DOC+: утечка о пациентах и врачах не грозит им самим, Яндекс.Здоровье не пострадало вообще

Телемедицинский сервис DOC+ связал утечку персональных данных, о которой стало широко известно в минувшие выходные, с ошибкой сотрудника. DOC+ выступает одним из медицинских провайдеров в маркетплейсе Яндекс.Здоровье — данные клиентов этого сервиса в отрытый доступ не попали, подчеркнули в PR-службе, в отличие от собственных:

Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.

DOC+ позволяет пациентам получить дистанционную консультацию врача, при необходимости специалиста можно вызвать на дом. С весны 2017 года терапевты и педиатры DOC+ консультируют клиентов, в том числе, через Яндекс.Здоровье.

17 марта канал «Утечки информации» сообщил ^[1] (ориг. ^[2]), что база данных DOC+ на платформе «Яндекса» ClickHouse оказалась свободно доступна: из логов, якобы, можно было узнать техническую информацию о подключения пациентов и врачей. В частности о сотрудниках ООО «Новая Медицина» раскрывались имена, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и другие сведения. В логах содержались токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно было получить их личные данные.

Как объяснил редакции аналитик ГК InfoWatch Андрей Арсентьев: «Российское законодательство пока не предусматривает жёсткой ответственности за допущенные нарушения в части хранения и обработки персональных данных. В случае доказательства вины компании грозит штраф в размере нескольких десятков тысяч рублей».

Представитель DOC+ оценил утечку, как незначительную:

В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.

По факту инцидента ведутся внутренние разбирательства.

Андрей Арсентьев знает, что утечки вышеописанного типа регистрируются в мире всё чаще, а повышения квалификации сисадминов и менеджеров баз данных может не хватить для создания адекватной защиты — необходимы регулярные ревизии информационных активов с использованием аналитических инструментов класса Data Discovery и применение защитных DLP-систем (от англ. Data Leak Prevention).

Формально ООО «Новая Медицина» (DOC+) является оператором персональных данных, в связи с чем, по её утверждению, принимает все требуемые законодательством меры защиты ПД. Внедрены средства защиты, прошедшие сертификацию со стороны ФСБ и ФСТЭК, выстроены внутренние процессы управления и контроля.

Baring Vostok и «Яндекс» инвестировали в DOC+ в 2017-м ^[3] и 2016-м ^[4] годах, суммарно на $10,5 млн, летом 2018 очередной инвестраунд был уже на $9 млн — в числе инвесторов снова оказались Baring Vostok, «Яндекс» и шведский фонд Vostok New Ventures.