Врачебные тайны: хакеры стали охотиться за медицинскими данными
На одном из популярных хакерских форумов в Сети неизвестный пользователь объявил о том, что якобы заполучил данные компании 23andMe — одной из самых крупных в сфере ДНК-исследований. По словам злоумышленника, он владеет 13 млн учетных записей клиентов компании. Подробности о том, почему киберпреступники стали охотиться за медицинскими данными и как такая информация становится опасным инструментом в их руках, — в материале «Известий».
«Самые ценные данные»
Анонимный пользователь, заявивший на популярном хакерском форуме об утечке сведений компании 23andMe, отметил, что завладел «самыми ценными данными, которые только можно себе представить». Его первое сообщение появилось 1 октября, но вскоре было удалено. А затем, 4 октября, он написал новый пост.
В нем киберпреступник утверждал, что в данных, похищенных у 23andMe, содержится подробная информация, распределенная по этническим группам: это данные о происхождении жертв, характеристики гаплогрупп (групп людей с общим предком), описания фенотипов, фото, а также ссылки на потенциальных родственников. По словам хакера, общий объем утечки составил 13 млн учетных записей.
Приобрести данные он предложил партиями от 100 до 100 тыс. профилей. При этом злоумышленник отказался раскрывать, когда и как именно была получена эта информация. Между тем в компании 23andMe уже начали расследование инцидента. Эксперты подтвердили, что неизвестные пытались получить несанкционированный доступ к некоторым аккаунтам компании.
Однако они выразили большие сомнения в том, что были взломаны целые корпоративные системы. Специалисты предположили, что хакер (в одиночку или вместе с сообщниками) мог получить информацию из утечек на других платформах, а затем проникнуть в профили клиентов, которые использовали те же связки логин/пароль и на сайте 23andMe.com.
Охота за данными
Представители компании 23andMe отметили, что некоторые ее аккаунты подключены к сервису DNA Relatives — он позволяет клиентам общаться с генетическими родственниками и изучать свою родословную. Судя по всему, данные об этих родственниках также могли быть похищены. Истинные масштабы проблемы пока не установлены — расследование продолжается.
Но если утечка данных 23andMe реальна, то она с большой долей вероятности может включать имена, фотографии, данные о поле, датах рождения, адресах, семейном положении, проценте совпадения ДНК с другими людьми, а также количестве общих генетических сегментов.
Между тем, как говорит в беседе с «Известиями» главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников, на сегодняшний день утечка информации о ДНК вряд ли грозит проблемами обычному человеку: дело в том, что пока нет ни общих генетических баз, ни портативных и быстрых ДНК-анализаторов.
— Человека по ДНК сейчас могут отследить лишь спецслужбы — и то в ограниченных масштабах, — объясняет специалист. — Злоумышленникам проще отслеживать жертв по традиционным каналам, таким как мобильные телефоны или оперативное наблюдение.
Впрочем, если говорить про утечки медицинской информации в целом, то, как отмечает Овчинников, она не зря относится к персональным данным: это чувствительные данные, которые могут быть использованы даже против простых людей. С этим согласна и директор по маркетингу IT-компании RooX (специализация — аутентификация, авторизация и разработка веб-платформ для корпоративного сектора) Наталия Леднева.
— Риски от кражи чувствительных данных высоки как для пациентов, так и для медицинских сотрудников, а масштабы подобных утечек по всему миру колоссальны, — говорит эксперт. — Так, по данным аналитиков, в 2009–2022 годах только в США «утекли» свыше 300 млн медицинских записей. При этом разглашение медицинской информации грозит рисками ее владельцу практически во всех сферах жизни.
Риски утечек
По словам Наталии Ледневой, в коммерческом плане попавшая к злоумышленникам информация о заболеваниях собственников компании может повлиять на стоимость акций, условия заключения сделок или вовсе спровоцировать отказ от заключения партнерства. Также огласка данных о проблемах со здоровьем может испортить карьеру — обернуться увольнением, отказом в должности или дать повод для дискриминации при приеме на работу.
— Разглашение диагнозов или применяемых схем терапии, в частности, может повлиять на течение судебных заседаний, условия получения наследства и спровоцировать разводы, — говорит собеседница «Известий». — При этом стоит отметить, что попавшие в открытый доступ сведения медкарт могут содержать не только медицинские данные, так что есть риск разглашения. Помимо врачебной тайны, еще и тайны частной жизни.
В свою очередь, Дмитрий Овчинников указывает на то, что утечка медицинских данных может быть особенно чувствительна для известных людей. К примеру, физическое состояние спортсменов сильно влияет на их трансфертную стоимость, а информация про болезни звезд шоу-бизнеса может стоить им карьеры.
Что касается простых людей, то данные об их болезнях могут быть использованы для шантажа — особенно если это касается «пикантных» заболеваний. А другую, не столь деликатную информацию, злоумышленники могут использовать при планировании атак с использованием социальной инженерии.
— Защитить самостоятельно свои медицинские данные их владелец (частное лицо) не может, поскольку регулярно передает их операторам — клиникам или больницам, — объясняет Овчинников. — В итоге вся ответственность за защиту таких данных целиком лежит на операторах. А единственный вариант не передавать их — это не болеть, что невозможно в принципе.
Как говорит Наталия Леднева, чтобы избежать утечек чувствительных данных, организациям, собирающим и обрабатывающим медицинские сведения, нужно использовать современные системы управления доступом, применять комплексные меры по защите оборудования и сетей, а также проводить регулярные обучения сотрудников кибербезопасности и принимать другие меры. Это необходимо потому, что за утечки медицинских данных по закону может наступить серьезная ответственность.
К ответу по закону
Сегодня в России существуют подзаконные акты, регулирующие обработку персональных данных и заставляющие защищать эти данные операторов. По словам Дмитрия Овчинникова, если медицинские данные человека стали доступны третьим лицам, это нарушение врачебной тайны, закона о персональных данных и вторжение в личную жизнь.
— Утечка медицинских данных может повлечь ответственность для сотрудников медицинских организаций, — говорит Наталия Леднева. — За разглашение врачебной тайны предусмотрены дисциплинарная, гражданская, административная и уголовная ответственность.
Кроме того, как говорит в беседе с «Известиями» ведущий юрист Европейской юридической службы (ЕЮС) Юрий Телегин, ст. 13.11 КоАП РФ установлена ответственность за нарушение законодательства в области персональных данных, в том числе за невыполнение оператором обязанности по обеспечению сохранности персональных данных. Какой-либо специальной ответственности за необеспечение сохранности медицинских персональных данных законом не установлено — поэтому по ст. 13.11 КоАП РФ к ответственности можно привлечь и организации, оказывающие медицинские услуги.
— Часть 6 этой статьи предусматривает наказание в виде административного штрафа для должностных лиц — в размере 8–20 тыс. рублей, для индивидуальных предпринимателей — 20–40 тыс. рублей, для юридических лиц — 50–100 тыс. рублей, — говорит Юрий Телегин.
Право возбуждать такие дела есть у Роскомнадзора. Кроме того, в рамках надзорной деятельности дело о любом административном правонарушении может возбудить и прокуратура. Дмитрий Овчинников заключает, что сторона, пострадавшая от утечки медицинской информации, также вправе обратиться в суд с иском о компенсации ущерба. Однако делать это надо обдуманно, предварительно проконсультировавшись с хорошим юристом — ведь больницы и клиники сделают всё возможное, чтобы не признать свою вину.