Аффект плацебо: аферисты придумали новую схему получения данных пациентов
Мошенники, которые охотятся за персональными данными россиян, начали практиковать новую схему. В последнее время медицинские организации по всей стране стали получать письма от неких коммерческих структур, которые якобы от лица Роскомнадзора уведомляют о нарушении требований по защите данных пациентов. И предлагают устранить проблему, внеся необходимые корректировки в базы учреждений здравоохранения. Если организация поддается давлению, то в руки аферистов попадают не только сведения, которые необходимы для кражи средств со счетов, но и деликатная информация о состоянии здоровья. Ее, как предупреждают эксперты, злоумышленники могут использовать, например, для шантажа раскрыть заболевание человека, если он не заплатит деньги. При этом наказание за доверчивость грозит и медикам.
Исправленному верить?
О новой схеме получения доступа к данным россиян в специальных медицинских чатах предупредили юристы организаций, куда пришли «письма счастья». «Некие коммерческие организации якобы от лица Роскомнадзора рассылают уведомления о выявлении нарушений медицинской организацией требований действующего законодательства в сфере защиты персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». При этом медорганизацией, которая получает данное письмо, своевременно и в полном объеме внесены все необходимые сведения», — отмечается в сообщениях.
Однако когда получившие такое предупреждение сотрудники учреждений пытаются выяснить по телефону, что именно не внесено и какие требуются корректировки, то вразумительного ответа не получают. На все вопросы «представители коммерческих фирм» отвечают расплывчато и неоднозначно. При этом акцентируют внимание на необходимости заключить с ними договор «под ключ», где они самостоятельно будут вносить данные, которые, по их мнению, внесены некорректно.
Новизна схемы заключается в том, что это не уже традиционные фишинговые рассылки или получение персональных данных от сотрудников медучреждений, пояснила «Известиям» руководитель проекта «Народного фронта» «За права заемщиков», координатор платформы «Мошеловка» Евгения Лазарева. По ее словам, представляясь сотрудниками коммерческих организаций, действующих от имени регулятора, злоумышленники пытаются использовать человеческий фактор.
— В надежде на впечатлительность сотрудников медицинских учреждений злоумышленники пытаются вынудить их заключить договор на исправление ошибок и устранение нарушений в уже поданных в Роскомнадзор данных, — сказала она.
Лиса в курятнике
Юристы медучреждений, которые предупреждают коллег о новом сценарии мошенников, считают, что те преследуют цель навязать услуги и получить деньги за ненужную работу. Однако эксперты считают, что это только верхушка айсберга.
Да, подтверждает Евгения Лазарева, медорганизация, которая отреагирует на письмо, потратит зря деньги на услугу, которая не будет и не может быть оказана. Регулятор не сотрудничает ни в каком формате с коммерческими организациями, уточнила она.
— Но главное, что опасно для пациентов, — в рамках такого договора «под ключ» злоумышленники получают доступ к сведениям, которые как раз и должны быть защищены законом «О персональных данных». То есть преступники организуют утечку информации об адресах, контактных данных, именах, возрасте, состоянии здоровья, составе семьи и диагнозах потребителей медицинских услуг, — предупредила Евгения Лазарева.
Фактически хозяева курятника сами пускают в него лису.
Помимо данных, которые аферисты могут использовать для похищения средств со счетов или получения кредитов на других людей, они становятся обладателями весьма специфичной информации о пациентах.
Поэтому, как подчеркнул аналитик отдела анализа и оценки цифровых угроз Infosecurity a Softline company Максим Грязев, допуск сторонних лиц к базам данных медицинских учреждений — это риски, которые могут иметь долгосрочные и непредсказуемые последствия.
— Подобные базы содержат деликатные персональные и медицинские данные пациентов, которые мошенники могут использовать для различных целей, включая финансовое мошенничество, шантаж (заплатите деньги, иначе обнародуем ваше заболевание. — «Известия») и даже медицинское идентификационное мошенничество, когда кто-то получает услуги, выдавая себя за другого человека, — объяснил он.
Подобные сведения, продолжила Евгения Лазарева, также позволяют телефонным мошенникам, купившим такую базу, очень убедительно пугать граждан серьезными проблемами со здоровьем и необходимостью платить за несуществующие или совершенно ненужные дорогостоящие лекарства и процедуры, которые, естественно, никто не получит.
Кроме того, по словам Максима Грязева, полученные в медицинских организациях данные могут быть проданы в виде большой базы или ее фрагментов преступникам, недобросовестным конкурентам, фирмам по «пробиванию» данных о гражданах. На черном рынке в теневом интернете такая база стоит баснословных денег, подтвердила координатор платформы «Мошеловка».
Защита сомнением
Именно поэтому эксперты и юристы призывают сотрудников медучреждений проявлять бдительность. Они напомнили, что Роскомнадзор не рассылает письма на электронную почту организаций через коммерческие фирмы.
— РКН направляет уведомления об обнаружившихся нарушениях законодательства в сфере защиты персональных данных, во-первых, сам, то есть подписантом является сотрудник ведомства, во-вторых, письмо обычно направляется нарочно, — пояснил адвокат КА «Юков и Партнеры» Джамали Кулиев.
Пресс-служба Роскомнадзора также подтвердила «Известиям», что не занимается массовой рассылкой писем гражданам, организациям или органам власти.
— Официально направляются только адресные письма и только с почтовых ящиков в домене @rkn.gov.ru. При этом любое письмо ведомства имеет дату и номер исходящего, оформляется на фирменном бланке, — отметили в РКН.
Там посоветовали: если медучреждение получило сомнительное письмо, необходимо тщательно проверить автора и направившую организацию. При возникновении вопросов относительно подлинности письма можно обратиться в Роскомнадзор за соответствующими разъяснениями.
Важно отметить, что и само медучреждение, в случае если попадется на удочку мошенников, может пострадать. Помимо ущерба деловой репутации, обратил внимание Джамали Кулиев, за неумышленное распространение персональных данных предусмотрена административная и гражданская ответственность.
— Так, медорганизация может быть подвергнута административной ответственности по ст. 13.11 КоАП РФ «Нарушение законодательства РФ в области персональных данных», — подчеркнул юрист.
Несмотря на то что штрафы относительно небольшие, для некоторых медицинских ИП, особенно в регионах, они могут быть неподъемными, отметила Евгения Лазарева. Кроме того, в судебной практике есть случаи, когда пострадавшие потребители обращались в суд с исками о компенсации потерь, вызванных подобными утечками.
Также, добавил Джамали Кулиев, сотруднику медорганизации, распространившему соответствующие сведения, грозит увольнение.