Медицинские организации остаются привлекательной целью для охотников за информацией. Информация из медицинских карт является ликвидной на черном рынке, так как довольно легко может конвертироваться в денежные средства. Помимо имен, фамилий и адресов пациентов, учреждения здравоохранения аккумулируют номера социального страхования, идентификационную информацию, сведения о платежных инструментах, данные удостоверений личности и результаты различных диагностических исследований.
Хакеры продолжают охотиться за персональной информацией пациентов по всему миру. Летом 2017 года зафиксированы несколько массовых инцидентов. Последний громкий случай произошел в Великобритании, где киберпреступники похитили 1,2 млн записей базы данных Национальной службы здравоохранения (NHS). В середине июля хакерам удалось украсть данные более 500 тыс. пациентов из Бельгии.
Помимо активности хакерских группировок, большой проблемой для медицины по всему миру остаются действия внутренних нарушителей, бывших сотрудников, а также различных подрядчиков. Так, сотрудник страховой компании Bupa в июне получил для перепродажи до 1 млн медицинских записей.
Случаев компрометации данных через бумажные носители с каждым годом объективно становится меньше. Однако совсем списывать их со счетов рано. По-прежнему утечки часто случаются из-за невнимательности и халатности сотрудников медицинских учреждений. Например, недавно в Канаде произошло удивительное по халатности нарушение конфиденциальной информации: персональные данные 60 человек содержались на обратной стороне рецепта, распечатанного для одного из пациентов.
Можно выделить два основных фактора регулярных утечек информации из медицинских учреждений. Во-первых, по сравнению со сферой финансов и госсектором, у них недостаточно хорошо развита инфраструктура информационной безопасности. Во многих странах уровень средств защиты медицинской информации пока не поспевает за развитием ИТ в поликлиниках и госпиталях. Во-вторых, ИБ по-прежнему не является приоритетным направлением для многих учреждений здравоохранения и зачастую финансируется по остаточному принципу.
Ряд массовых утечек информации, случившихся в 2015-2016 годах, заставил многие медицинские компании и их партнеров усилить направление ИБ. Однако не все компании могут оперативно закрыть бреши в системе безопасности, о чем свидетельствует печальный опыт компании Anthem. В 2015 году она допустила утечку более 78 млн записей, а в 2017 году испытала новую компрометацию данных своих клиентов.