Обширные базы с персональными данными москвичей, перенесших коронавирус, утекли в Сеть в ночь на 9 декабря. В открытом доступе оказались паспортные данные, адреса, диагнозы, результаты анализов 300 тысяч пациентов. Столичные власти ищут виноватых. «НИ» поговорили с несколькими жителями столицы, чьи данные были слиты.
Переболевших коронавирусом москвичей помимо больничных тягот «наградили» еще одной проблемой – утечкой их персональных данных.
В ночь на 9 декабря в открытом доступе в сети на сервисе Google Docs в ночь обнаружено более 362 файлов Excel, Word, JPG; 60 электронных таблиц (в некоторых из них до 100 тысяч строк) – общий объем данных приближается к гигабайтеу (940 мб). Утечка содержит сведения примерно о 300 тысячах пациентов, лечившихся от ковида или обращавшихся в медучреждения столицы за помощью с подозрением на этот диагноз весной и летом 2020 г.
ФИО, даты рождения, адреса регистрации и фактического проживания, номера паспортов, сотовых телефонов и полисов ОМС, прикрепление к поликлиникам, диагнозы и характер течения болезни у пациентов, решения о госпитализации и выдаче листков нетрудоспособности, зачисление в группы риска, посещение конкретных заграничных стран с датами и номерами рейсов, списки «нарушителей карантина» теперь доступны широкому кругу лиц. «Новые Известия» тоже без проблем смогли скачать эти файлы.
Одним словом – роскошный подарок для мошенников разных мастей, причем мишенью становятся люди, недавно сражавшиеся с болезнью, среди которых немало пожилых людей.
Самый «свежий» файл датируется 12.06.2020г.
Среди попавших на всеобщее обозрение можно найти, к примеру, таблицы под такими названиями как «Выписанные из Коммунарки (Москва)», «Зоны обслуживания», «КТ центры все», «Нарушившие карантин», «Сводная», «КТ-центры дефекты», «Выписки из стационара», «Чужие», «План переключения учета пациентов», «Пневмонии на дому», «Ответственные за заполнение новой программы» и т.д.
Кроме архива с файлами в открытый доступ были выложены ссылки на закрытые Telegram-чаты московских больниц и станций скорой помощи. По данным СМИ, в Сети также оказались данные о серверах 1С и ключи для подключения к системе учета коронавирусных больных.
Эксперты по компьютерной безопасности сходятся во мнении, что к распространению персональных и медицинских данных москвичей может быть причастен известный в своей среде киберспециалист с неоднозначной репутацией Павел Ситников (известный под никами underground, Tobin Frost, Slippery Fox, flatl1ne, часть его ников заблокирована на теневых форумах за незаконные действия, мошенничество).
Именно через его телеграм-канал сегодня в 0:23 был выложен текстовый файл, содержащий ссылки на архивы с персональными данными и Google Docs. Через некоторое время пост с доступными для скачивания файлами был удален, но запись о нем сохранилась на сайтах сбора Telegram-статистики.
Спецкор «Новых Известий» позвонила десятерым «людям из списков» и спросила, как они относятся к утечке их персональных данных, в том числе из медучреждений? Все они подтвердили свою госпитализацию с диагнозом COVID-19 в Москве, либо обращения в госмедучреждения и диагностические центры с целью обследования на данный диагноз, либо предписания, выданные им для помещения в обсервацию или на домашние карантины.
«Обращался в Коммунарку для прохождения тестов на коронавирус, но не лежал. Негативно отношусь, конечно, к этой утечке. Подумаю над подачей исков для защиты своих прав», — сказал Виталий Г.
«Плохо, конечно, что мои данные всем доступны. Могу только выразить сожаление по поводу того, что наши больницы так и не научились нормально работать с персональными данными. И вы знаете, вы — не первая, кто звонит по поводу моего диагноза «ковид» — эта утечка уже номер два. Несколько месяцев назад мне уже звонили люди, не имеющие отношения к медицине, и тоже задавали похожие вопросы. За исполнением закона о персональных данных, если говорить о госмедучреждениях, должна следить прокуратура», — говорит Алексей С.
«Я переболела еще в Париже, потом вернулась в Россию и тут уже после болезни, решила просто провериться на последствия. Сделала КТ в местной больнице, обследование показало, что к тому моменту уже была полностью здорова. Безусловно, эта утечка – это очень неприятное событие для меня. Спасибо, что предупредили», — рассказала Мария Ч.
«Да, болела весной. Если честно, мне безразлично, что там и куда утекло. Никак разбираться с этим не планирую», — прокомментировала Наталья К.
Предприниматель с гражданством Германии Ревер Йонас, гендиректор АО «Дойче Лизинг Восток» также подтвердил, что весной 2020 года попадал в Коммунарку с подтвержденным диагнозом «COVID-19»:
«Для меня это не критично, все и так знают, что я болел. Мои личные данные и без того довольно открыты, все обращения от госорганов приходят мне на электронную почту. Уровень защиты персональных данный в России, конечно, не очень высокий. На входе в любой бизнес-центр охрана переписывает в свои журналы персональные данные, и никто не может это контролировать, хотя федеральный закон №152 «О персональных данных» это запрещает и предусматривает штрафы, но в практике санкций не наступает, поэтому персональные данные граждан — везде. Мне не очень понятна эта логика.
Я лечился в Коммунарке в начале марта, когда клиника официально еще не была открыта. Врачи и медсестры – добрые и хорошие, делали все, что могли. И что меня поразило – абсолютно бесплатно, лечился по страховке ДМС, и ни копейки не заплатил — ни за одноместную палату, ни за еду, ни за медуслуги, даже разрешили занести холодильник, который друзья принесли. Это редкость, потому что я знаю людей, которых заставили заплатить несмешные суммы за лечение коронавируса. Лично для меня пребывание там было на 5 баллов. Но медперсонала уже тогда жутко не хватало. Техника — новая, но специалисты не знали, как ее использовать. Положение пациентов, конечно, экстремальное».
«На работе делали тесты на коронавирус (не госсектор). Результат был отрицательный, болезнь не подтвердилась. Странно, что я в этих базах оказалась – вероятно, ошибка какая-то», — рассказала Оксана Ч, в графе напротив которой значится госпитализация с положительным повторным тестом.
«Вы знаете, сколько в России стоят услуги адвоката? Шкурка выделки не стоит – обращаться за какими-то там компенсациями из-за утечек. Я только рад, что эти сведения мои кому-то пригодятся. А знаете, почему? Потому что несмотря ни на какие законы о защите персональных данных, все данные обо мне, вас, любом гражданине можно найти без проблем. Дайте мне всего 10 минут, как говорится», — комментирует Сергей К.
Супруга Владислава Б. со слезами рассказывает, что в Коммунарку ее мужа перевели из районной поликлиники, где он лежал с другими диагнозами, но подхватил ковид.
«Эти были худшие две недели. Ужасно неприятно. После всего того, что человек перенес из-за болезни, конечно, совсем не до того, чтобы ходить и разбираться с какими-то там персональными данными, нам бы до магазина дойти. Нас и не лечили толком, говорили: «А что вы хотите? У нас, вон, люди молодые помирают, а вы живы остались и ладно». В мае выписали, но состояние по-прежнему очень плохое, человек — глухой, и, конечно, нужен реабилитационный период, но никто этого даже не предлагает».
Согласно ст. 13 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
— По закону сведения об обращении гражданина за медпомощью вообще не могут выходить за пределы медорганизации, которая работала с пациентом. Медорганизация гарантирует их сохранение, и только правоохранительные или судебные органы могут их запросить у больниц. Случай с утечкой 9 декабря это не просто раскрытие персональных данных пациентов. Первоочередной вопрос в этой истории – а что за списки? Почему медорганизации вообще кому-то третьему сообщали данные пациентов? Кто собирал их в одном месте и на основании чего, кто вел эти таблицы? Кто разрешал/приказывал это организовать? Собранная база данных незаконна. Должно быть разбирательство СК и прокуратуры. Чиновники сейчас, конечно, начнут прикрываться экстремальными условиями в период пандемии. Но напомню, ВОЗ сегодня официально не признала вспышку коронавируса пандемией, — говорит эксперт Межфракционной рабочей группы Госдумы по лекарственному обеспечению и обращению, Президент Лиги пациентов Александр Саверский .
А действительно, как же так «чувствительная», детальная информация, которая должна защищаться не только законом «О персональных данных», но является врачебной тайной по сути своей, попала в сеть?
В самих утекших сводных таблицах содержатся пометки о том, что данные заполнялись неким «Комитетом государственных услуг».
— Утекшие таблицы – это данные с флэшки или с компьютера, вручную скопированные человеком. Нет, слив не имеет отношения к социальному мониторингу, это данные, которые ежедневно собирались в апреле-июне 2020 года. Причем характер этих данных позволяет предположить, что они не из какой-то отдельной больницы, а из места, в котором эти данные объединялись и обрабатывались, то есть это не взлом какого-то сервера. Сценариев утечки – много. Например, это могла быть и атака на компьютер одного из сотрудников, или банально утерянная флешка. Помимо того, что такие сведения вообще не должны попадать в открытый доступ, возникает также вопрос о целесообразности их хранения и обработки на серверах иностранной компании Google, — комментирует руководитель отдела анализа цифровых угроз «Инфосекьюрити», бывший спикер Управления «К» МВД России Александр Вураско.
Признали факт утечки и московские власти. Предварительную версию произошедшего изложил руководитель департамента информационных технологий Москвы Эдуард Лысенко:
«Взломов и какого-либо другого несанкционированного вмешательства в работу информационных систем Правительства Москвы не было. Утечка произошла вследствие человеческого фактора: сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам. Проверка продолжается, по ее результатам будут приняты меры», — заявил он.
Правительство Москвы и оперштаб по борьбе с коронавирусом пообещали в скором времени сообщить о результатах собственной проверки по факту утечки данных москвичей.
Слив баз с данными жителей столицы, переболевших ковидом, вновь возродил дискуссии о наперстничестве со статистикой в России.
Изучая сделавшие ноги базы, все желающие могут увидеть заметные расхождения с данными мэрии Москвы о количестве заболевших COVID-19. К примеру, согласно данным из утекших сводных таблиц, к 24 апреля в Москве коронавирусом болели 52 596 человек. Официальные же сводки, опубликованные оперштабом, 24 апреля давали к этому дню только 36 897 зараженных в столице.
Подробнее на «НОВЫЕ ИЗВЕСТИЯ»