Охорона здоров'я лідирує за вартістю витоків
14-й рік поспіль охорона здоров'я має найвищу вартість витоків серед усіх секторів. Звіт IBM за 2025 рік визначає середнє значення в $7,42 мільйона за витік. Це нижче, ніж $9,77 мільйона у 2024 році. Але все ще значно перевищує будь-яку іншу галузь.
Глобальне середнє значення по всіх секторах: $4,44 мільйона.
Ключові показники
| Показник | Значення | Джерело |
|---|---|---|
| Середня вартість витоку | $7,42 млн | IBM 2025 |
| Вартість за один викритий запис | $398 | IBM 2025 |
| Днів на виявлення та зупинку | 279 днів | IBM 2025 |
| Великі витоки (2025) | 710 | HHS OCR |
| Постраждалих осіб (2025) | 62 мільйони | HHS OCR |
| Атаки програм-вимагачів | 445 | Comparitech 2025 |
Виявлення та усунення витоків у охороні здоров'я займає 279 днів. Це на п'ять тижнів більше за світовий середній показник. Майже 10 місяців відкритого ризику.
Чому медичні записи так дорого коштують
Медичні записи продаються за ціною, що в 10–40 разів перевищує вартість кредитних карток у темній мережі. Чому? Один запис містить багато.
Багаті ідентифікаційні дані
Кожен запис може містити:
- Повне ім'я, дату народження, номер соціального страхування
- Адресу, телефон та електронну пошту
- Страхові та трудові дані
- Дані членів сім'ї
Багато видів шахрайства
Викрадені записи дозволяють:
- Крадіжку медичної ідентичності
- Страхове шахрайство
- Шахрайство з рецептами
- Податкове шахрайство з SSN
Дані, що не можна змінити
Кредитну картку можна скасувати. Свою медичну історію, SSN або дату народження — ні. Саме тому записи залишаються корисними для злочинців роками.
Атака на Change Healthcare
Найбільший витік даних у сфері охорони здоров'я в історії стався в Change Healthcare у лютому 2024 року. Атаку провела група програм-вимагачів BlackCat/ALPHV.
| Показник | Значення |
|---|---|
| Зачеплено записів | 192,7 мільйона |
| Загальна вартість | $3,1 мільярда |
| Сплачений викуп | $22 мільйони |
| Системи були вимкнені | Тижні |
Атака перервала обробку претензій та ліків по всій Америці. Провайдери не могли подавати претензії. Пацієнти не могли отримати ліки. Дохід припинився.
Група забрала $22 мільйони викупу — і все одно злила дані пацієнтів онлайн. Оплата не допомогла.
Як змінилися програми-вимагачі
Програми-вимагачі в охороні здоров'я суттєво змінилися з 2024 по 2025 рік.
| Показник | 2024 | 2025 | Зміна |
|---|---|---|---|
| Рівень блокування файлів | 74% | 34% | −54% |
| Рівень крадіжки даних | 94% | 96% | +2% |
| Середня вимога викупу | $4 млн | $343К | −91% |
| Середній сплачений викуп | $1,47 млн | $150К | −90% |
Зловмисники тепер зосереджуються на крадіжці даних, а не блокуванні файлів. Резервні копії покращилися, тому блокування файлів менш ефективне. Викрадені дані зберігають цінність довго після завершення атаки.
Рівень крадіжки 96% означає, що майже кожна атака тепер супроводжується крадіжкою даних.
18 ідентифікаторів HIPAA
HIPAA перераховує 18 типів захищеної медичної інформації (PHI), що потребують захисту. Будь-які медичні дані, пов'язані з цими ідентифікаторами, стають PHI за законом.
