Утечки личной информации, которую сливают в интернет взламывающие базы данных разных организаций хакеры, происходят в России все чаще, и существующие сейчас меры борьбы с ними, похоже, не дают никакого эффекта. Подробности – в материале FederalCity.
8 июля 2022 года Мировой суд Москвы вынес решение о наложении на федеральную сеть медицинских лабораторий ООО «Лаборатория Гемотест» административного наказания в виде штрафа в размере 60 тысяч рублей – за то, что ее сотрудники допустили несанкционированный доступ к системе хранения данных клиентов. Из-за этого взлома примерно 300 гигабайт личной информации о гражданах, делавших в «Гемотесте» те или иные анализы, были выставлены на продажу в интернете, а потом и вовсе оказались в открытом доступе. Всего от этих действий злоумышленников пострадало около 31 миллиона человек.
В начале мая 2022 года сервис «Data Leakage & Breach Intelligence (DLBI)» заметил на теневом рынке объявление, в котором предлагалось купить за 2000 долларов более 30 миллионов строк личных данных клиентов лаборатории «Гемотеста» и 554 миллиона строк сделанных ими заказов, в которые также входила персональная информация, а кроме того, еще и описание заказов. После 22 апреля эти данные были вывешены в сети, и там оказалось практически полное медицинское «досье» на 30 с лишним миллионов человек из многих регионов России, включая Москву и Московскую область – от имен, фамилий и паспортных данный до телефонных номеров и адресов электронной почты.
Экспертов из «DLBI» утверждают, что эти же данные клиентов «Гемотеста» уже выкладывались с сети раньше. Впервые это произошло в начале весны 2022 года: тогда их вывесили для ограниченного числа пользователей в так называемом «закрытом доступе». По мнению специалистов, это случилось в результате сбоя в информационной системе медицинской компании, имеющей большое количество партнеров, работающих по системе франчайзинга. Но компанию это не оправдывает, потому что, как оказалось, все эти партнеры почему-то имели полный доступ ко всей информационной базе «Гемотеста». Чем и воспользовался в своих корыстных целях сотрудник одной из компаний-партнеров, обнаружив произошедший сбой.
На заседании суда сотрудники Роскомнадзора представили результаты внеплановой проверки, проведенной ими в конце мая по требованию Генеральной прокуратуры. Эта проверка показала, что утечка информации произошла по вине сотрудников лаборатории, нарушивших закон «О персональных данных»: доступ к базам данных похитителю представил одним из работающих в «Гемотесте» людей. Именно поэтому при проникновении в эти файлы не сработала система безопасности.
Важно!!! СПФС вместо SWIFT. Чем мы заменим иностранную платежную систему?
Представители ответчика согласились, что факт хакерской атаки имел место, но так и не признали свою вину в этом, заявив, что 4 мая, когда в компании появилось подозрение об утечке информации, там была инициирована служебная проверка и ужесточены технические меры по соблюдению безопасности при обработке персональных данных клиентов. И хотя эти меры явно не помогли сберечь личную информацию миллионов людей, руководство «Гемотеста» считает, что никаких противоправных действий сотрудники компании не совершали.
Несмотря на то, что этой организации все-таки присудили штраф, выглядит эта ситуация возмутительно. Сумма в 60 тысяч рублей для такой крупной и точно не бедной компании просто смехотворна, а если вспомнить, что из-за ее халатности пострадали больше 30 миллионов человек, то получится, что право каждого из них на защиту его личных данных оценили в 0,2 копейки. К слову, даже такой мизерный штраф «Лаборатория Гемотест» собирается теперь оспорить – и это при том, что в интернет по ее вине попали не только фамилии с адресами и телефонами, но еще и медицинские данные людей, то есть, информация, являющаяся врачебной тайной, которую серьезное медицинское учреждение обязано хранить особенно тщательно.
Подобные случаи неизбежно наводят на мысли, что повальная цифровизация приносит больше проблем, чем пользы, и на вопрос о том, нужна ли она вообще. Полностью без «цифры» в современном мире не обойтись, но заносить личные данные каждого человека в компьютерные сети каждой организации, в которую он обращается за услугами – это явно «перебор». Современный житель России, особенно если он проживает в крупном городе, постоянно сталкивается с необходимостью сначала передать свои персональные данные разным государственным учреждениям и коммерческим фирмам, а потом подписать согласите на их обработку. А с учетом все более частых и масштабных утечек этих данных, людям все меньше нравится эта система.
Если какие-либо организации решат сейчас перестать требовать от клиентов заполнять бланки с графами, в которых надо указывать свое имя, адрес, номер паспорта и остальную персональную информацию, они наверняка сразу же станут очень популярными, а их конкуренты, не отказавшиеся от этой системы, начнут терять прибыли. И если граждане начнут возражать против требований подписать согласие на обработку данных и бойкотировать те учреждения, где их отказываются без этого обслужить, это тоже может привести к упразднению всеобщей цифровизации. Пока предпосылок к такому развитию как будто не заметно, но, возможно, все это еще впереди…
А пока этого не происходит, возможно, в России стоит хотя бы увеличить штрафы для тех, кто допускает утечки информации. Ранее FederalCity сообщало об ужесточении ответственности за слив биометрических данных. Если бы подобные наказания грозили также и тем, кто сливает или допускает утечки другой персональной информации, таких ситуаций, как та, в которой оказались клиенты «Гемотеста», тоже было бы гораздо меньше.
#хакерство #утечкаинформации #базыданных #слив #черныйрынок
