Перейти к основному содержанию
Реклама
Прямой эфир
Общество
Глава Якутска подал заявление о досрочной отставке
Мир
В СБ России заявили о развязывании НАТО более 30 военных конфликтов за 25 лет
Мир
В Запорожье демонтировали памятник российскому композитору Михаилу Глинке
Происшествия
В Пермском крае три вагона грузового состава сошли с рельсов
Мир
Госдеп США одобрил возможную продажу Саудовской Аравии вооружения почти на $2 млрд
Мир
Зеленский во время пресс-конференции в Киеве сорвался на русский язык
Мир
Число жертв землетрясений в Венесуэле увеличилось до 4829 человек
Общество
Синоптики спрогнозировали дождь и до +22 градусов в Москве 16 июля
Общество
Прощание с экс-директором БТК Александром Калининым пройдет 19 июля
Мир
Вэнс назвал операцию против Ирана полезной в случае отказа Тегерана от ЯО
Мир
Два человека пострадали при стрельбе в магазине в Техасе
Спорт
Сборная Аргентины обыграла команду Англии и вышла в финал ЧМ по футболу
Авто
За полгода спрос на новые кроссоверы и внедорожники вырос на 24%
Мир
На ЗАЭС назвали убийство Яковлева посягательством на ядерную безопасность
Мир
CENTCOM сообщило о начале новой серии ударов по Ирану
Армия
В ВС РФ весной направили 141 тыс. призывников
Мир
Федоров подтвердил уход с поста министра обороны Украины
Армия
Силы ПВО за день сбили 155 украинских беспилотников над территорией РФ

Болезнь системы

Специалист по информационной безопасности Алексей Парфентьев — о том, какие выводы стоит сделать после утечки информации о пациентах в Москве
0
Озвучить текст
Выделить главное
Вкл
Выкл

Недавно общественность потрясла новость: утекли данные обо всех заболевших коронавирусом в Москве. Но лично я, посмотрев внимательнее на архив, который был выложен в общий доступ, поразился еще сильнее. Это утечка не только списка заболевших, а целая «сборная солянка» из самых разных данных: эксель-таблиц, экспортированных из баз данных, скриншотов и фото экранов, записок, технических документов — всего 2493 файла. Это документы, датированные в основном мартом–маем 2020-го, но встречаются и более поздние «вкрапления» данных.

Получается, это — не одна утечка, а сборник многих. Кто и зачем обобщил эту информацию, киберисследователи еще будут разбираться. Но мы уже видим «картину маслом»: утекает любая информация, откуда угодно и в любом виде.

Поясню с примерами. Главный документ, на который сослались все СМИ, — сводный отчет о заболевших. Это эксель-таблица, разные части которой заполняют разные медицинские организации. Поэтому о заболевшем там есть исчерпывающая информация: ФИО, телефон, даты и результаты анализов, номер полиса ОМС, факт пребывания в другой стране и пр.

Есть в утекшем архиве скриншоты с экранов компьютеров и телефонов врачей, которые для каких-то, наверняка благих, целей пересылали данные о пациентах и медстатистике.

Но самое опасное — в архиве есть технические документы: сертификаты безопасности, инструкция по настройке тонкого клиента, сам файл тонкого клиента, а также файл с логом сервера, связанного с системой учета заболевших КПИ.COVID.Регистр.АПЦ. Не вдаваясь с технические подробности, скажу, что этой информации для «знающих людей» может быть достаточно, чтобы планировать целевую атаку.

Все эти данные утекли не из-за взлома, а в результате инсайдерского слива. И это не предположение экспертов, а официальная информация от департамента информатизации Москвы. Причина в том, что «сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам». Никаких взломов или другого несанкционированного вмешательства в работу информационных систем не было.

Вся эта россыпь утекших файлов иллюстрирует три проблемы с защитой наших данных в системе здравоохранения:

  1. Нет сложившейся культуры защиты врачебной тайны. Медицинские данные — это особый вид информации, требования по защите которой прописаны в законе. Но осознания этой «особости» нет, раз ни врачей, ни других медработников не смущает пересылка фотокарточек пациентов по WhatsApp.
  2. Законы не мотивируют к защите данных. Нарушение ФЗ-152 предполагает очень скромный штраф, и даже тот применяется редко. Для заведения дела о нарушении врачебной тайны и неприкосновенности частной жизни потерпевший должен обратиться с иском в суд. Но такая практика в России еще тоже не развита. Многие даже не догадываются, что стали жертвой утечки и что это может быть опасно.
  3. В медицинских учреждениях не хватает оснащения программами и людей, чтобы профессионально заниматься защитой информации. Что касается первой проблемы, свое дело должно сделать время.

Общественная дискуссия идет, COVID-19 ее подогревает, и СМИ всё больше внимания уделяют опасным инфоповодам. Но сознательность может созревать годами. Можем ли мы ждать и терпеть, что все это время данные будут утекать?! Без дополнительного регулирования здесь не обойтись. Тут тоже есть позитивные подвижки. Например, по нарушению упомянутого мною закона о защите персональных данных (ФЗ-152) предполагается в разы увеличить штрафы — такой законопроект в сентябре внесли в Госдуму.

Но все-таки подстегивает систему здравоохранения заниматься сохранностью данных другой закон — 187-ФЗ. Он описывает требования к защите объектов критической инфраструктуры (большинство учреждений здравоохранения относятся к этой категории). В частности, что обо всех киберинцидентах нужно уведомлять ФСБ через специально созданный для этих задач проект ГосСОПКА. В том числе необходимо сообщать и о несанкционированном разглашении и изменении информации. Сюда же относятся утечки информации по вине сотрудников, с которых мы и начали разговор.

То есть требование о защите от внутренних угроз есть, но закон не обязывает использовать специализированные программы (DLP) для для этого. Как можно исправить ситуацию с утечками из медучреждений и других субъектов критической инфраструктуры? Внести требование об использовании DLP-систем в подзаконные акты к 187-ФЗ, в документы Национального координационного центра по компьютерным инцидентам, в регламенты центров ГосСОПКА. Таким образом на всех уровнях будет прописано, как с технической точки зрения должна быть обеспечена защита данных от внутренних инцидентов информационной безопасности. А значит, организации КИИ из области науки, связи, энергетики, финансов, оборонной, металлургии, здравоохранения и других сфер будут надежнее защищены от рисков утечек.

Дискуссия и проработка законов, а также общественных практик должны продолжаться и учитывать реальность, а не иллюзорные представления о безопасности.

Автор руководитель отдела аналитики «СёрчИнформ», руководитель комитета по информационной безопасности РУССОФТ

Позиция редакции может не совпадать с мнением автора

Читайте также
Прямой эфир