«Незаконным путем был получен узкий сегмент записей о пациентах одной из центральных районных больниц. Вероятно, это может быть связано с нарушениями со стороны отдельных сотрудников», — признают в минздраве РТ утечку данных. Масштаб пробоины в системе безопасности и ее причины пока неясны, злоумышленники не торопятся получать выкуп, а эксперты по кибербезопасности задаются вопросом, кому вообще нужны данные, которые не сильно котируются на рынке, и дружно кивают на безграмотных сотрудников. О том, почему информационная система минздрава оказалась не защищена надежным правительственным ЦОД, — в материале «БИЗНЕС Online».
В Нижнекамской ЦРБ произошла утечка личных данных пациентов
Что случилось?
Беспрецедентное по татарстанским меркам событие произошло несколько дней назад в системе республиканского министерства здравоохранения. В даркнете, как обратил внимание телеграм-канал Mash, оказались выложены данные о пациентах Нижнекамской районной больницы, сопровождаемые объявлением о продаже ни много ни мало «4,3 миллиона записей по жителям Татарстана, которые обращались в больницы. Актуальность — конец 2023 года».
Минздрав РТ сегодня утром утечку подтвердил, но резко сузил ее масштабы. «Речь не идет об утечке сведений обо всех пациентах Татарстана. По предварительным данным, незаконным путем получен узкий сегмент записей о пациентах одной из центральных районных больниц. Вероятно, это может быть связано с нарушениями со стороны отдельных сотрудников. В данный момент проводится служебная проверка с привлечением специалистов по информационной безопасности. По итогам будут приняты меры, чтобы подобные ситуации не повторялись», — пообещали в ведомстве в ответ на запрос «БИЗНЕС Online».
Настоящие объемы утечки не раскрываются, если вообще удалось их оценить. Но, по словам эксперта, специализирующегося на кибербезопасности, который пожелал остаться неизвестным, к сливу есть масса вопросов. «Социальные сети подхватили информацию из объявления о 4,3 миллиона записей и интерпретировали ее как 4,3 миллиона пациентов. Это принципиально неверно и отчасти провокативно, как будто злоумышленники и рассчитывали на такой эффект. Дело в том, что записей о пациентах всегда кратно больше, чем самих пациентов. Больной получил амбулаторный талон — одна запись, сделал анализ крови — вторая запись, попал к терапевту — третья запись и так далее», — объясняет спикер. Пока, по нашей информации, подтвердилась подлинность 2 тыс. данных пациента Нижнекамской ЦРБ.
Но любое количество данных, попавших в сеть, — это уже ЧП, особенно если речь о медицинской информации, которая должна охраняться особенно тщательно. «Минцифры РТ помогает разобраться с инцидентом. После выяснения причин мы совместно проведем анализ и дополнительные мероприятия по всем другим системам, связанным со сферой здравоохранения для недопущения подобных происшествий», — сообщил нашему изданию замминистра цифрового развития РТ Альберт Яковлев.
«Хакерская атака извне — очень трудоемкая и дорогостоящая история. Чтобы взломать защищенную систему, может потребоваться 20–30 миллионов рублей и несколько месяцев работы нескольких взломщиков»
Кому понадобилось взламывать ЦРБ?
«Очень странно, что хакеры выбрали своей целью районную больницу, ведь выкуп получить большой вряд ли получится. Возможно, что здесь злоумышленник, например, случайно увидел какую-то очень простую дырку в безопасности и воспользовался ей как подарком судьбы. Ведь прямую цель и выгоду здесь придумать очень сложно», — рассуждает Артем Геллер, главный разработчик сайта Kremlin.ru, председатель комиссии в Институте развития интернета. По его словам, слитые базы не очень-то ценятся на «рынках данных», где все заинтересованы в контактах, кому продавать рекламу. «Большой аудитории не будет, это не так уж нужно и важно, денег с этого не заработаешь. Я думаю, что это случайность. Не кажется, что здесь есть какой-то умысел, — допускает наш собеседник. — Но за последние годы я не слышал ничего подобного».
