Атака сбоем: аптеки из-за хакеров могли лишиться сотен миллионов рублей
Всего за один день сбоя в системах сети аптек «Столички» и «Неофарм» могли потерять десятки или даже сотни миллионов рублей упущенной выручки, сообщили «Известиям» эксперты фармацевтического рынка. Причиной сбоя послужили хакерские атаки, заявили в сети «Столички». Впрочем, Роскомнадзор признаков DDoS-атаки не обнаружил. 29 июля масштабной хакерской атаке подверглись и некоторые медицинские учреждения, а также сети популярных фитнес-клубов. О сбоях заявили и пользователи «Почты России», но в компании отметили, что работают в штатном режиме. Что произошло с этими учреждениями и какие могут быть для них последствия — в материале «Известий».
Что случилось с аптеками
Большинство аптек сетей «Столички» и «Неофарм» приостановили работу 29 июля, а некоторые даже 28-го. На дверях появились сообщения: «Аптека не работает по техническим причинам». Не работали кассы и системы учета, сотрудники аптечных пунктов были отправлены в отгул.
«Мы столкнулись с серьезным техническим сбоем вследствие хакерской атаки, в результате чего была нарушена работа аптек, — сообщили в Telegram-канале аптек «Столички». — Команда наших специалистов работает над восстановлением сервисов. Приносим извинения за доставленные неудобства».
Группа компаний «Неофарм» насчитывает около 1,6 тыс. аптек в 80 городах Центрального и Северо-Западного федеральных округов. На сайте говорится, что большинство точек расположены в Москве и Московской области, Санкт-Петербурге, Туле, Костроме и Владимире.
На ресурсах обеих компаний днем 29 июля были опубликованы идентичные объявления о том, что бронирование препаратов недоступно, как и просмотр данных по программе лояльности. Там также пообещали, что все недоступные функции будут восстановлены в ближайшее время.
Как следует из данных сайта Downdetector, проблемы с аптеками «Столички» начались еще в понедельник 28 июля. Пользователи сайта один за другим стали жаловаться на сбои в работе, высокий уровень зафиксирован 29 июля с 13:00 до 15:00. Самые частые комментарии: «Почему не работают аптеки «Столички?», «Невозможно оформить заказ», «Не работает онлайн-бронирование». А за неполные сутки набралось почти шесть сотен жалоб. Пользователи высказывали предположения, что на аптеки совершена хакерская атака.
Жалоб на работу сети «Неофарм» Downdetector не зафиксировал.
Проблемы с цифровой безопасностью аптек начались в тот же день, когда хакерской атаке подверглась авиакомпания «Аэрофлот» — в понедельник, 28 июля. Тогда из-за технического сбоя на сервере компании были перенесены или полностью отменены более 150 рейсов в десятках городов.
В Роскомнадзоре «Известиям» сообщили, что Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) зафиксировал сбой в работе сетей аптек «Столички», «Неофарм», а также клиники «Семейный доктор».
«Признаки DDoS-атаки не обнаружены, причины произошедшего выясняются», — заявили в ведомстве.
ГК «Неофарм» направила уведомление об этом инциденте в Роскомнадзор.
«Проводим анализ полученных данных во взаимодействии с компанией», — сказали «Известиям» в пресс-службе ведомства. Другие организации пока о подобных ситуациях его не информировали.
«Почта», фитнес и «Семейный доктор»
Сбой коснулся не только аптек, но и некоторых медицинских учреждений. Так, 29 июля о хакерской атаке сообщила московская сеть клиник «Семейный доктор» (ООО «Медицинская клиника «Семейный доктор», «Медицина АльфаСтрахования»). Там по техническим причинам временно перестали работать личный кабинет пациента и сервис онлайн-записи. Врачи вели прием в порядке живой очереди.
«На текущий момент атака нейтрализована, утечка данных не подтверждена, — заявили в в компании. — Клиника «Семейный доктор» продолжает вести прием пациентов. Критически важные сервисы постепенно возвращаются в штатный режим работы».
Некоторые пользователи ошибочно отнесли это сообщение к другой организации с аналогичным названием — АО «Семейный доктор», но там попросили их не путать с другими компаниями.
«Уважаемые пациенты! АО «Семейный доктор» работает в штатном режиме. Информация о хакерской атаке, распространяемая в ряде СМИ, не имеет отношения к нам. Данные пациентов находятся в безопасности», — сообщили на сайте организации.
Около 17:00 на проблемы с сайтом и мобильным приложением начали жаловаться и пользователи «Почты России». Согласно сайту Downdetector, за сутки поступило более 500 жалоб, география сбоя охватила Москву и Московскую, Тверскую, Калининградскую, Самарскую области, а также Карелию и Санкт-Петербург.
«Отставить панику — все ресурсы «Почты» функционируют штатно! Сайт, мобильное приложение — всё надежно, безопасно, под контролем», — сообщила «Почта России» в своем Telegram-канале.
Позднее пользователи тоже стали сообщать о том, что сайт госкомпании хоть и медленно, но начал открываться.
Вечером того же дня массовый сбой был зафиксирован в системах двух фитнес-сетей — A-fitness и Alex-fitness в Санкт-Петербурге, сообщил источник «Известий». Перестало работать мобильное приложение, у посетителей возникли проблемы с посещением клубов из-за невозможности верификации.
