В интернет утекли данные около 100 тыс. пациентов московских больниц, переболевших коронавирусом. Речь идет не только о стандартном наборе (ФИО, номер телефона, паспорта, полиса и домашний адрес), но и о документах, составляющих медицинскую тайну. В мэрии Москвы заявили, что в утечке виноваты сотрудники, передавшие информацию третьим лицам. Эксперты говорят, что злоумышленники смогут использовать данные базы не только для социальной инженерии, но и для атак на IT-системы объектов здравоохранения столицы.
Фото: Игорь Иванко, Коммерсантъ / купить фото
В свободном доступе в интернете оказались данные десятков тысяч пациентов московских больниц, болевших коронавирусом. Первым об этом сообщил 9 декабря Telegram-канал «Утечки информации». В архиве весом около 1 Гб содержится 362 файла форматов Word, Excel, PDF и JPG. В некоторых таблицах более 100 тыс. строк, в каждой из которых есть столбцы с ФИО, местом проживания, номером телефона, полиса ОМС, датой рождения, диагнозом и т. д.
“Ъ” получил в распоряжение этот архив. Его анализ показал, что в утечке есть персональные данные пациентов как минимум с апреля по июнь 2020 года, а также информация, составляющая медицинскую тайну.
Файлы в архиве можно разделить на три категории. Большая часть из них, около 1,9 тыс. заархивированных таблиц, содержит строки с данными больных коронавирусом. Таблицы разбиты по 25 архивам с названиями, в которых содержится дата составления (например, «polys 20201404», составленная 14 апреля 2020 года). Каждая из таблиц проиндексирована по названию больницы (например, «ГКБ 1 им НИПирогова ПО.xlsx», «ГКБ им Вересаева.xlsx» и т. д.). В логах таблиц — ФИО, телефон, домашний адрес, места взятия положительного и отрицательного тестов, диагноз пациента и номер полиса ОМС (в некоторых таблицах эта графа оставлена пустой).
“Ъ” обзвонил пять человек, чьи данные содержатся в этих таблицах: двое отозвались на имя и отчество, но затем бросили трубку, еще трое признали, что продиктованные корреспондентом данные подлинные.
Следующая категория файлов — изображения формата JPG. Одна часть содержит в названии суффикс WhatsApp (то есть, вероятно, пересылалась через этот мессенджер), другая — фамилии пациентов. Эти файлы представляют собой скриншоты из программы «Мониторинг заболеваемости 1С» с ФИО и паспортными данными больных, а также фотографии смартфонов с установленным мобильным приложением, где также содержатся персональные данные пациентов. Есть и файлы JPG и PDF с данными медицинского осмотра больных.
Последний массив файлов — это внутренние инструкции по заполнению таблиц (в документах .pdf, .xlsx и .doc), а также приказы, которые департамент здравоохранения Москвы направлял в больницы. Например, в одном из приказов, подписанном главой департамента здравоохранения Алексеем Хрипуном, утвержден алгоритм действий для врачей при регистрации и выписке больных COVID-19.
Во вкладке «Свойства» этой категории документов можно увидеть, что организация, создавшая файлы, указана как DIT, что совпадает с аббревиатурой департамента информационных технологий (ДИТ) Москвы.
В ДИТ и департаменте здравоохранения не ответили на вопросы “Ъ”, предложив ознакомиться с Telegram-каналом оперативного штаба столицы по борьбе с коронавирусом. Там в 15:55 9 декабря появилось заявление руководителя ДИТ Эдуарда Лысенко, согласно которому в ходе проверки было установлено, что взломов и другого несанкционированного вмешательства в работу IT-систем мэрии не было.
«Утечка произошла вследствие человеческого фактора: сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам. Проверка продолжается, по ее результатам будут приняты меры»,— говорится в заявлении.
Точно утекло более 100 тыс. записей персональных данных, только в одной из сводных таблиц более 109 тыс. записей, причем последняя датирована 4 мая, указывает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. «Судя по времени обновления файлов, данные были скачаны в разное время с апреля по октябрь. Вероятно, злоумышленники воспользовались уязвимостями городских реестров, куда стекаются данные о заболевших из различных медицинских учреждений. Также нельзя исключать, что данные в разное время собирались через цепочку инсайдеров, имеющих доступ к хранилищам данных»,— полагает он.
Слитые данные, как нередко бывает, могут быть использованы мошенниками для обогащения своих баз и социальной инженерии, но в этом случае основная опасность в другом, предупреждает начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. «Опаснее всего, что в архиве есть технические файлы, в теории позволяющие подготовить целевую атаку на инфраструктуру. С помощью этой информации можно было перехватить активную сессию пользователя в государственной системе»,— указывает он. Сейчас конкретно эта угроза, по словам эксперта, уже неактуальна, но данных для «знающих злоумышленников» все равно достаточно, чтобы целенаправленно атаковать конкретные домены и конкретное программное обеспечение.
В утекших данных, безусловно, раскрывается медицинская тайна, уверена советник адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» Елена Авакян, к тому же в документах могут быть сведения о диагнозах пациентов помимо самого коронавируса, например о сахарном диабете или ВИЧ.
Сотрудники, допустившие слив таких данных, по словам юриста, могут быть признаны виновными и привлечены к уголовной ответственности по ч. 2 и 3 ст. 137 УК РФ (нарушение неприкосновенности частной жизни), что грозит сроком до пяти лет.