«Хакерская атака извне — очень трудоемкая и дорогостоящая история. Чтобы взломать защищенную систему, может потребоваться 20–30 миллионов рублей и несколько месяцев работы нескольких взломщиков. Пока собираются данные, подбираются пароли, проходит время, — добавляет еще один киберэксперт, который пожелал остаться неназванным. — Но такой сценарий редкость, только 5 процентов всех резонансных взломов происходит таким путем, остальное — через социальную инженерию, например компрометацию пароля администратора».
Геллер тоже убежден, что чаще всего в таких случаях виноваты сами сотрудники, которые имеют доступ к оборудованию и системам. «У них бывают и преступные мотивы, и финансовые. Хакеры, которые занимаются такими утечками, используют различные методы убеждения. Говорят со своей жертвой и пытаются ее обмануть, чтобы та под каким-то предлогом отдала эти данные или совершила что-то, что позволит добраться до данных. Это самый массовый способ взлома. Хакеры со стороны встречаются крайне редко».
Интересно вот что. Как правило, перед сливом данных злоумышленники связываются с жертвой и предлагают выкупить базы — таким образом они и зарабатывают. Но, по данным «БИЗНЕС Online», в этот раз такого не произошло и никто на связь не вышел, просто разместил объявление в даркнете. Соответственно, деньги в качестве мотивации отпадают. «Судя по тому, что ребята, как вы говорите, не торопятся продавать базы, возникает резонный вопрос: есть ли они вообще на самом деле? Скорее всего, нет, и слив действительно ограничивается только дамп-файлом с информацией о неких пациентах. И то большой вопрос, все ли 2 тысячи анонсированных записей — это медданые Нижнекамской ЦРБ», — размышляет эксперт.
Нижнекамская центральная районная многопрофильная больница — одно из самых крупных лечебно-профилактических учреждений Республики Татарстан, утверждается на сайте учреждения. В ее составе следующее:
- Две поликлиники на 700 посещений в смену каждая, обслуживающие 149 тыс. взрослого населения. В них ведут прием врачи общей практики, терапевты, хирурги, инфекционисты. Проводятся исследования: ЭКГ, флюорография, рентгенография, забор крови, физиолечение.
- Консультативно-диагностическая поликлиника, где принимают врачи по 25 специальностям и где сосредоточена единая диагностическая база, включая лучевую диагностику, функциональные исследования, биохимическую лабораторию, эндоскопические исследования, УЗИ и др.
- На базе НЦРМБ функционируют 23 клинических отделения.
- Хирургический стационар одного дня.
- Круглосуточный стационар на 702 койки по программе обязательного медицинского страхования и 59 коек для оказания платных медицинских услуг.
- станция скорой медицинской помощи.
- Три врачебные амбулатории и два ФАПа.
Но кому надо было взламывать районную больницу? Утекшие данные, очевидно, не представляют коммерческой ценности — это не банковские карты. Есть и другой сценарий — компрометация данных изнутри. Случайная дыра из-за ошибки технического специалиста, которая привлекла внимание злоумышленников, или же сознательная диверсия? В татарстанском сообществе слухи ходят самые разные — от баловства доморощенных хакеров до внутривидовой борьбы среди подрядчиков минздрава. Но кажется, что это уже что-то из области конспирологии.
По данным нашего издания, в самом минздраве рассматривается несколько приоритетных версий. Первая — внешний взлом системы. Судя по оценкам экспертов, это маловероятно. Вторая версия — организационная рассинхронизация: в больницах часто нет жесткого контроля за теми, кто имеет доступ к данным, за учетными записями и т. д. «Данные туда-сюда могли передаваться на флешках, нет контроля за их передачей», — полагает источник, близкий к сфере здравоохранения.
«Большой вопрос, все ли 2 тысячи анонсированных записей — это медданые Нижнекамской ЦРБ»
Кто должен был защищать данные?
