Российские медики стали чаще продавать персональные данные пациентов «на сторону»
В системе российского здравоохранения выросла доля преднамеренных утечек данных. До 90% персональных данных пациентов поликлиник и больниц попадают в открытый доступ по вине хакеров и медперсонала, которые зарабатывают на «сливах».
Халатное обращение с данными
Из российских медицинских учреждений стало утекать меньше персональных данных, однако серьезно выросла доля «сливающихся» сведений. Об этом говорится в отчете InfoWatch, в котором аналитики анализируют утечки информации в сфере здравоохранения с января по октябрь 2022 г.
Так, на преднамеренные утечки приходится 87,5% всех данных, которые отказались в открытом доступе – еще в 2021 г. их доля составляла 58,3%.
В целом объем утекших данных российских пациентов в 2022 г. по сравнению с 2021 г. упал на 33%. Всего за первые девять месяцев 2022 г. пострадали восемь медицинских организаций, чьи базы данных попали в публичный доступ. Объем украденной информации при этом подскочил в 775 раз и составил 31 млн записей.
Кроме того, количество инцидентов с участием хакеров в 2022 г. подскочило больше чем в два раза по сравнению с 2021 г. и достигло 75%, говорится в отчете.
С чем связан рост
Основатель сервиса DLBI Ашот Оганесян в беседе с «Коммерсантом» объяснил рост объемов утечек из медучреждений с тем, что с конца февраля 2022 г. в целом выросло количество кибератак. Усугубило ситуацию то, что поликлиники, больницы и лаборатории в целом не слишком занимались информационной безопасностью.
Лавинообразный рост эксперты InfoWatch объясняют крупной утечкой информации, которую допустила лаборатория «Гемотест» в мае 2022 г. – тогда из организации утекли сведения более чем о 30 млн пользователей. Руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев сообщил изданию, что и частные, и государственные медорганизации продолжают финансировать направление кибербезопасности «по остаточному принципу». Пока они не изменят подход, количество утечек будет расти.
В то же время, по словам эксперта, хотя компании фокусируются на хакерской деятельности, обратить внимание стоит и на собственных сотрудников.
«Мы фиксируем рост умышленных утечек, допущенных сотрудниками клиник, – отмечает Арсентьев. – Системы контроля за персоналом в медучреждениях по уровню реализации политики кибербезопасности отстают от актуального спектра угроз».
Такая «диверсионная» деятельность удивления не вызывает – на черном рынке данных сведения о здоровье пациентов становятся все более ликвидным активом.
Руководитель компании «Интернет-розыск» Игорь Бедеров в разговоре с CNews заметил, что пока в России не введут оборотные штрафы, стимула у частных организаций. Он напомнил, что «Гемотест» оштрафовали всего на 60 тыс. руб. за утечку информации о 30 млн пациентах, в то время как EyeMed в США выплатит $600 тыс. за утекшие сведения о 2 млн клиентов. Эксперт назвал российский закон о персональных данных «архаичным и допотопным» по сравнению с западными аналогами, так как карает исключительно за утечку, а не за возможность утечки.
«Возможность утечки выглядит так: допустим, у вас сервис онлайн-телевидения, и вам нужно повысить конверсию, – приводит пример эксперт. – Вы передаете обезличенную базу данных пользователей маркетинговому агентству. В базе содержатся ID пользователя, дата его регистрации и фильмы, которые он посмотрел. Казалось бы, такой набор информации не может нарушить закон о ПД, так как идентифицировать человека нельзя. Но эти данные можно "обогатить", зайдя на сайт самого кинотеатра. Можно обнаружить профили данных лиц, включая ФИО, попробовать установить доступ к аккаунту, получить номер телефона и адрес электронной почты. Это в западных странах считается немыслимым нарушением закона о персональных данных, в России – нет. Поэтому у нас пока продолжат именно реагировать на утечки, а не предотвращать их».
Также Бедеров напомнил, что в медицинской сфере крайне плохо контролируются базы данных. В том числе это связанно с активной цифровизацией здравоохранения – с 2020 г. после начала пандемии в стране все чаще оказывают дистанционные медуслуги, проходит массовая вакцинация, сертификация и выдача свидетельств о тестировании. Возможностей украсть информацию у хакеров стало больше.
Какие медицинские утечки были в 2022 году
Напомним, в мае 2022 г. в сети оказались две базы данных клиентов «Гемотекст». 554 млн заказов и 31 млн строк с информацией: ФИО, даты рождения, адреса, номера телефонов, адреса электронных почт, серии и номера паспортов и результаты анализов.
В конце января 2022 г. также стало известно о появлении в продаже базы данных из 48 млн сертификатов вакцинации от коронавируса COVID-19. Продавец файла в даркнете просил за него $100 тыс. Как сообщил Telegram-канал «Утечки информации», информация о вакцинированных получена из приложения «Госуслуги СТОП коронавирус». В Минцифры позже заявили, что угроз для безопасности личных данных вакцинированных или переболевших граждан нет. В «Ростелеком» сообщили, что данные недействительны.
Законодательство об утечках
Напомним, в мае 2022 г. Минцифры заявило, что в России могут в миллионы раз увеличиться штрафы за утечку персональных данных, допущенных их операторами. Речь шла об 1% годового дохода провинившейся организации.
Затем регулятор пошел на смягчение. В октябре 2022 г. CNews писал о том, что Минцифры России доработало законопроект об оборотных штрафах и предусмотрело в нем ответственность для должностных лиц компании, допустившей утечку информации.
В обновленном документе предусматриваются штрафы не только для организаций, но и для их руководителей. Если в открытом доступе оказалось от 10-100 тыс. строчек, главу компании оштрафуют на 200-400 тыс. руб. Для индивидуальных предпринимателей и юридических лиц штраф за такой же инцидент составит 0,02% оборота, но не меньше 1 млн руб.
Сейчас в КоАП РФ прописаны штрафы за утечку информации только для юрлиц, и они довольно скромные. 60-100 тыс. руб. компания должна уплатить при первом инциденте, если ситуация повторится – до 500 тыс. руб.
В ноябре 2022 г. глава Минцифры Максут Шадаев заявил, что смягчить наказание компании могут, если компенсируют ущерб двум третям пострадавших граждан.