ИБ в фарме: системный подход к управлению рисками и регуляторными требованиями

Информационная безопасность в фарме: риски и инструменты киберзащиты

Чем отрасль привлекает хакеров, с какими специфическими вызовами сталкиваются ее игроки и какие инструменты киберзащиты дают максимальный эффект.

В 2025 году доля кибератак на фармацевтические компании и организации здравоохранения в России в I квартале выросла с 10% до 40% от общего числа инцидентов, а в августе число DDoS-атак на отечественные фармкомпании увеличилось на 82% по сравнению с аналогичными периодами прошлого года. Чем отрасль привлекает хакеров, с какими специфическими вызовами сталкиваются ее игроки и какие инструменты киберзащиты дают максимальный эффект — рассказывает Никита Кузьмичев, IT-менеджер фармацевтической компании «Алцея».

Специфические вызовы ИБ в фарме

Фармацевтическая отрасль сталкивается с рядом специфических вызовов в сфере информационной безопасности (ИБ):

• Повышенное внимание злоумышленников

Рост интереса хакеров к фармкомпаниям связан со смещением фокуса на отрасли, которые в среднем менее защищены, но обладают уникальными чувствительными данными. В случае фармы это результаты научно-исследовательских и опытно-конструкторских работ (НИОКР), регуляторные отчеты, информация о врачах и пациентах.

• Сложная ИТ-инфраструктура и зависимость от поставщиков

Фармкомпании используют сложные системы для производства, контроля качества, серийного учета, управления данными клинических испытаний. Любой слабый поставщик или интегратор становится точкой компрометации.

• Наличие повышенных регуляторных требований

Если раньше фармбизнес при построении системы ИБ мог ориентироваться только на защиту коммерческих рисков и интеллектуальной собственности, то сейчас к этому добавился большой набор регуляторных требований.

Так, фармкомпании как субъекты критической информационной инфраструктуры (КИИ) должны уведомлять Национальный координационный центр по компьютерным инцидентам (НКЦКИ) о компьютерных атаках, применять только отечественные средства защиты информации (СЗИ) и создавать структурные подразделения, ответственные за обеспечение информационной безопасности. Также они обязаны проводить категорирование информационной инфраструктуры: в зависимости от его результатов могут быть найдены значимые объекты КИИ, к которым применяются довольно строгие дополнительные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК). Выросли и штрафы за утечки персональных данных (ПДн) — вплоть до взысканий от 1% до 3% от годовой выручки (до 500 млн руб.) за повторные инциденты.

Все это ведет к росту сложности архитектуры безопасности, усилению формализации процессов, повышению ответственности менеджмента, а также росту затрат и нагрузки на ИБ-команды.

• Дефицит квалифицированных ИБ-специалистов

В условиях острой конкуренции за кадры на рынке труда фармацевтические компании проигрывают финансовому сектору, ИТ-компаниям и ретейлу. Это усложняет формирование собственных экспертных команд и вынуждает искать альтернативные пути обеспечения информационной безопасности, включая привлечение внешних подрядчиков.

Эволюция угроз

Что касается ландшафта угроз, с которыми сталкиваются фармкомпании, то в приоритете у злоумышленников по-прежнему остаются финансовые цели — от вымогательства (в том числе с шифрованием данных) до похищения коммерчески ценной информации. Под наибольшим риском — базы данных с ПДн сотрудников, врачей и пациентов.

Однако фиксируются и новые угрозы, направленные уже не на данные, а на работоспособность систем фармкомпаний — блокировка веб-порталов и атаки на цепочки поставок препаратов. Например, в июле 2025 года две федеральные аптечные сети столкнулись с кибератакой, следствием которой стал технический сбой в работе онлайн-сервисов и закрытие части офлайн-точек.

