Полиция расследует уголовное дело об утечке данных москвичей, переболевших коронавирусом. Об этом заявил глава комитета Госдумы по информполитике Александр Хинштейн. Речь идет об инциденте, который произошел в декабре. В открытом доступе тогда оказались данные более 300 тыс. пациентов столичных больниц. Фамилии, телефоны, паспорта, полисы, адреса и даже документы, составляющие медицинскую тайну.
Фото: Игорь Иванко, Коммерсантъ / купить фото
Фото: Игорь Иванко, Коммерсантъ / купить фото
Все это настоящая находка и для хакеров, и для рядовых мошенников, говорит начальник отдела информационной безопасности компании SearchInform Алексей Дрозд: «Там очень много данных о человеке содержится. Если посмотреть сводную таблицу, там столбцов было около 104-х. Не все они заполнены, но очень многие. Продавать полный профиль человека, то есть его виртуальную личность можно гораздо дороже, чем отдельные какие-то учетки по нему. Второе — классика жанра: после утечки разные якобы службы безопасности звонят человеку, и человек в конечном счете лишается денег.
Но самое страшное — это третье направление — то, что данных, которые утекли, потенциально может хватить на атаку самой системы, чтобы взять и выкачать все.
Я находил там и ссылки на внутренние инструкции, на адреса сайтов, можно было IP-адрес посмотреть и по крупицам человек технически подкованный может воссоздать отчасти топологию системы изнутри и наметить себе места атаки. Стоимость атаки радикально снижается, если злоумышленник знает, с чем имеет дело».
Уголовное дело возбудили по статье 273 «Создание, использование и распространение вредоносных компьютерных программ». Максимальное наказание — семь лет лишения свободы. Но если в суде не докажут серьезный ущерб от утечки, виновнику может грозить четыре года обязательных работ.
Чем объясняется такой выбор статьи? И могут ли люди, чьи данные оказались в базе, рассчитывать на компенсации? На эти вопросы ответил юрист Digital Rights Center Владимир Ожерельев: «Правоохранительные системы не славятся тем, что очень быстро все это делают. Но, видимо, они собирали доказательства, чтобы иметь уже какую-то базу. Искали реально виноватого или какого-то подставного виноватого. А статья, возможно, они нашли такого виноватого, для которого не хотелось бы получить реальный срок, поэтому они использовали более удобную статью, в которой будет проще съехать по УДО, а, может быть, и не дали никакой общественной опасности и считают, что наказание по этой статье за использование вредоносных программ соразмерно последствиям содеянного.
С другой стороны, с точки зрения уголовного кодекса, наверное, можно было сюда подтянуть статью о неправомерном доступе к компьютерной информации, 274-ую "Нарушение правил эксплуатации, средств хранения и обработки", передача кому-то информации тоже можно сюда подтянуть.
Это все преступления не насильственные, какого-то экономического ущерба в крупном размере там нет.
Сложно, вообще, сказать, пострадал от этого кто-то или нет, какие последствия этих действий. Поэтому во всех статьях, которые тут подходят, в принципе наказания относительно небольшие.
В то же время у нас не практикуются коллективные иски, то, возможно, но это сложно и случается очень редко. А к каждому отдельно взятому человеку вряд ли будет причинен такой вред, который сподвигнет человека на то, чтобы обращаться в суд и как-то заниматься защитой своих прав, возможно, какие-то правозащитники, активисты захотят эту тему отработать. Надо понимать, как реальный человек мог от этого пострадать. Ну, присудит суд моральный вред 10 тыс., придется доказывать, это требует какого-то времени, каких-то усилий, которые могут быть несопоставимы с экономическим результатом».
В мэрии в декабре признали утечку, обвинили в ней недобросовестных сотрудников и пообещали провести проверку. Об ее итогах, впрочем, не сообщалось.