Кто нас знает: треть утечек данных пациентов с COVID-19 пришлась на Россию
Все инциденты произошли по вине сотрудников медицинских и других организаций, имевших доступ к спискам зараженных.
Более трети всех случаев утечек персональных данных, связанных с коронавирусом, произошло в России. За I полугодие 2020-го было зафиксировано 72 инцидента, из них 25 — в РФ, посчитали в InfoWatch, с исследованием ознакомились «Известия». Публикация данных пациентов с COVID-19 часто влекла за собой агрессию со стороны общества по отношению к заболевшим, отмечают аналитики. Если в мире часть утечек — последствия хакерских атак, то в нашей стране все случаи произошли по вине сотрудников больниц или других организаций, имевших доступ к спискам зараженных. Сегодня в России медицинские данные защищены слабее, чем, к примеру, банковские, отмечают эксперты.
Прошлись по списку
Более трети всех случаев утечек персональных данных, связанных с коронавирусом (пациентов с COVID-19, а также людей с подозрением на вирус, их контактных лиц, нарушителей карантина и т. д.) произошло в России. За I полугодие 2020 года было зафиксировано 72 утечки, 25 случаев из них — в РФ, указано в отчете компании InfoWatch.
За последние полгода в мире произошло несколько крупных утечек, сильно повлиявших на общую картину, пояснил руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев.
Один из наиболее масштабных инцидентов — компрометация данных более 1 млн американских медиков. Кроме того, хакеры получили доступ к личным данным больных коронавирусом Катара — через уязвимость в приложении, которое граждане устанавливали по требованию правительства. В мае в руки гражданских журналистов из некоммерческой организации 100Reporters попали документы, проливающие свет на то, как Китай собирал данные о распространении коронавирусной инфекции среди своего населения. В файлах было представлено около 640 тыс. «обновлений», то есть строк, где отображены выявленные случаи заражения COVID-19. Каждая строка содержит информацию о географических координатах и числе заболевших в локации. Данные охватывают трехмесячный период — с начала февраля до конца апреля.
Но подавляющее большинство утечек — это случаи компрометации данных отдельных лиц или слив списков из нескольких десятков или сотен человек.
В отличие от привычных уже утечек, публикация информации о пациентах с COVID-19 часто влекла за собой агрессию общества, включая людей из ближнего круга, отметили в InfoWatch.
Все утечки, которые были зафиксированы в России, произошли по вине тех, кто имел доступ к информационным ресурсам в пределах периметров организаций (сотрудники больниц, аэропортов и т. д.). В целом по миру таких утечек — три четверти. Еще 25% произошло в результате хакерских атак.
В 64% случаев во всем мире персональные данные, относящиеся к пандемии COVID-19, были скомпрометированы в виде списков, например, отдельных документов сводок, фрагментов записей. Нарушители фотографировали перечни пациентов, набирали увиденную или услышанную информацию на своих устройствах, после чего в большинстве случаев распространяли ее через мессенджеры или группы в социальных сетях, пояснили в InfoWatch.
В России же 96% случаев — это утечки списков, и только 4% — баз. Во всех инцидентах списки утекли в результате умышленных нарушений, добавили в компании.
Например, в начале апреля в WhatsApp распространили персональные данные жителей подмосковного города Луховицы, заразившихся коронавирусной инфекцией. Были перечислены полные имена, даты рождения, домашние адреса, а также мобильные и домашние телефоны больных, данные о госпитализации. А в конце апреля утечка персональных данных заболевших, а также сдавших тесты на COVID-19, произошла в Якутии. Ее подтвердили в правительстве республики. В мае в одном из телеграм-каналов появились сканы списков заразившихся COVID-19 среди сотрудников петербургского НИИ скорой помощи имени И. И. Джанелидзе — всего 243 фамилии.
В оперштабе по коронавирусу отказались от комментариев, в Роскомнадзоре на момент публикации не ответили на запрос «Известий».
С начала 2020 года утечек персональных данных из информационных систем московского правительства не происходило, утверждают в пресс-службе столичного департамента информационных технологий. ИС правительства Москвы защищены и имеют аттестат соответствия требованиям по безопасности информации, заверили в ДИТ.
Безответственное хранение
Ответственность за утечки персональных данных регламентируется комплексом нормативных актов, в том числе законом о персональных данных, КоАП, УК, Трудовым кодексом и законодательством о защите врачебной тайны, пояснила советник адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» Елена Агаева.
По ее словам, количество утечек может быть связано не столько с размером ответственности, сколько с недостатком правовой грамотности в этом вопросе (как на уровне работников, так и на уровне работодателей), в частности, непониманием, какие данные защищаются законом и как с ними следует обращаться.
Сейчас Роскомнадзор активно работает над предупреждением нарушений в сфере персональных данных, в том числе, идет разработка мер по повышению правовой грамотности в этой области.
В России отсутствуют адекватные штрафы для организаций, допустивших утечку персональных данных, отметил генеральный директор компании «Интернет-розыск» Игорь Бедеров. Кроме того, пока не сложилось понимание необходимости защиты персональных данных в электронных системах. Нет и достаточного числа квалифицированных специалистов в этой отрасли.