В качестве инструментов злоумышленники по-прежнему активно используют программы-шифровальщики, а фишинг остается наиболее массовым вектором проникновения в инфраструктуру. При этом генеративный ИИ уже активно применяется для создания более убедительных фишинговых сообщений — например, наша компания сталкивается с ними регулярно, хотя еще год назад подобных случаев не фиксировалось.

Массовое распространение ИИ создает и другую категорию рисков, связанных уже не с действиями злоумышленников, а с поведением самих сотрудников. Наиболее масштабный из них — утечка чувствительных данных через ИИ-инструменты. Специалисты могут загружать ценную информацию во внешние чат-боты на основе больших языковых моделей, что грозит нарушением коммерческой тайны, соглашений о неразглашении (NDA) и законодательства о защите персональных данных. Этот риск особенно критичен для НИОКР и клинических данных.

Количество DDoS-атак также стремительно увеличивается: в 2025 году их рост в фарме составил +80% год к году. Стоит отметить и геополитический контекст, который в некоторых случаях является ключевым при атаках на КИИ здравоохранения.

Как реагировать на вызовы и угрозы: стратегия вместо хаотичных действий

Перед тем, как внедрять новые СЗИ и процессы в области ИБ, необходимо выполнить две процедуры:

1. Комплексный анализ текущего уровня защищенности. Он включает тестирование на проникновение (внутреннее и внешнее), социотехническое тестирование, тестирование беспроводных сетей, анализ конфигураций ключевых элементов инфраструктуры. По итогам анализа могут быть выявлены критические уязвимости, специфичные для конкретной компании, которые необходимо «закрыть». Исследование недешевое, но без него любые инвестиции в ИБ будут действиями «вслепую».
2. Оценка рисков информационной безопасности. Она требует вовлечения всех департаментов компании, но позволяет выявить угрозы, наиболее важные с точки зрения потенциального ущерба для конкретного бизнеса, и сосредоточиться на реализации мер, которые их нейтрализуют.

Только после этих шагов имеет смысл формировать программу внедрения средств защиты, распределяя бюджет между обязательными регуляторными требованиями и приоритетными для бизнеса направлениями.

Ключевые инструменты защиты критических активов в фарме

Хорошая ИБ-система состоит из множества параллельно работающих средств и процессов. Можно выделить несколько базовых направлений, которые должны быть в фокусе любой фармкомпании.

Архитектурная изоляция НИОКР-среды. Данные научных разработок и производственные рецептуры — главная коммерческая тайна фармкомпаний. Среда, где они хранятся и обрабатываются, должна быть по возможности изолирована от корпоративной сети и интернета. Оптимальный вариант — отдельный домен и отдельная зона Active Directory наряду со строгими межсетевыми политиками.

Управление доступом и резервное копирование. Для критичных данных необходимо предоставление доступа строго по ролям, а для администраторов обязательна многофакторная аутентификация. Офлайн-бэкапы — еще одно критически важное условие на случай успешной работы шифровальщика. Также не стоит упускать из внимания физические носители информации: их уровень защиты должен быть в фокусе ИТ-департамента.

Облачные сервисы. Сегодня отечественные решения этого класса достаточно зрелы и обладают рядом преимуществ с точки зрения ИБ и соответствия регуляторным требованиям: локализация данных, наличие необходимых сертификатов и соблюдение российского законодательства, а также возможность снизить расходы на собственную инфраструктуру. Однако сам факт размещения в облаке не гарантирует защиту без усиленного управления доступом и мониторинга. При соблюдении этих условий облака вполне применимы для размещения персональных данных, сервисов класса ERP (Enterprise Resource Planning — управление ресурсами предприятия), CRM (Customer Relationship Management — управление взаимоотношениями с клиентами), BI (Business Intelligence — бизнес-аналитика) и аналитических платформ. В то же время для критичных сегментов, таких как НИОКР, требуется более осторожный подход: здесь изоляция и локальный контроль зачастую предпочтительнее.

