Кто нас знает: треть утечек данных пациентов с COVID-19 пришлась на Россию

Все инциденты произошли по вине сотрудников медицинских и других организаций, имевших доступ к спискам зараженных
Анастасия Гаврилюк
Фото: ИЗВЕСТИЯ/Павел Бедняков

Более трети всех случаев утечек персональных данных, связанных с коронавирусом, произошло в России. За I полугодие 2020 года было зафиксировано 72 инцидента, из них 25 — в РФ, посчитали в InfoWatch, с исследованием ознакомились «Известия». Публикация данных пациентов с COVID-19 часто влекла за собой агрессию со стороны общества по отношению к заболевшим, отмечают аналитики. Если в мире часть утечек — последствия хакерских атак, то в нашей стране все случаи произошли по вине сотрудников больниц или других организаций, имевших доступ к спискам зараженных. Сегодня в России медицинские данные защищены слабее, чем, к примеру, банковские, отмечают эксперты.

Прошлись по списку

Более трети всех случаев утечек персональных данных, связанных с коронавирусом (пациентов с COVID-19, а также людей с подозрением на вирус, их контактных лиц, нарушителей карантина и т.д.) произошло в России. За I полугодие 2020 года было зафиксировано 72 утечки, 25 случаев из них — в РФ, указано в отчете компании InfoWatch.

Правда, если судить по объему скомпрометированных персональных данных, ситуация в нашей стране не так уж плоха — если в мире в результате всех случаев пострадали 3,43 млн человек, то в России — всего 35,5 тыс.

Фото: Global Look Press/Sebastian Gollnow/dpa

За последние полгода в мире произошло несколько крупных утечек, сильно повлиявших на общую картину, пояснил руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. Один из наиболее масштабных инцидентов — компрометация данных более 1 млн американских медиков. Кроме того, хакеры получили доступ к личным данным больных коронавирусом Катара — через уязвимость в приложении, которое граждане устанавливали по требованию правительства. В мае в руки гражданских журналистов из некоммерческой организации 100Reporters попали документы, проливающие свет на то, как Китай собирал данные о распространении коронавирусной инфекции среди своего населения. В файлах было представлено около 640 тыс. «обновлений», то есть строк, где отображены выявленные случаи заражения COVID-19. Каждая строка содержит информацию о географических координатах и числе заболевших в локации. Данные охватывают трехмесячный период — с начала февраля до конца апреля.

Но подавляющее большинство утечек — это случаи компрометации данных отдельных лиц или слив списков из нескольких десятков или сотен человек, добавил Андрей Арсентьев.

В отличие от привычных уже утечек, публикация информации о пациентах с COVID-19 часто влекла за собой агрессию общества, включая людей из ближнего круга, отметили в InfoWatch.

Все утечки, которые были зафиксированы в России, произошли по вине тех, кто имел доступ к информационным ресурсам в пределах периметров организаций (сотрудники больниц, аэропортов и т.д.). В целом по миру таких утечек — три четверти. Еще 25% произошло в результате хакерских атак.

Фото: Global Look Press/Sebastian Gollnow/dpa

В 64% случаев во всем мире персональные данные, относящиеся к пандемии COVID-19, были скомпрометированы в виде списков, например, отдельных документов сводок, фрагментов записей. Нарушители фотографировали перечни пациентов, набирали увиденную или услышанную информацию на своих устройствах, после чего в большинстве случаев распространяли ее через мессенджеры или группы в социальных сетях, пояснили в InfoWatch. Часть утечек произошла, когда менеджеры организаций случайно отправили данные по неправильным адресам электронной почты. В России же 96% случаев — это утечки списков, и только 4% — баз. Во всех инцидентах списки утекли в результате умышленных нарушений, добавили в компании.

Например, в начале апреля в WhatsApp распространили персональные данные жителей подмосковного города Луховицы, заразившихся коронавирусной инфекцией. Были перечислены полные имена, даты рождения, домашние адреса, а также мобильные и домашние телефоны больных, данные о госпитализации. А в конце апреля утечка персональных данных заболевших, а также сдавших тесты на COVID-19, произошла в Якутии. Ее подтвердили в правительстве республики. В мае в одном из телеграм-каналов появились сканы списков заразившихся COVID-19 среди сотрудников петербургского НИИ скорой помощи имени И.И. Джанелидзе — всего 243 фамилии.

В оперштабе по коронавирусу отказались от комментариев, в Роскомнадзоре на момент публикации не ответили на запрос «Известий».

С начала 2020 года утечек персональных данных из информационных систем московского правительства не происходило, утверждают в пресс-службе столичного департамента информационных технологий. ИС правительства Москвы защищены и имеют аттестат соответствия требованиям по безопасности информации, заверили в ДИТ.

Безответственное хранение

Ответственность за утечки персональных данных регламентируется комплексом нормативных актов, в том числе законом о персональных данных, КоАП, УК, Трудовым кодексом и законодательством о защите врачебной тайны, пояснила советник адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» Елена Агаева.

По ее словам, количество утечек может быть связано не столько с размером ответственности, сколько с недостатком правовой грамотности в этом вопросе (как на уровне работников, так и на уровне работодателей), в частности, непониманием, какие данные защищаются законом и как с ними следует обращаться.

Фото: ИЗВЕСТИЯ/Павел Бедняков

— Сейчас Роскомнадзор активно работает над предупреждением нарушений в сфере персональных данных, в том числе, идет разработка мер по повышению правовой грамотности в этой области, — заключила Елена Агаева.

В России отсутствуют адекватные штрафы для организаций, допустивших утечку персональных данных, отметил генеральный директор компании «Интернет-розыск» Игорь Бедеров. Кроме того, пока не сложилось понимание необходимости защиты персональных данных в электронных системах. Нет и достаточного числа квалифицированных специалистов в этой отрасли. В результате сетевые облачные хранилища, используемые компаниями в том числе для обработки персональных данных, защищены слабо, считает эксперт.

— Даже не имея хакерских навыков, можно выкачать из Сети до трети корпоративных баз данных, — добавил он.

Удаленные риски

Такое большое количество утечек может быть в первую очередь связно с тем, что к теме коронавируса у общества повышенный интерес, соответственно, активизируются злоумышленники, которые целенаправленно похищают данные, прокомментировала заместитель руководителя лаборатории компьютерной криминалистики Group-IB по обучению Анастасия Баринова. Кроме того, сами люди, которые работают в сферах, связанных с COVID-19, часто распространяют персональную информацию — по незнанию или умышленно, добавила она.

Фото: Global Look Press/Nicolas Armer/dpa

Внештатный режим работы многих организаций во время эпидемии также способствовал тому, что стандарты обработки и хранения персональных данных могли быть нарушены, заключила Анастасия Баринова.

Степень защищенности медицинских данных меньше, чем, например, банковских, отметил руководитель аналитического центра Zecurion Владимир Ульянов. По его словам, кредитные организации в целом более щепетильно относятся к защите информации о своих клиентах, так как утечки грозят банкам не только штрафами, но и репутационными рисками. Для медицинских организаций имиджевая составляющая не настолько важна, добавил эксперт.

Очень трудно бороться с утечкой данных, в случае если сотрудник фотографирует какие-либо списки или базы на личный телефон, пояснил Владимир Ульянов. Защитить информацию клиентов от такого рода краж непросто, особенно в условиях удаленной работы, когда рядом нет коллег, службы безопасности и камер, которые действуют как сдерживающий фактор, заключил эксперт.