Исследование: 38% медицинских организаций в 2025 году столкнулись с утечками данных по вине сотрудников

2 часа назад

© freepik.com

Опрос, проведенный компанией «СёрчИнформ» среди специалистов по информационной безопасности из 95 государственных и частных учреждений здравоохранения, выявил основные тенденции и проблемы в сфере защиты данных в отрасли. Результаты показывают высокий уровень инцидентов, особенности бюджетного планирования и кадровый дефицит.

Статистика инцидентов

В 2025 году с утечками конфиденциальной информации столкнулись 38% медицинских организаций. Подавляющее большинство нарушений — 84% — сотрудники допустили неумышленно. Для снижения таких рисков эксперты указывают на необходимость повышения цифровой грамотности персонала, особенно медицинского.

Чаще всего объектом утечек становились персональные данные (73% случаев). Далее следуют внутренние регламенты и служебная переписка (37%), финансовая информация (10%). Утечки технической документации и интеллектуальной собственности зафиксированы в 7% и 6% организаций соответственно.

Основные каналы утечек

Главным каналом передачи данных за пределы организаций стали мессенджеры — на них приходится 62% инцидентов. Электронная почта заняла второе место с показателем 41%. Третьим по популярности каналом стали различные устройства хранения данных (29%). Также конфиденциальная информация утекала через фотографии, сделанные на смартфоны (23%), и через социальные сети (21%).

Реакция на нарушения

Большинство компаний, столкнувшихся с инцидентами, ограничились выговором, предупреждением или замечанием в адрес нарушителя (76%). Увольнение как меру наказания применяли 27% организаций, столько же лишали сотрудников премии. Лишь 15% компаний довели дело до суда. Примечательно, что 12% работодателей не применяли к нарушителям никаких санкций.

Выявляли инциденты преимущественно службы информационной или IT-безопасности с помощью технических средств (82% случаев). В 29% ситуаций на проблему обратили внимание сотрудники других подразделений. Еще 9% опрошенных узнали об утечке от своих контрагентов.

Бюджеты на информационную безопасность

Финансирование ИБ в 2025 году изменилось неоднородно. 23% организаций увеличили бюджеты, 51% оставили их на прежнем уровне, а 26% — сократили.

Основные статьи расходов — продление лицензий (81%), закупка отечественного программного обеспечения (57%) и оплата технической поддержки (49%). На приобретение российского оборудования тратят средства 42% опрошенных. Меньше всего средств направляли на масштабирование уже внедренных систем защиты (16%).

Заместитель генерального директора по инновационной деятельности «СёрчИнформ» Алексей Парфентьев пояснил, что в 2026 году тенденция к росту ИБ-бюджетов в здравоохранении продолжится. Это связано с особым статусом медучреждений: они относятся к субъектам критической информационной инфраструктуры (КИИ) и одновременно являются операторами специальных категорий персональных данных. Кроме того, IT-системы бюджетных организаций подпадают под действие нового приказа ФСТЭК. Исполнение этих требований и риски штрафов требуют постоянных инвестиций.

Данные опроса подтверждают влияние регуляторики. Для 55% респондентов именно нормативные требования стимулируют увеличение инвестиций. Процесс импортозамещения назвали причиной роста затрат 47% организаций. С 2025 года субъектам КИИ запрещено использовать иностранные средства защиты информации, а переход на российское ПО часто требует внедрения новых или обновления существующих решений. Еще 38% компаний увеличили бюджеты из-за общего роста цен на софт и оборудование.

Более трети организаций тратят на закупку средств защиты информации до 500 тысяч рублей в год. От 500 тысяч до 1 миллиона рублей выделяют 16% опрошенных.

Инструменты защиты

Наиболее распространенными средствами защиты в медицинских организациях остаются антивирусы (91%). Криптографические СЗИ используют 76% учреждений. Встроенные средства безопасности операционных систем применяют 48% опрошенных. При этом отечественные DLP-системы для предотвращения утечек внедрены лишь в 21% организаций.

При выборе решений большинство (53%) в первую очередь оценивают функциональность, стабильность и скорость работы. Для 44% не менее важен баланс цены и качества.

Проверки соответствия требованиям по защите информации большинство организаций проводят с периодичностью раз в год (40%) или раз в полгода (32%).

Кадровый вопрос

Дефицит специалистов по информационной безопасности в сфере здравоохранения продолжает нарастать — об этом заявили 18% опрошенных. Лишь 4% считают, что кадров на рынке достаточно. Еще 17% компаний никогда не испытывали проблем с наймом.

Основной способ закрытия потребности в кадрах — профессиональная переподготовка собственных сотрудников (63%). Найм студентов и выпускников практикуют 30% организаций. Привлечение готовых специалистов с внешнего рынка используют 27% компаний.

Ранее «RUБЕЖ» сообщал, что российские ИТ-вендоры переключились на конкуренцию друг с другом, показало исследование OCS.