«Ситуация критическая»: чем грозит крупнейшая утечка данных заболевших коронавирусом

Фото Дмитрия Рогулина / ТАСС
Фото Дмитрия Рогулина / ТАСС
Персональные данные 300 000 москвичей, переболевших COVID-19, попали в открытый доступ. Масштабная утечка произошла из-за человеческого фактора, сообщили власти Москвы. Чем грозит этот инцидент пациентам?

В среду, 9 декабря, данные 300 000 человек, заболевших коронавирусом, попали в открытый доступ. Первым об этом сообщил новостной портал Readovka. Утечка данных произошла из-за человеческого фактора, заявил глава Департамента информационных технологий Москвы Эдуард Лысенко: «Сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам». Взломов и какого-либо другого несанкционированного вмешательства в работу информационных систем правительства Москвы не было, добавил он. «Проверка продолжается, по ее результатам будут приняты меры», — пообещал Лысенко.

«Большинство сотрудников не задумываются о том, что их мессенджеры контролируют»: как в России сливают конфиденциальную информацию и что за это бывает

Что утекло?

Самая заметная часть архива — это сводная база пациентов, у которых выявлен коронавирус, говорит начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд, который изучил базу. По его словам, данные пациентов собраны в марте — мае 2020 года, а сам документ похож на отчет, который составляют для предоставления в вышестоящие инстанции.

Среди заполненных строк есть персональные данные пациентов (фамилии, имена, отчества и мобильные телефоны), в том числе детей и граждан других стран. Кроме того, в архиве много скриншотов, выписок об отдельных больных, фотографии экранов с данными о больных из компьютерной программы 1С. В отдельных случаях видны данные учетной записи пользователя 1С, говорит Дрозд: простым поиском в «Яндексе» удается установить, где он работает, а на некоторых снимках, сделанных с помощью смартфонов, в свойствах изображения видны координаты места, где он был сделан, и как минимум в двух случаях это тоже больница.

Данные более 20 млн пользователей VPN-сервисов утекли в сеть

Еще один тип информации, который есть в архиве, — это технические документы, например сертификаты безопасности. С помощью некоторых файлов можно узнать место работы врача, номер мобильного и его действия в системе, рассказывает Дрозд.

«Общий объем попавшей в открытый доступ информации приближается к гигабайту», — говорит представитель компании Infosecurity Александр Дворянский. По его словам, база актуальна на апрель — июнь 2020 года.

Какая грозит ответственность?

«Так как часть разделов пуста, это может быть косвенной подсказкой, откуда утек документ. Кроме того, в служебной информации некоторых файлов есть информация и об авторе документа (его Ф. И. О), то есть данные человека, который работал с документом последним», — говорит Дрозд.

К ответственности могут быть привлечены в той или иной степени все люди, прямо или косвенно виновные в произошедшей утечке, уверен руководитель дирекции юридической фирмы VEGAS LEX Кирилл Никитин. Речь идет и об операторах данных, то есть медицинском персонале, не обеспечившем их надежную сохранность, а также о тех людях, которые непосредственно распространяли такую информацию.

Данные миллиона водителей Москвы и Подмосковья выставили на продажу

При этом, напоминает юрист, публикация сведений о фактах заболевания COVID-19 того или иного человека, а также информации о течении болезни является не только нарушением законодательства о персональных данных, но и одновременно нарушает неприкосновенность частной жизни и врачебной тайны. При таких обстоятельствах виновных можно привлечь не только к гражданско-правовой и дисциплинарной, но и к административной и даже уголовной ответственности.

Пациенты, данные которых утекли в сеть, имеют все основания обратиться в суд с иском к больнице о взыскании компенсации морального вреда, уверена адвокат самарского филиала юридической группы «Яковлев и Партнеры» Евгения Рыжкова.

Чем опасна утечка?

Информация из базы может быть использована по-разному, констатирует Дрозд. Для мошенников в ней есть данные о заболевшем, о том, к какому лечебному учреждению он прикреплен, даты и результаты тестов, мобильный телефон и прочее. Если злоумышленники решат звонить жертве, чтобы поговорить о компенсации затрат на лекарства или по любому другому поводу, у них будет достаточно информации, чтобы войти в доверие. Сценариев мошенничества (социальной инженерии) может быть много: от предложений биологически активных добавок или вакцины до персонифицированных предложений в стиле «вам как переболевшему положена выплата, зайдите на сайт (конечно, фейковый) и оформите выплату», подтверждает руководитель аналитического департамента Infosecurity (ГК Softline) Дарья Кошкина. Для пользователей ситуация критическая — это максимально полные персональные данные, резюмирует она. 

Кроме того, информацию можно использовать для обогащения уже существующих баз персональных данных, которые находятся в распоряжении у мошенников, добавляет Дрозд. Также с помощью этих данных мошенники могут атаковать отдельные медицинские учреждения, отметил эксперт.