Кибербезопасность в ущерб экономии: как медучреждения идут на риск

Медицинские учреждения сокращают бюджеты на кибербезопасность из-за финансового давления, несмотря на растущую интенсивность угроз для их систем. Опрос PwC, проведенный среди 381 руководителя глобальных медицинских организаций с мая по июль 2025 года, количественно демонстрирует разрыв между рисками, с которыми сталкивается отрасль, и имеющимися мерами контроля.

Ключевые выводы (Источник: PwC)

Защита данных является главным драйвером расходов на кибербезопасность в отрасли, однако только 35% медицинских организаций внедрили контроль рисков для данных на протяжении всего их жизненного цикла. Средний показатель по всем секторам экономики составляет 44%.

Облачные технологии, квантовые вычисления и подключенные устройства возглавляют список неподготовленности

Руководители в сфере здравоохранения выделили угрозы, связанные с облачными технологиями, риски квантовых вычислений и атаки на подключенные устройства, как три направления, к которым они чувствуют себя наименее готовыми. Эта тенденция сохраняется как среди страховщиков и поставщиков медицинских услуг, так и среди фармацевтических и биотехнологических компаний, с некоторыми различиями в деталях.

Для фармацевтических и биотехнологических компаний ситуация с готовностью к квантовым угрозам особенно тревожна. Более половины респондентов еще не начали внедрять какие-либо меры безопасности, устойчивые к квантовым атакам. Лишь 7% планируют выделять бюджет на эту готовность в 2026 году.

Страховщики и поставщики услуг: мошенничество с идентификацией и фрагментированные среды данных

Страховые компании и поставщики медицинских услуг работают в системах, которые функционируют на базе множества вендоров, платформ и хранилищ данных. Эта раздробленность создает пробелы в защите и усложняет управление.

Эксплуатация незащищенных приложений и слабого управления идентификацией привела к росту мошенничества, особенно в онлайн-аккаунтах пациентов и в стимулирующих программах, таких как дебетовые карты для профилактического лечения. В ответ на это страховщики и поставщики услуг ставят защиту данных и обучение персонала основам безопасности в число главных инвестиционных приоритетов на предстоящий год.

Пробелы в управлении данными остаются повсеместными. Только 39% страховщиков и поставщиков услуг внедрили подходы минимизации данных в своих организациях. Лишь 37% реализовали контроль данных на всем их жизненном цикле. Конфиденциальные данные, включая выгрузки, электронные таблицы и исторические записи, часто хранятся в неконтролируемых средах за пределами основных систем, где их сложнее защищать и аудировать.

В сфере операционных технологий главной проблемой для поставщиков является отсутствие сегментации сети, на что указали 50% респондентов. Нехватка специализированных навыков и ресурсов для ОТ следует с показателем 47%, а отсутствие чёткого управления и ответственности за кибербезопасность ОТ отметили 45%.

Требования регуляторов также ужесточаются. В США предлагаемые поправки к правилу безопасности HIPAA потребуют ежегодной оценки рисков безопасности и сделают обязательными шифрование и многофакторную аутентификацию. Закон Индии о защите персональных цифровых данных устанавливает строгие требования к соблюдению правил обработки медицинских данных и получению согласия.

Финансовый контекст значителен. Расходы на здравоохранение оцениваются примерно в 5 триллионов долларов в год и растут почти на 8% ежегодно, что обусловлено ростом страховых случаев, сокращением государственного финансирования, увеличением административной нагрузки, а также хроническими и психическими заболеваниями. Некоторые организации сознательно идут на большие киберриски, чтобы избежать первоначальных затрат.

Фармацевтика и биотехнологии: интеллектуальная собственность и риски третьих сторон

Компании в фармацевтике и биотехнологиях в первую очередь сосредоточены на защите интеллектуальной собственности. Проприетарные формулы, данные исследований и информация о клинических испытаниях являются высокоценными целями. Утечки в этой сфере могут привести не только к финансовому и репутационному ущербу, но и к задержкам в получении регуляторных одобрений или проведении испытаний.

Риски, связанные с третьими сторонами, вызывают постоянную озабоченность. Отрасль функционирует через обширные сети контрактных исследователей, производителей и поставщиков. Четверть опрошенных руководителей фармкомпаний относят утечки данных у третьих сторон к трём главным угрозам, к которым их организация наименее готова.

Контроль за данными в фармацевтике повсеместно неполон. Около половины опрошенных компаний внедрили политики классификации данных и предотвращения их утечки по ключевым каналам. Только 33% реализовали контроль на протяжении всего жизненного цикла данных. Лишь 2% внедрили все восемь мер по управлению рисками данных, рассмотренных в исследовании.

Уязвимости облачных систем и подключенных устройств также занимают высокие позиции в списке угроз. Многие фармацевтические процессы зависят от облачной инфраструктуры для хранения данных клинических испытаний и автоматизации производственных линий, что делает архитектуру, безопасную по умолчанию, постоянной рекомендацией для отрасли. Конвергенция IT и OT создаёт дополнительные риски: атаки на интеллектуальные производственные системы могут остановить выпуск продукции, нарушить цепочки поставок и повлиять на качество лекарств.

Тенденции инвестиций и приоритеты на 2026 год

Плательщики и поставщики услуг планируют увеличить кибербезопасностные бюджеты в 2026 году, причём искусственный интеллект назван главной инвестиционной категорией. За ним следуют безопасность облака и управление угрозами. Лишь 24% компаний в сфере фармацевтики и наук о жизни направляют значительно больше средств на превентивные меры, такие как мониторинг, тестирование, обучение и управление, по сравнению с реактивными мерами, такими как реагирование на инциденты и их устранение.

КибербезопасностьМедицинские ITОблачные вычисленияКвантовая криптографияIoMT (Интернет медицинских вещей)