Виновные в «сливе» данных казахстанцев в открытый доступ могут отделаться незначительными штрафами. Причина — лояльное казахстанское законодательство. За последнее время в стране произошло сразу два крупных инцидента, когда любой желающий мог получить свободный доступ к «закрытым» информационным системам.
В начале этого года в Минздраве РК заверили, что информационные системы ведомства защищены практически на сто процентов. Более того, защитой занимаются организации, сертифицированные Комитетом национальной безопасности.
По словам вице-министра здравоохранения Олжаса Абишева, после внедрения портальных решений не было ни одного случая утечки персональных данных пациентов. Он же признался, что министерство сталкивалось с попытками взлома и DDoS-атаками, но все инциденты тщательно анализируются.
Однако на днях Центр анализа и расследования кибератак (ЦАРКА) сообщил о масштабной утечке медицинской информации.
По данным специалистов, «прорвало» электронное приложение Damumed
В открытом доступе оказались десятки анализов казахстанцев. Причиной «сбоя», по словам представителей ЦАРКА, стала элементарная ошибка — кто-то получил неавторизованный доступ к медицинским документам организации.
«И снова ситуация экстраординарная, и снова требуется срочное вмешательство государства и аудит всех информсистем страны
Надеемся данный инцидент также попадет под личный контроль Аскара Жумагалиева, виновные будут наказаны, а страна получит системное решение проблемы», — говорится в распространенном сообщении организации.
В центре по противодействию киберугрозам отметили, что чрезвычайное происшествие случилось на фоне коррупционного скандала в министерстве здравоохранения.
К слову, авторы Damumed свою ошибку признали. Они даже принесли публичные извинения гражданам страны.
«На данный момент мы готовим материалы для передачи их в правоохранительные органы для проведения тщательного разбирательства в соответствии действующим законодательством», — написали в Facebook представители Центра информационных технологий «Даму».
Также они заверили, что медицинские данные доступны только авторизованным пользователям. Действия злоумышленника квалифицируются нормами уголовного кодекса.
Никакого «слива» на общедоступные ресурсы не было, утверждают разработчики Damumed
Чуть позже они попросили не преувеличивать масштабы трагедии. Якобы речь шла всего лишь о скринах двенадцати анализов. Более того, специалисты «Даму» считают, что ажиотаж вокруг данных, возможно, спровоцирован конкурентами.
В минздраве поспешили откреститься от действий «частника». В ведомстве заявили, что сбоев, несанкционированных доступов на своих «мощностях» не фиксировали. Все системы и порталы работают в штатном режиме.
Стоит отметить, это уже второй крупный инцидент с утечкой персональной информации граждан. Ранее данные одиннадцати миллионов человек попали в интернет.
Любой желающий мог свободно получать доступ к системе или полностью загрузить ее к себе локально
Точный период нахождения информации в общем доступе пока неизвестен, рассказали в ЦАРКА.
ЧП республиканского масштаба расследуется чиновниками из Министерства цифрового развития, инноваций и аэрокосмической промышленности РК.
«Сегодня в сети увидел информацию о распространении персональных данных граждан в интернете. Очень серьезный вопрос. И неважно, старая это база или новая. Поручил КИБ (комитет по информационной безопасности — прим.) выяснить источник и причины.
Правоохранительные органы уже этим занимаются. С развитием технологий вопрос защиты доступа к персональным данным очень остро стоит перед всем мировым сообществом»,
— написал на своей странице глава ведомства Аскар Жумагалиев.
По его словам, в мире происходит множество случаев взлома тех или иных информационных систем — как коммерческих, так и государственных.
«Поэтому мы инициировали вопрос о наделении нашего комитета функциями по защите персональных данных (по аналогии с Data Protection Agency в Европе). Он будет проводить проверки владельцев информационных систем, в которых обрабатываются персональное данные, в том числе по жалобам граждан.
Также хотим ужесточить ответственность за непринятие мер по защите персональных данных
В мире аналогичные меры сейчас принимаются», — пообещал министр.
«Воспользоваться персональными данными можно по разному. К примеру, для увеличения продаж — это так называемые «мирные цели». В своих интересах могут воспользоваться мошенники.
Они будут называть имена из круга ваших знакомых, звоня вам на телефон
Это «почва» для различных финансовых махинаций.
Также можно получать конкурентные преимущества, если вы, к примеру, проводите избирательную компанию. На руках будет готовая база людей, которых можно классифицировать по возрасту, полу, социальному положению. Словом, вариантов использования данных очень много», — говорит директор Центра анализа и расследования кибератак Арман Абдрасилов.
Он считает, что в Казахстане нет культуры безопасности.
Отечественные разработчики систем ориентируются на скорость разработки и дешевизну
«Никто не требует безопасности, это смежная область. Даже если идет проверка на безопасность, ее проводят сами «авторы». Мы наблюдали подобное на электронном правительстве. Сами «написали» систему, сами проверили и сдали отчет о ее идеальной неуязвимости.
Это, скорей всего, относится и к последнему инциденту. Наверняка есть и другие уязвимости, эта только одна из них. Возникает вопрос — зачем разным врачам или лаборантам иметь полный доступ к данным пациента, если он не является их клиентом в данное время?», — спрашивает эксперт.
В будущем казахстанцам стоит ожидать подобных «проколов»
Уязвимы и частные, и государственные порталы, уверен Абдрасилов.
«Однозначно. В этом отношении мы находим очень много ошибок в системах. Со стороны профильных госорганов присутствует недостаточная регуляторика. Отсутствуют жесткие меры за нарушения. Можно вспомнить только о единичных случаях наказания — несущественные штрафы. К примеру, за последнее ЧП компанию могут оштрафовать на 100 месячных показателей. Однако для крупной конторы это неощутимые потери», — сетует эксперт.
По словам Армана Абдрасилова,
За рубежом за аналогичные нарушения предусмотрены строгие «репрессии»
Компании Facebook и Google за утечку данных пользователей «расплатились» многомиллиардными штрафами. В Казахстане, как правило, за слив важной информации, охраняемой законом, ответственности никто не несет.