Управление по гражданским правам (OCR) Министерства здравоохранения и социальных служб США сообщило о 725 нарушениях данных в сфере здравоохранения в 2024 году, затронувших 275 миллионов записей пациентов — наибольшее число, когда-либо зафиксированное за один год. Средняя стоимость нарушения в сфере здравоохранения достигла $10,22 млн в 2025 году (отчёт IBM о стоимости нарушения данных), обусловленная гражданскими денежными штрафами HIPAA, судебными издержками, уведомлением пациентов, кредитным мониторингом и репутационным ущербом.
Для американских охватываемых организаций и деловых партнёров HIPAA 2025 год представляет собой ключевой год соответствия: предлагаемое обновление Правила безопасности HIPAA (март 2025 года) создаст наиболее значительные технические требования HIPAA с момента окончательного принятия первоначального Правила безопасности в 2003 году.
725 нарушений: что пошло не так в 2024 году
Данные портала нарушений OCR выявляют категории сбоев, движущих рекордный объём нарушений 2024 года:
Хакинг/ИТ-инциденты: 74% зафиксированных нарушений — доминирующая категория. Компрометация сетевых серверов, программы-вымогатели и компрометация корпоративной электронной почты составляют большинство. Сдвиг носит структурный характер: злоумышленники перешли от целенаправленных атак на отдельные рабочие станции к атакам на уровне сети, компрометирующим целые EHR-системы и одновременно извлекающим миллионы записей.
Несанкционированный доступ/раскрытие: 18% нарушений. Включает инсайдерские угрозы, неправильно настроенный контроль доступа, раскрывающий данные пациентов несанкционированному персоналу, и случайное раскрытие не тем получателям.
Инциденты с третьими сторонами/деловыми партнёрами: Всё более значимые — 35% нарушений 2024 года возникли у деловых партнёров, а не у охватываемых организаций. Change Healthcare (дочерняя компания UnitedHealth Group) в одиночку затронул более 190 миллионов пациентов — крупнейшее нарушение данных здравоохранения в истории США.
Кража/потеря переносных носителей: 8% нарушений. Ноутбуки, USB-накопители и бумажные записи, украденные или потерянные без защиты шифрованием.
18 идентификаторов PHI: стандарт Safe Harbor HIPAA
Метод деидентификации HIPAA Safe Harbor (45 CFR §164.514(b)) требует удаления всех 18 указанных идентификаторов PHI:
- Имена: Все имена пациентов, членов семьи, работодателей
- Географические данные: Все подразделения меньше штата (почтовый адрес, город, округ, участок, первые 3 цифры почтового индекса, если <20 000 населения)
- Даты: Все даты, непосредственно связанные с пациентом (рождение, поступление, выписка, смерть), кроме года
- Номера телефонов: Все телефонные номера
- Номера факсов: Все номера факсов
- Адреса электронной почты: Все адреса электронной почты
- Номера социального страхования: Все SSN
- Номера медицинских записей: Все форматы MRN (варьируются в зависимости от системы EHR)
- Номера бенефициаров планов здравоохранения: Все страховые идентификаторы членов
- Номера счетов: Все номера финансовых счетов
- Номера сертификатов/лицензий: Медицинская лицензия, регистрация DEA, государственные лицензионные номера
- Идентификаторы транспортных средств: VIN, номера государственных регистрационных знаков
- Идентификаторы устройств: Серийные номера, уникальные идентификаторы устройств
- Веб-URL: Все веб-адреса
- IP-адреса: Все IP-адреса
- Биометрические идентификаторы: Отпечатки пальцев и голосовые отпечатки
- Фотографии лица в полный рост и сравнимые изображения
- Любой другой уникальный идентификационный номер, код или характеристика
18-й идентификатор — «любой другой уникальный идентификационный номер» — является наиболее сложным требованием к обнаружению. Это означает, что любой специфичный для базы данных идентификатор, который мог бы связывать записи обратно с конкретным пациентом, должен быть обнаружен и удалён, даже если он не соответствует предопределённому шаблону.
Предлагаемое обновление Правила безопасности HIPAA: что изменится в 2025–2026
Предлагаемое обновление Правила безопасности HIPAA, опубликованное в марте 2025 года, потребует:
Ежегодные аудиты шифрования: Охватываемые организации должны проводить ежегодные технические аудиты, проверяющие, что все PHI в состоянии покоя зашифрованы с помощью AES-256 или эквивалента, и что управление ключами шифрования соответствует задокументированным стандартам.
Задокументированные процедуры деидентификации: Для любых PHI, используемых в исследованиях, улучшении качества, обучении ИИ или аналитике, охватываемые организации должны поддерживать задокументированные процедуры, демонстрирующие, как достигается деидентификация — не просто политическое заявление, но техническую документацию с доказательствами валидации.
Требования безопасности для деловых партнёров: Деловые партнёры теперь должны отвечать конкретным техническим требованиям безопасности (ранее делегированным соглашениям о деловом партнёрстве без технической спецификации). Технические оценки деловых партнёров становятся обязательными перед адаптацией.
Многофакторная аутентификация: Все члены персонала с электронным доступом к PHI должны использовать MFA. Никаких исключений для «устаревших систем» — предлагаемое правило требует MFA независимо от возраста системы.
Урок Change Healthcare
Нарушение Change Healthcare (февраль 2024 года) — затронувшее более 190 миллионов американцев — проиллюстрировало системный риск взаимосвязанной инфраструктуры здравоохранения. Change Healthcare обрабатывал 15 млрд транзакций в сфере здравоохранения ежегодно как посредник между провайдерами, плательщиками и аптеками.
Нарушение началось с учётных данных удалённого доступа Citrix без защиты MFA. Внутри злоумышленники двигались по сети Change Healthcare в течение 9 дней до развёртывания программы-вымогателя.
Системный урок: любой деловой партнёр с сетевым доступом к данным транзакций здравоохранения представляет системный риск для всей экосистемы здравоохранения, с которой он связан. Фреймворк деловых партнёров HIPAA не был разработан для системных провайдеров инфраструктуры с доступом к трети всех транзакций здравоохранения США.
Для охватываемых организаций и деловых партнёров: нарушение Change Healthcare напрямую повлияло на требования предлагаемого Правила безопасности HIPAA к сегментации сети, MFA и техническим оценкам деловых партнёров.
Источники: