Личные данные более чем 2,4 тыс. новгородских пациентов с ВИЧ из Федерального регистра лиц, инфицированных ВИЧ, выставлены на продажу в сети. Доследственная проверка обстоятельств, при которых это произошло, начата правоохранительными органами. В общественном движении «Пациентский контроль» оценили ситуацию как «шоковую», напомнив, что люди с ВИЧ, опасаясь утечки личных данных, порой отказываются вставать на государственный учет и получают лечение в частных клиниках. Эксперты говорят, что такая информация может быть интересна «недоброжелателям, которые могут шантажировать пациентов раскрытием диагноза», работодателям при приеме в штат сотрудников и даже страховым компаниям. В Минздраве пока ситуацию не прокомментировали.
Фото: Петр Кассин, Коммерсантъ / купить фото
Об утечке информации о больных ВИЧ или СПИДом, проживающих в Новгородской области, первым сообщил Telegram-канал «Утечки информации». Хакер выставил на продажу данные более чем 2,4 тыс. пациентов, полученные, по его словам, из Федерального регистра ВИЧ-инфицированных граждан, в частности, из подведомственного новгородскому минздраву центра «Хелпер». Файл о каждом пациенте содержит паспортные и контактные данные, СНИЛС и подробную медицинскую информацию. Вся база продается за 60 тыс. руб., 100 файлов — за 3 тыс. руб. В качестве образца товара продавец выложил данные о трех пациентах и скриншот доступа к порталу Единой государственной информационной системы в сфере здравоохранения, заявив о возможности получить базы пациентов и из других регионов. Ранее злоумышленник выставил на продажу данные о больных туберкулезом из Новгородского клинического специализированного центра фтизиопульмонологии.
После появления информации об утечке данных медорганизации Новгородской области обратились с заявлениями в управления МВД и ФСБ по Новгородской области, сообщил “Ъ” замруководителя администрации губернатора Николай Шестаков. «Это федеральная база, в которую структуры минздрава Новгородской области могут вносить данные пациентов, проживающих здесь,— сказал он.— Доступа к базам других регионов у наших учреждений нет». В пресс-службе УМВД России по Новгородской области “Ъ” подтвердили, что в настоящее время идет процессуальная проверка по обращению медиков.
В пресс-службе следственного управления Следственного комитета России по Новгородской области уточнили “Ъ”, что в случае подтверждения информации материал будет передан для расследования в это ведомство.
Отметим, диагноз является врачебной тайной. Представитель движения «Пациентский контроль» (объединяет людей, живущих с ВИЧ и другими социально значимыми заболеваниями) Юлия Верещагина пояснила “Ъ”, что помимо «недоброжелателей, которые могут шантажировать пациентов раскрытием их диагноза», такие базы могут быть интересны работодателям при приеме в штат сотрудников. Например, в сентябре 2019 года Верховный суд РФ признал частично недействующим один из пунктов приложения к установленным Минтрансом Федеральным авиационным правилам, согласно которому все категории авиационного персонала, включая диспетчеров, признавались негодными к работе при выявлении у них ВИЧ. Согласно постановлению ВС, наличие ВИЧ-инфекции не может являться безусловным основанием для признания диспетчеров негодными к профессиональной деятельности при отсутствии у них иных объективных противопоказаний, связанных с состоянием здоровья.
Госпожа Верещагина отметила, что, «к сожалению, такая информация может быть интересна и страховым компаниям», например, тем, которые оказывают услуги по добровольному медицинскому страхованию: «Иногда при наличии ВИЧ врачи, которые оказывают услуги в рамках ДМС, отказывают пациентам в услугах по стандартной страховке, оставляя таким пациентам лишь некий минимум».
Эксперт привела в пример историю известного голливудского актера Чарли Шина, который решил публично рассказать о своем диагнозе, после того как его шантажировали, вымогая деньги за сокрытие информации.
Однако случаев таких утечек в России она не припомнит. «Российские пациенты с ВИЧ периодически высказывают опасения, что их данные могут быть "слиты", и вынуждены наблюдаться в частных клиниках, если имеют такую возможность, не вставая на государственный учет,— рассказала эксперт.— Я знаю людей, которые не встают на учет из-за такого страха, а такая новость подтверждает, что их страхи оказываются обоснованными».
Такие случаи крайне редки, за ними неизбежно следует полицейское расследование, подтвердил Илья Тихонов, руководитель направлений «Комплаенс» и «Аудит» управления информационной безопасности Softline. «Медицинские данные — это особо охраняемая категория персональных данных, и такая утечка неизбежно бросает тень как на подведомственное учреждение, из которого она произошла, так и на Минздрав в целом,— заявил он “Ъ”.— Причины, по которым данные вышли за пределы организации, могут быть разными — инсайд или внешнее проникновение,— но учреждению однозначно придется пересмотреть свой подход к организации инфраструктуры информационной безопасности».
Юлия Верещагина говорит, что информация могла быть похищена «либо из части федерального регистра, который полноценно функционирует с 2018 года, либо из региональной единой медицинской базы».
Она при этом признает, что федеральный регистр, который содержит, в частности, информацию о лекарственных назначениях, является полезным инструментом. «Но теперь мне будет сложно как равному консультанту (равный консультант — человек, живущий с ВИЧ, прошедший подготовку по равному консультированию.— “Ъ”) успокоить людей, уверяя их в надежности и безопасности регистра,— говорит она.— Я в шоке и не знаю, что говорить людям. Это новый виток паники и беспокойства для пациентов».
В Минздраве России на запрос “Ъ” о причинах утечки и возможной проверке не ответили оперативно.