Информация о подтверждённых заболевших хранилась в google-таблицах с доступом по ссылке и обсуждалась в открытых телеграм-чатах московских больниц и станций скорой помощи. Именно в чатах посторонние нашли ссылку на таблицу. В ней есть ФИО, даты рождения, адреса, телефоны, даты попадания в список. Baza утверждает, что “у некоторых видны паспортные данные”. и “данные о серверах 1С, и ключи для подключения к системе учета коронавирусных больных”. Сравнение количества записей о заболевших с официальной статистикой позволило о занижении объявляемых цифр в полтора раза.
Глава департамента информационных технологий Москвы Эдуард Лысенко отверг взлом информационных систем и человеческий фактор: “сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам”.
Герман Клименко , что “мы стали жертвой централизации, если бы каждая поликлиника хранила свои данные отдельно, проблем было бы меньше”. Впрочем, опрошенный “Вестями” специалист по информационной безопасности , что “по характеру данных, они были собраны из разных источников, это означает, что их собирали какое-то время целенаправленно”, с ним его коллега, высказавшийся в “Форбсе”.
в архиве много скриншотов, выписок об отдельных больных, фотографии экранов с данными о больных из компьютерной программы 1С. В отдельных случаях видны данные учетной записи пользователя 1С: простым поиском в «Яндексе» удается установить, где он работает, а на некоторых снимках, сделанных с помощью смартфонов, в свойствах изображения видны координаты места, где он был сделан, и как минимум в двух случаях это тоже больница. Еще один тип информации, который есть в архиве, — это технические документы, например сертификаты безопасности. С помощью некоторых файлов можно узнать место работы врача, номер мобильного и его действия в системе.
“Возможно, эта утечка станет триггером для государства: уже давно назрела необходимость ужесточить ответственность за утечки многих типов конфиденциальной информации”, ComNews эксперт из InfoWatch. Госучреждениям и больницам необходимы решения по контролю доступа к персональным данным пациентов, а также разграничение прав доступа для разных категорий сотрудников.
На всех уровнях обработки данных, включая федеральные и муниципальные органы, необходимы DLP-системы, способные не только контролировать все возможные каналы, включая электронную почту, внешние накопители, устройства печати и мессенджеры, но и блокировать попытки передачи конфиденциальных данных, а также с помощью специальных модулей анализировать поведение пользователей информационных систем.
Другой опрошенный изданием эксперт считает, что нашедшие себя в таблице граждане могут пойти в суд за возмещением убытков и с очень небольшой вероятностью отсудить там сумму, которая не покроет даже судебные расходы. Кроме того, произошло разглашение врачебной тайны.
Есть смысл ввести специальную норму с минимальным размером компенсации, чтобы одного факта утечки было достаточно для выплаты гражданину суммы, не меньшей, чем прямо указана в законе. Но для этого нужна законодательная инициатива, работа Федерального собрания и подпись главы государства на таком законе.
Способов злоупотребления слитыми данными много, они могут быть использованы для незаконного обогащения за счет как граждан, так и медицинских организаций.
Сценариев мошенничества (социальной инженерии) может быть много: от предложений биологически активных добавок или вакцины до персонифицированных предложений в стиле «вам как переболевшему положена выплата, зайдите на сайт (конечно, фейковый) и оформите выплату».
| |