| № | Ідентифікатор | Приклади |
|---|---|---|
| 1 | Імена | Ім'я пацієнта, імена родичів |
| 2 | Географічні дані | Адреса, місто, поштовий індекс |
| 3 | Дати | Народження, відвідування, виписки |
| 4 | Номери телефонів | Усі номери телефонів |
| 5 | Номери факсів | Усі номери факсів |
| 6 | Електронні адреси | Усі електронні адреси |
| 7 | SSN | Номери соціального страхування |
| 8 | Номери медичних карток | MRN, номери карт |
| 9 | Ідентифікатори страхових планів | Номери пільг |
| 10 | Номери рахунків | Номери рахунків пацієнтів |
| 11 | Номери ліцензій | Водійське посвідчення тощо |
| 12 | Ідентифікатори транспортних засобів | VIN, номерні знаки |
| 13 | Ідентифікатори пристроїв | Серійні номери медичних пристроїв |
| 14 | Веб-URL | URL порталів пацієнтів |
| 15 | IP-адреси | Усі IP-адреси |
| 16 | Біометрія | Відбитки пальців, голосові відбитки |
| 17 | Фотографії обличчя | Та подібні зображення |
| 18 | Інші унікальні ідентифікатори | Коди, ознаки |
Постачальники — найслабша ланка
Важливий факт для кожного CISO в охороні здоров'я:
Понад 80% викраденої PHI надійшло від сторонніх постачальників, а не з лікарень.
Change Healthcare не зламав окремі лікарні. Він уразив розрахунковий центр, що обробляє претензії для тисяч провайдерів. Провал одного постачальника поширився на всіх.
Безпека вашої PHI не краща за найслабшу ланку ваших постачальників.
Штрафи HIPAA зростають
Управління з цивільних прав HHS (OCR) вживає заходів. У 2025 році:
| Показник | Значення |
|---|---|
| Справи зі штрафами | 21 |
| Загальна сума штрафів | $8,33 мільйона |
| Головний фокус | Прогалини в аналізі ризиків |
OCR націлюється на групи, що пропускають належний аналіз ризиків. Це основний крок Правила безпеки — і поширена прогалина.
Як anonym.legal захищає PHI
Усі 18 ідентифікаторів HIPAA
anonym.legal охоплює всі 18 типів ідентифікаторів HIPAA з контрольними перевірками. Імена, дати, SSN, номери медичних карток, телефон, факс, електронна пошта — все обробляється. Дивіться наш посібник відповідності HIPAA.
Зворотне шифрування
Багатьом командам потрібно відновлювати дані для досліджень, аудитів або судових перевірок. anonym.legal використовує шифрування AES-256-GCM, яке можна скасувати за наявності правильних ключів доступу.
Відповідність методу Safe Harbor
Метод Safe Harbor HIPAA вимагає видалення всіх 18 типів ідентифікаторів. Пресет HIPAA anonym.legal робить це за вас:
- Імена → [PERSON]
- Дати → тільки рік
- Поштові індекси → перші 3 цифри (якщо населення >20 000)
- Прямі ідентифікатори → зашифровані токени
Локальна обробка
При $7,42 млн за витік ви не можете надсилати PHI на зовнішні сервери. Десктопний застосунок anonym.legal працює на вашому власному комп'ютері. Захищені медичні дані ніколи не покидають вашу мережу.
Ціна бездіяльності
| Сценарій | Вартість |
|---|---|
| Середній витік в охороні здоров'я | $7,42 млн |
| План anonym.legal Business | €29/місяць |
| Річна вартість | €348 |
| Точка беззбитковості | 0,005% запобігання витоку |
Якщо anonym.legal запобігає лише 0,005% вартості витоку, він окупається. Атака на Change Healthcare коштувала $3,1 мільярда. Кращий контроль PHI по всьому ланцюжку постачальників міг її зупинити.
Висновок
Охорона здоров'я залишатиметься головною мішенню. PHI цінна. Системи складні. Ланцюжки постачальників додають ризику. І середній витік виявляється через 279 днів.
Коли ви дізнаєтеся про витік, шкода вже завдана. Найкращий крок — профілактика, до того як інцидент стався.
Починаємо
- Завантажити десктопний застосунок — файли залишаються на вашому пристрої
- Встановити доповнення Office — захист клінічних документів
- Почати безкоштовне випробування — 200 токенів для тестування
Джерела
- IBM Cost of a Data Breach Report 2025 — VERIFIED-EXTERNAL
- HIPAA Journal — Healthcare Breach Statistics — VERIFIED-EXTERNAL
- Comparitech — Healthcare Ransomware 2025 — VERIFIED-EXTERNAL
- Sophos — State of Ransomware in Healthcare 2025 — VERIFIED-EXTERNAL
- HHS OCR — HIPAA Enforcement — VERIFIED-EXTERNAL
- Change Healthcare Breach Analysis — VERIFIED-EXTERNAL