Управление рисками, связанными с ИИ. Для минимизации утечек через внешние ИИ-сервисы необходим комплекс мер. Он может включать полный или частичный запрет на использование общедоступных нейросетей, DLP-контроль (Data Loss Prevention — предотвращение утечек данных) трафика к ИИ-сервисам, политику классификации данных (что можно передавать ИИ, а что — нет), логирование всех запросов, создание альтернативной защищенной среды — корпоративного ИИ-контура (в том числе в изолированном облаке). Не стоит забывать и о включении соответствующих кейсов в программу непрерывного обучения сотрудников.

Более дорогостоящие решения.  К ним относятся системы предотвращения утечек данных DLP (Data Loss Prevention), средства выявления и реагирования на угрозы EDR/XDR (Endpoint Detection and Response / Extended Detection and Response), платформы сбора и корреляции событий безопасности SIEM (Security Information and Event Management), а также платформы управления инцидентами IRP (Incident Response Platform). Такие решения могут вывести систему ИБ на совершенно иной уровень, но они требуют особой квалификации при эксплуатации и внедрении.

Человеческий фактор: от слабого звена к первой линии защиты

Какими бы совершенными ни были технические средства, человеческий фактор остается одним из ключевых рисков и одновременно — одним из самых эффективных направлений для инвестиций.

Обучение должно быть непрерывным, на реальных примерах, диверсифицированным в зависимости от «группы риска» сотрудника, а в некоторых случаях — индивидуальным. При тестовых фишинговых рассылках критически важна работа с теми, кто ошибся, при этом их публичное наказание недопустимо.

Помимо этого, необходимо создать удобные инструменты для сообщения о подозрительных активностях в ИТ-департамент: сотрудники не должны тратить на это много времени и испытывать дискомфорт.

Наконец, очень важна поддержка со стороны топ-менеджмента — личный пример лидеров может быть решающим для создания правильной культуры ИБ внутри компании.

Как это работает на практике: путь «Алцея» от базовых СЗИ к системной защите

Функция информационной безопасности в «Алцея» очень молодая. До выделения в самостоятельный бизнес мы были российским подразделением Acino, международной фармацевтической компании со штаб-квартирой в Швейцарии, и информационная безопасность находилась в ведении головного офиса.

При построении собственной ИТ-инфраструктуры из-за жестких сроков мы не привлекали внешнюю экспертизу и внедряли только базовые СЗИ. Но затем, по мере роста масштаба угроз и регуляторных требований, обратились к одной из ключевых экспертных организаций на рынке и запустили совместный проект по комплексному аудиту и разработке стратегии развития ИБ. Проект длился около года и позволил нам максимально детально изучить существующие уязвимости и риски для «Алцея», а также применимость к компании различных требований регуляторов. По итогу был сформирован план конкретных инициатив по укреплению ИБ на три года вперед с учетом ограничений по бюджету. В данный момент мы находимся в поиске собственного специалиста по ИБ.

Параллельно мы активно работали с человеческим фактором. Когда провели первую симуляцию фишинговой рассылки, процент сотрудников, перешедших по ссылке и передавших свои учетные данные, оказался выше, чем в среднем по индустрии. На тот момент у нас еще не была запущена система непрерывного обучения, и в качестве срочной меры мы провели серию информационных вебинаров с внешним подрядчиком, постаравшись в доступном и интерактивном формате вовлечь аудиторию в тематику фишинга. Результат превзошел ожидания: при реальной фишинговой атаке пользователь, допустивший ошибку на симуляции, не только не прошел по вредоносной ссылке, но и сообщил об атаке в ИТ-департамент.

Этот случай подтверждает, что инвестиции в обучение и формирование культуры безопасности приносят реальный результат, а системный подход — от комплексного аудита до точечной работы с людьми — позволяет выстраивать защиту даже в условиях ограниченных ресурсов.

РБК Компании

Источник: https://companies.rbc.ru/news/VMmlCOYlPv/informatsionnaya-bezopasnost-v-farme-riski-i-instrumentyi-kiberzaschityi/