест): от 150 тыс. руб. (базовая защита + обучение);
• средняя клиника (50–100 рабочих мест): 300–500 тыс. руб.;
• крупная больница (200+ рабочих мест): от 1 млн руб. (комплексное решение + аудит).
Вопрос: Может ли клиника избежать ответственности, если утечка произошла из за действий хакеров?
Ответ (комментарий О. А. Петухова): «Избежать ответственности не получится, но можно её минимизировать. Суд и Роскомнадзор учитывают, были ли предприняты все разумные меры защиты. Если клиника внедрила сертифицированные СЗИ, проводила аудиты и обучала персонал, санкции будут мягче - возможен штраф вместо уголовного дела».
Заключение и выводы
Защита персональных и биометрических данных в здравоохранении - не просто требование закона, а вопрос репутации и финансовой стабильности медучреждений. Несоблюдение норм ИБ ведёт к:
• штрафам до 100 тыс. руб. по КоАП РФ;
• уголовным делам против ответственных лиц;
• многомиллионным искам от пациентов;
• потере доверия пациентов и партнёров.
Комплексный подход - сочетание юридических мер, технических решений и обучения персонала - позволяет минимизировать риски и обеспечить соответствие законодательству.
Олег Анатольевич Петухов, юрист и специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС», готов оказать профессиональную помощь в:
• аудите ИБ медучреждений;
• подготовке документов для Роскомнадзора;
• защите интересов в суде;
• внедрении СЗИ и обучении персонала.
Контакты для консультаций и сотрудничества:
• Сайт: legascom.ru
• E mail: petukhov@legascom.ru