Недавно общественность потрясла новость: утекли данные обо всех заболевших коронавирусом в Москве. Но лично я, посмотрев внимательнее на архив, который был выложен в общий доступ, поразился еще сильнее. Это утечка не только списка заболевших, а целая «сборная солянка» из самых разных данных: эксель-таблиц, экспортированных из баз данных, скриншотов и фото экранов, записок, технических документов — всего 2493 файла. Это документы, датированные в основном мартом–маем 2020-го, но встречаются и более поздние «вкрапления» данных.
Получается, это — не одна утечка, а сборник многих. Кто и зачем обобщил эту информацию, киберисследователи еще будут разбираться. Но мы уже видим «картину маслом»: утекает любая информация, откуда угодно и в любом виде.
Поясню с примерами. Главный документ, на который сослались все СМИ, — сводный отчет о заболевших. Это эксель-таблица, разные части которой заполняют разные медицинские организации. Поэтому о заболевшем там есть исчерпывающая информация: ФИО, телефон, даты и результаты анализов, номер полиса ОМС, факт пребывания в другой стране и пр.
Есть в утекшем архиве скриншоты с экранов компьютеров и телефонов врачей, которые для каких-то, наверняка благих, целей пересылали данные о пациентах и медстатистике.
Но самое опасное — в архиве есть технические документы: сертификаты безопасности, инструкция по настройке тонкого клиента, сам файл тонкого клиента, а также файл с логом сервера, связанного с системой учета заболевших КПИ.COVID.Регистр.АПЦ. Не вдаваясь с технические подробности, скажу, что этой информации для «знающих людей» может быть достаточно, чтобы планировать целевую атаку.
Все эти данные утекли не из-за взлома, а в результате инсайдерского слива. И это не предположение экспертов, а официальная информация от департамента информатизации Москвы. Причина в том, что «сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам». Никаких взломов или другого несанкционированного вмешательства в работу информационных систем не было.
Вся эта россыпь утекших файлов иллюстрирует три проблемы с защитой наших данных в системе здравоохранения:
- Нет сложившейся культуры защиты врачебной тайны. Медицинские данные — это особый вид информации, требования по защите которой прописаны в законе. Но осознания этой «особости» нет, раз ни врачей, ни других медработников не смущает пересылка фотокарточек пациентов по WhatsApp.
- Законы не мотивируют к защите данных. Нарушение ФЗ-152 предполагает очень скромный штраф, и даже тот применяется редко. Для заведения дела о нарушении врачебной тайны и неприкосновенности частной жизни потерпевший должен обратиться с иском в суд. Но такая практика в России еще тоже не развита. Многие даже не догадываются, что стали жертвой утечки и что это может быть опасно.
- В медицинских учреждениях не хватает оснащения программами и людей, чтобы профессионально заниматься защитой информации. Что касается первой проблемы, свое дело должно сделать время.
Общественная дискуссия идет, COVID-19 ее подогревает, и СМИ всё больше внимания уделяют опасным инфоповодам. Но сознательность может созревать годами. Можем ли мы ждать и терпеть, что все это время данные будут утекать?! Без дополнительного регулирования здесь не обойтись. Тут тоже есть позитивные подвижки. Например, по нарушению упомянутого мною закона о защите персональных данных (ФЗ-152) предполагается в разы увеличить штрафы — такой законопроект в сентябре внесли в Госдуму.
Но все-таки подстегивает систему здравоохранения заниматься сохранностью данных другой закон — 187-ФЗ. Он описывает требования к защите объектов критической инфраструктуры (большинство учреждений здравоохранения относятся к этой категории). В частности, что обо всех киберинцидентах нужно уведомлять ФСБ через специально созданный для этих задач проект ГосСОПКА. В том числе необходимо сообщать и о несанкционированном разглашении и изменении информации. Сюда же относятся утечки информации по вине сотрудников, с которых мы и начали разговор.
То есть требование о защите от внутренних угроз есть, но закон не обязывает использовать специализированные программы (DLP) для для этого. Как можно исправить ситуацию с утечками из медучреждений и других субъектов критической инфраструктуры? Внести требование об использовании DLP-систем в подзаконные акты к 187-ФЗ, в документы Национального координационного центра по компьютерным инцидентам, в регламенты центров ГосСОПКА. Таким образом на всех уровнях будет прописано, как с технической точки зрения должна быть обеспечена защита данных от внутренних инцидентов информационной безопасности. А значит, организации КИИ из области науки, связи, энергетики, финансов, оборонной, металлургии, здравоохранения и других сфер будут надежнее защищены от рисков утечек.
Дискуссия и проработка законов, а также общественных практик должны продолжаться и учитывать реальность, а не иллюзорные представления о безопасности.
Автор — руководитель отдела аналитики «СёрчИнформ», руководитель комитета по информационной безопасности РУССОФТ
Позиция редакции может не совпадать с мнением автора
