Московские власти слили в интернет личные данные 350 тысяч болевших COVID, нарушили медицинскую тайну и скомпрометировали официальную статистику

Информация о подтверждённых заболевших хранилась в google-таблицах с доступом по ссылке и обсуждалась в открытых телеграм-чатах московских больниц и станций скорой помощи. Именно в чатах посторонние нашли ссылку на таблицу. В ней есть ФИО, даты рождения, адреса, телефоны, даты попадания в список. Baza утверждает, что «у некоторых видны паспортные данные». Обнаружились ^[1] и «данные о серверах 1С, и ключи для подключения к системе учета коронавирусных больных». Сравнение количества записей о заболевших с официальной статистикой позволило сделать предположения ^[2] о занижении объявляемых цифр в полтора раза.

Глава департамента информационных технологий Москвы Эдуард Лысенко отверг взлом информационных систем и обвинил ^[3] человеческий фактор: «сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам».

Герман Клименко считает ^[4], что «мы стали жертвой централизации, если бы каждая поликлиника хранила свои данные отдельно, проблем было бы меньше». Впрочем, опрошенный «Вестями» специалист по информационной безопасности увидел ^[5], что «по характеру данных, они были собраны из разных источников, это означает, что их собирали какое-то время целенаправленно», с ним согласен ^[6] его коллега, высказавшийся в «Форбсе».

в архиве много скриншотов, выписок об отдельных больных, фотографии экранов с данными о больных из компьютерной программы 1С. В отдельных случаях видны данные учетной записи пользователя 1С: простым поиском в «Яндексе» удается установить, где он работает, а на некоторых снимках, сделанных с помощью смартфонов, в свойствах изображения видны координаты места, где он был сделан, и как минимум в двух случаях это тоже больница. Еще один тип информации, который есть в архиве, — это технические документы, например сертификаты безопасности. С помощью некоторых файлов можно узнать место работы врача, номер мобильного и его действия в системе.

«Возможно, эта утечка станет триггером для государства: уже давно назрела необходимость ужесточить ответственность за утечки многих типов конфиденциальной информации», сказал ^[7] ComNews эксперт из InfoWatch. Госучреждениям и больницам необходимы решения по контролю доступа к персональным данным пациентов, а также разграничение прав доступа для разных категорий сотрудников.

На всех уровнях обработки данных, включая федеральные и муниципальные органы, необходимы DLP-системы, способные не только контролировать все возможные каналы, включая электронную почту, внешние накопители, устройства печати и мессенджеры, но и блокировать попытки передачи конфиденциальных данных, а также с помощью специальных модулей анализировать поведение пользователей информационных систем.

Другой опрошенный изданием эксперт считает, что нашедшие себя в таблице граждане могут пойти в суд за возмещением убытков и с очень небольшой вероятностью отсудить там сумму, которая не покроет даже судебные расходы. Кроме того, произошло разглашение врачебной тайны.

Есть смысл ввести специальную норму с минимальным размером компенсации, чтобы одного факта утечки было достаточно для выплаты гражданину суммы, не меньшей, чем прямо указана в законе. Но для этого нужна законодательная инициатива, работа Федерального собрания и подпись главы государства на таком законе.

Способов злоупотребления слитыми данными много, они могут быть использованы для незаконного обогащения за счет как граждан, так и медицинских организаций.

Сценариев мошенничества (социальной инженерии) может быть много: от предложений биологически активных добавок или вакцины до персонифицированных предложений в стиле «вам как переболевшему положена выплата, зайдите на сайт (конечно, фейковый) и оформите выплату».