Информация о подтверждённых заболевших хранилась в google-таблицах с доступом по ссылке и обсуждалась в открытых телеграм-чатах московских больниц и станций скорой помощи. Именно в чатах посторонние нашли ссылку на таблицу. В ней есть ФИО, даты рождения, адреса, телефоны, даты попадания в список. Baza утверждает, что “у некоторых видны паспортные данные”.
Глава департамента информационных технологий Москвы Эдуард Лысенко отверг взлом информационных систем и
Герман Клименко
в архиве много скриншотов, выписок об отдельных больных, фотографии экранов с данными о больных из компьютерной программы 1С. В отдельных случаях видны данные учетной записи пользователя 1С: простым поиском в «Яндексе» удается установить, где он работает, а на некоторых снимках, сделанных с помощью смартфонов, в свойствах изображения видны координаты места, где он был сделан, и как минимум в двух случаях это тоже больница. Еще один тип информации, который есть в архиве, — это технические документы, например сертификаты безопасности. С помощью некоторых файлов можно узнать место работы врача, номер мобильного и его действия в системе.
“Возможно, эта утечка станет триггером для государства: уже давно назрела необходимость ужесточить ответственность за утечки многих типов конфиденциальной информации”,
На всех уровнях обработки данных, включая федеральные и муниципальные органы, необходимы DLP-системы, способные не только контролировать все возможные каналы, включая электронную почту, внешние накопители, устройства печати и мессенджеры, но и блокировать попытки передачи конфиденциальных данных, а также с помощью специальных модулей анализировать поведение пользователей информационных систем.
Другой опрошенный изданием эксперт считает, что нашедшие себя в таблице граждане могут пойти в суд за возмещением убытков и с очень небольшой вероятностью отсудить там сумму, которая не покроет даже судебные расходы. Кроме того, произошло разглашение врачебной тайны.
Есть смысл ввести специальную норму с минимальным размером компенсации, чтобы одного факта утечки было достаточно для выплаты гражданину суммы, не меньшей, чем прямо указана в законе. Но для этого нужна законодательная инициатива, работа Федерального собрания и подпись главы государства на таком законе.
Способов злоупотребления слитыми данными много, они могут быть использованы для незаконного обогащения за счет как граждан, так и медицинских организаций.
Сценариев мошенничества (социальной инженерии) может быть много: от предложений биологически активных добавок или вакцины до персонифицированных предложений в стиле «вам как переболевшему положена выплата, зайдите на сайт (конечно, фейковый) и оформите выплату».