Базовые ценности: данные миллионов клиентов «Гемотеста» утекли в Сеть

В даркнете появилось предложение о покупке персональных данных клиентов лаборатории «Гемотест». Продавцы утверждают, что располагают подробными сведениями, в том числе паспортными данными, 30 млн человек, обращавшихся за медуслугами. В компании заявили о начале служебной проверки. О причинах возможной утечки и последствиях для клиентов компании — в материале «Известий».

Одними из первых о сливе массива данных физических лиц сообщили антихакеры компании DLBI в своем Telegram-канале. По их данным, в даркнете появились два объявления с предложением о продаже баз данных крупной медлаборатории «Гемотест»: первое — на 31 млн строк, второе — о возможности купить базу на 554 млн строк. Киберпреступники сообщают, что располагают данными о ФИО, серии и номерах паспортов, личных электронных почтовых ящиках, мобильных телефонах и результатах анализов.

— По факту появившейся в сети интернет информации об утечке конфиденциальных данных департаментом корпоративной безопасности лаборатории «Гемотест» инициировано проведение внутреннего служебного расследования, — пояснили «Известиям» в пресс-службе компании.

Роскомнадзор направил запрос в «Гемотест» с требованиями предоставить развернутую информацию об утечке и обратился в прокуратуру с просьбой проверить сеть лабораторий на соблюдение законодательства.

«Гемотест» располагает 1250 лабораторными отделениями в 500 городах России, Киргизии, Таджикистана и Казахстана, говорится на сайте компании. По их подсчетам, в год в компании обслуживается почти 12 млн человек. Особый приток клиентов за последние два года был связан с пандемией, так как востребованными услугами компании стали ПЦР-тестирование и тесты на антитела. Помимо этого, лаборатория проводит широкий спектр других исследований на платной основе.

Кто-то конкретно ответит

Документов, регулирующих сферу персональных данных, в России хватает. Один из основных — федеральный закон «О персональных данных» от 27 июля 2006 № 152-Ф.

— Закон обеспечивает защиту прав и свобод человека при обработке персональных данных, — объясняет Мария Спиридонова, член Ассоциации юристов России, управляющий партнер «Легес Бюро». — В статье 19 закрепляется обязанность принимать все необходимые меры для защиты персональных данных.

Во время работы с персональными данными организации обязаны назначить ответственных лиц за обработку персональных данных, издавать локальные акты по вопросам обработки персональных данных, проводить внутренний контроль обработки персональный данных.

Непосредственно следят за защитой персональных данных либо ответственные структуры в самой компанией, либо сторонняя организация, уполномоченная компанией-заказчиком.

— В случае ООО «Лаборатория Гемотест», согласно политике в отношении обработки персональных данных, утвержденной приказом генерального директора от 20.12.2021 № 662, самостоятельно осуществляет меры по защите персональных данных, — пояснила юрист.

Юрист напомнила, что без согласия гражданина организация не имеет право получать, собирать и хранить личные сведения лица.

— Наличие документа гарантирует субъекту персональных данных то, что информация о нем будем применяться для строго определенных целей и будет защищена от неправомерных действий. Чаще всего российские компании размещают на официальном сайте политику обработки персональных данных. Но даже такой акт может оказаться декларативным, так как зачастую попросту отсутствуют механизмы для реальной защиты и контроля за обработкой персональных данных, например, таких как режим хранения и разграничения прав доступа к персональным данным, — уточняет юрист.

Индульгенция за халатность

Закон в зависимости от обстоятельств и серьезности деяния предусматривает административную, уголовную, а также гражданско-правовую ответственность за несанкционированное распространение личных сведений о человеке.

— На данных момент наказание за нарушение законодательства о персональных данных обходится дешевле, чем его исполнение. Расходы на приобретение технических средств защиты информации и их обслуживание может оказаться намного дороже уплаты штрафа. Но законодатель не стоит на месте, и с целью принудить организации выполнять требования закона предлагается ввести оборотные штрафы за утечку персональных данных, — рассказывает эксперт.

Напомним, ранее в интернете на всеобщее обозрение была выложена база данных клиентов сервиса «Яндекс Еда». Внутреннее расследование установило, что в результате недобросовестных действий одного из сотрудников были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки. Утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей. К слову, в базе содержались сведения о клиентах на территории России, Белоруссии и Казахстана. Мировой суд в Замоскворечье назначил компании штраф в 60 тыс. рублей за нарушение закона о персональных данных.

Вооруженные чужими паспортными данными преступники могут получить доступ к средствам банковских карт жертвы, взять кредиты в нескольких банках, открыть так называемые фирмы-однодневки, говорит Спиридонова.

Мистер инкогнито

— Для того чтобы обезопасить себя, у граждан есть право на отзыв согласия на обработку персональных данных. Поэтапный порядок оформления и подачи отзыва не закреплен. Отказ от согласия на обработку персональных данных оформляется в свободной форме. В содержании отражают просьбу прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о субъекте персональных данных согласно ст. 9 и ст. 22 закона «О персональных данных», — уточняет юрист.

Срок исполнения требования — 30 дней с момента получения данного уведомления. Но если дальнейшая работа со сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.

— Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки. В соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее пяти лет со дня прекращения отношений, — подчеркивает эксперт.

Утечка персональных данных может произойти по разным причинам: технические сбои, небрежность сотрудников, хакерских атак или корыстные цели персонала.

— Ни одна система защиты не дает полных гарантий безопасности, тем более с учетом человеческого фактора, — объясняет Владимир Ожерельев, руководитель практики интеллектуальной собственности юрфирмы DRC. — Ведь утечка может быть и результатом действий недобросовестного сотрудника или подрядчика. Идеальных подходов к защите данных не существует, но компании должны иметь ясное представление об используемых процессах и инструментах обработки данных, а также обучать сотрудников принципам и подходам к обработке персональных данных.

Кроме того, операторам персональных данных необходимо исключить сбор и дальнейшую обработку информации по параметрам, которые не являются строго необходимыми для поставленной цели, подчеркивает эксперт.

— В целях своей защиты граждане могут передавать компаниям неполные или неточные данные, если от этого не зависит качество оказания услуги, — говорит Владимир Ожерельев. — Также субъекты персональных данных могут отправлять операторам запросы о получении информации об обработке их данных, что должно стимулировать операторов более осознанно подходить к обработке данных.

Расплата за халатность

В случае если гражданин узнал об утечке своих данных, ему необходимо обратиться в суд за возмещением морального вреда и потребовать удалить сведения из публичного доступа. Иногда для более оперативного устранения утечки сначала лучше обратиться напрямую к нарушителю, советует юрист Спиридонова.

— Для стимулирования операторов персональных данных соблюдать конфиденциальность стоит ввести оборотный штраф за утечку; запретить компаниям и частным лицам создавать общедоступные базы с персональными данными, собранными из государственных и муниципальных информационных систем; если организации поручают обработку данных другому лицу, необходимо проводить контроль подрядчика и отвечать за его действия, — делится член АЮР возможными путями решения проблемы утечек.

Иван Петров

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Безопасность

Ключевые слова: информационная безопасность, персональные данные