Данные москвичей, заболевших COVID-19, были слиты в Telegram-чаты в ночь с 8 на 9 декабря. Руководитель Департамента информационных технологий Москвы Эдуард Лысенко подтвердил утечку. "В ходе проверки информации об утечках персональных данных москвичей, переболевших коронавирусом, было установлено, что взломов и какого-либо другого несанкционированного вмешательства в работу информационных систем правительства Москвы не было, - сказал Эдуард Лысенко. - Утечка произошла вследствие человеческого фактора: сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам. Проверка продолжается, по ее результатам будут приняты меры".
В пресс-службе ДИТ Москвы корреспонденту ComNews не пояснили, как именно и в какие сроки намерены устранить утечку данных. Комитет государственных услуг города Москвы на запрос ComNews не ответил.
Директор АНО "Инфокультура" Иван Бегтин считает, что предотвратить утечки персональных данных госорганы могут, ограничив сбор информации и изначально сформировав четкие требования по их хранению - например, не хранить в общедоступных облачных сервисах. "Ведение баз заболевших в таблицах в Google - это называется не человеческий фактор, а халатность. Это данные, составляющие врачебную тайну, и их вообще не имели право использовать за пределами медицинских информационных систем или иных регламентированных ГИС. Эта ситуация - не про дисциплинарные проверки и не про увольнения, а про уголовные дела. Особенно если канал утечки до конца не перекрыли", - сказал эксперт.
По словам Бегтина, после случившегося чиновникам остается только искать и удалять все публикации, где данные остались в открытом доступе, и отлавливать их Даркнете.
В будущем, чтобы избежать массовых утечек, больницам и иным лечебным учреждениям необходимы решения по контролю доступа к персональным данным пациентов, а также разграничение прав доступа для разных категорий сотрудников. "На всех уровнях обработки данных, включая федеральные и муниципальные органы, необходимы DLP-системы, способные не только контролировать все возможные каналы, включая электронную почту, внешние накопители, устройства печати и мессенджеры, но и блокировать попытки передачи конфиденциальных данных, а также с помощью специальных модулей анализировать поведение пользователей информационных систем", - перечисляет руководитель направления аналитики и спецпроектов компании InfoWatch Андрей Арсентьев. Кроме того, реестры с медицинскими данными должны быть защищены от внешних атак.
"Возможно, эта утечка станет триггером для государства: уже давно назрела необходимость ужесточить ответственность за утечки многих типов конфиденциальной информации", - добавил представитель InfoWatch.
Пострадавшие могут обратиться в суд и потребовать возмещения убытков, уверен старший партнер юридической фирмы "Катков и партнеры" Павел Катков. В заявлениях соответчиками по этим делам следует указывать мэрию Москвы и столичный комитет госуслуг. По мнению Павла Каткова, реальный ущерб и упущенную выгоду от утечек персональных данных физлицам будет трудно доказать. Исходя из практики возмещений за моральный вред по схожим делам, сумма обычно не превышает 10 тыс. руб., что не окупает даже судебных расходов. "Есть смысл ввести специальную норму с минимальным размером компенсации, чтобы одного факта утечки было достаточно для выплаты гражданину суммы, не меньшей, чем прямо указана в законе. Но для этого нужна законодательная инициатива, работа Федерального собрания и подпись главы государства на таком законе", - предлагает юрист.
По словам адвоката Александра Титова, в ситуации с утечками данных москвичей, переболевших коронавирусом, имеет место еще и разглашение врачебной тайны.
"Независимо от жалоб со стороны потерпевших на утечки персональных данных, медицинские учреждения, обрабатывающие персональные данные, могут быть привлечены к административной ответственности по п.6 ст.13.11 КоАП РФ, - говорит управляющий партнер юридической фирмы Axis Pravo Алексей Сулин. - Штраф для должностных лиц составляет от 4 до 10 тыс. руб., для юрлиц - от 25 до 50 тыс. руб." Если следствие установит лица, которые распространили персональные данные умышленно, то суд сможет привлечь их к уголовной ответственности, наказав лишением свободы на срок до двух лет. Если преступление совершили еще и использовав служебное положение, то наказание смогут увеличить до пяти лет лишения свободы.
По оценке младшего партнера юридической фирмы Rödl & Partner Татьяны Вуколовой, произошедшее имеет явные признаки уголовного преступления. В этом случае проверку, даже без заявлений от потерпевших, должны инициировать Роскомнадзор или прокуратура - просто на основании сообщений СМИ.
Анастасия Самсонова