Какие последствия могут быть для аптек
Экономические и репутационные потери, которые понесут аптечные сети «Столички» и «Неофарм» из-за хакерских атак, скорее всего, будут минимальными, считает директор аналитической компании DSM Group Сергей Шуляк.
— Сейчас на рынке не сезон продаж лекарств, поэтому потери не будут слишком большими, — пояснил он. — Также мы рассчитываем, что в компаниях такого уровня достаточно сильная инфраструктура, которая позволит быстро восстановиться. Для репутации не будет последствий, потому что у потребителей возникает определенная привязанность к аптечным сетям и хакерские атаки на нее не повлияют.
Во время хакерской атаки службы безопасности аптек обычно блокируют все шлюзы серверов и входы в сеть, которые обычно используются для совершения интернет-заказов, продажи лекарств, обмена внутренней сети с внешними источниками, рассказал Сергей Шуляк. Именно поэтому аптекам и их сайтам пришлось приостановить работу. На устранение последствий такой атаки может уйти от одного до двух дней, полагает специалист.
— Я думаю, что система безопасности сети аптек группы компаний «Неофарм» находится на высоком уровне, — сказал эксперт. — Даже если какие-то сервера были перешифрованы, всё будет восстановлено за достаточно короткий промежуток времени.
По словам Сергея Шуляка, с похожими хакерскими угрозами сталкивались и другие сети аптек, а два месяца назад произошла мощная DDoS-атака на компанию DSM Group, занимающуюся аналитикой российского фармацевтического рынка, директором которой он является.
— Недругов много, многие компании периодически сталкиваются с DDoS-атаками, попытками прорвать защиту, — сказал специалист. — Так как компания «Неофарм» — розничная, то это заметно сразу многим. Когда атакуют непубличные компании, это не так заметно.
Директор по развитию аналитической компании RNC Pharma Николай Беспалов напомнил, что по состоянию на 1 апреля 2025 года, у «Неофарм» работают 1623 точки продаж.
— А их доля на рынке в целом по лекарственным препаратам составляет около 5%, — сказал он. — Масштаб экономических потерь пока оценить сложно, потому что пострадала не вся инфраструктура сети. Но потери могут быть очень чувствительные.
По его словам, ежедневная выручка «Неофарм» составляла в среднем 305 млн рублей, соответственно, это максимальная сумма потерь за один день.
— Но реальный объем потерь, скорее всего, кратно меньше за счет того, что не вся сеть прекратила работу, — добавил эксперт.
В любом случае потери «Неофарм» могут исчисляться сотнями миллионов рублей, отметил эксперт. При этом, по его словам, сеть вряд ли ждут какие-то серьезные последствия для репутации.
— У нас очень многие участники рынка из разных отраслей сталкиваются с такими атаками, — подчеркнул он. — В профессиональной среде все понимают, что это экстраординарное событие. Думаю, потребители тоже отнесутся с пониманием к этой проблеме.
Проверка на прочность
Атаки, подобные той, что испытали сети аптек «Столички» и «Неофарм», происходят практически ежедневно и такая интенсивность наблюдается уже более трех лет, рассказал «Известиям» генеральный директор «Инфэра Секьюрити», амбассадор бизнес-клуба «Кибердома» Игорь Бирюков.
— Нарушение работы информационных систем зачастую делается хакерскими группами для создания инфоповодов, которые мы и наблюдаем, — сказал эксперт. — Владельцы несут затраты на восстановление работоспособности и репутации, но не выплаты хакерам за выкуп данных. Исходя из этого, могу предположить, что это хактивисты, управляемые специальными службами недружественных стран.
Сегодняшние одновременные атаки на разные сети аптек и одновременное опубликование этих фактов наводит на мысль, что в этих и других инфраструктурах могли быть давно внедрены хакеры, нарушив их работоспособность, заключил Игорь Бирюков.
Аптеки и клиники — привлекательная цель для хакеров, отметил генеральный директор Start X, резидент бизнес-клуба «Кибердом» Сергей Волдохин.
— Там много чувствительных данных и серьезные последствия взлома: финансовые потери, утечка данных пациентов и нарушение доступа к лекарствам, — сказал он.
Атаки на компании, работающие напрямую с людьми, чаще всего преследуют две цели: нанести серьезный финансовый ущерб и создать громкий медийный резонанс, добавил технический директор IT TASK Антон Антропов.
— В B2C-сегменте такие инциденты особенно болезненны, перебои в работе сервисов сразу заметны пользователям и быстро становятся достоянием общественности, усиливая эффект атаки, — сказал эксперт. — Обычно злоумышленники начинают с незаметного проникновения в инфраструктуру и закрепления в ней. Затем они изучают внутренние системы и выстраивают план действий.
Если злоумышленникам удается долго оставаться незамеченными, атака проводится в тот момент, когда это будет наиболее болезненно для бизнеса, пояснил Антон Антропов. Даже один день простоя для крупной компании оборачивается ощутимыми потерями.
Для подобной атаки достаточно одного неприметного пробела в защите. И это касается не только отдельных отраслей — на прочность проверяют сейчас всех, отметил эксперт.