Чтобы разобраться в операторах медицинской информационной системы, нужен небольшой экскурс в историю. В Татарстане долгое время цифровизацией ведомств занималось — и это логично — министерство связи республики. Все изменилось в 2018–2019 годах, когда прежний министр здравоохранения Марат Садыков создал в ведомстве собственное IT-подразделение и замкнул на нем цифровизацию больниц.
Так появился республиканский медицинский информационно-аналитический центр, который является оператором единой государственной информационной системы «Электронное здравоохранение Республики Татарстан». Он обязан обеспечивать предотвращение несанкционированного доступа к информации и постоянный контроль за информационной безопасностью. Причем в техподдержке «Электронного здравоохранения» на вопрос «БИЗНЕС Online» предложили связаться с ЗАО «Витакор» по номеру телефона, указанному на сайте закрытого акционерного общества. Дозвониться по нему не удалось, ответа на запрос на электронную почту тоже на момент публикации не последовало.
Интересно, что в минздраве последнее время ходят слухи о разработке совершенно новой собственной медицинской информационной системы. В пресс-службе ведомства, однако, пока не раскрывают, кто выступал оператором МИС в Нижнекамской ЦРБ.
Важно и то, где хранится информация. В отличие от большинства ГИС, данные информационной системы минздрава находятся не в правительственном ЦОДе, за который отвечает ЦЦТ РТ, так что минцифры их не контролирует. «Те информационные системы, которые находятся на балансе и в управлении ГКУ „Центр цифровой трансформации РТ“, размещены в специальном аттестованном правительственном центре обработке данных, который обеспечен средствами мониторинга и реагирования. За последние два года количество кибератак на цифровые ресурсы Татарстана выросло в 32 раза. Заблокированы 15 тысяч атакующих IР-адресов и нейтрализованы 12 миллионов подозрительных сетевых активностей. Благодаря внедренным средствам защиты информации и центра предотвращения киберугроз правительственный ЦОД остается надежно защищенным», — уточняет Яковлев.
«Главное, чтобы нашли и публично наказали злоумышленника. Можно сколько угодно наказывать владельца квартиры, что эту квартиру ограбили, но сваливать все на него неправильно. Если не будет публичной порки — увы, это может повториться», — подчеркивает другой эксперт.
«Самая большая утечка личных данных была у «Гемотеста», где данные не только пациентов, но и их анализов утекли, или бывает, что в сеть попадает информация о ДНК, что тоже не очень хорошо»
«Во многих медучреждениях специалисты по защите информации отсутствуют как класс»
«БИЗНЕС Online» опросил федеральных экспертов, о чем может говорить эта утечка.
Федор Петрушенко — киберэксперт ООО «Комрунет», специалист по защите информации:
— Как в здравоохранении, так и во многих других отраслях самым слабым звеном является отсутствие квалифицированных кадров, потому что системы защиты информации в первую очередь создают люди. Специалисты с низкой квалификацией могут построить только очень плохую защиту. Второе: часто хромает дисциплина соблюдения уже разработанных регламентов. Поэтому такие утечки бывают часто.
Во многих медицинских организациях, по крайней мере в Москве, такой штатной единицы, как специалист по защите информации, не предусмотрено. Он отсутствует как класс. Причин несколько, их в принципе мало, а вторая причина — бюджетные организации не готовы платить им много. Какая ставка в бюджетных организациях у специалиста по защите информации? Тысяч 50, 60, 70?
Кому понадобилась ЦРБ? Может, это просто веерная атака. Не какая-то целенаправленная атака, потому что я допускаю, что если бы была бы целенаправленная, то утечка данных могла бы случиться, но про нее никто бы не узнал. Вполне вероятно, что существовала какая-то уязвимость, ее проэксплуатировали. А вдруг данные пригодятся? А вдруг это можно будет продать? Если дверь открыта и там лежит какая-то ценная вещь, то почему бы не зайти и не забрать ее. Очень много утечек происходит не потому, что кто-то кого-то хочет сломать. Как говорили в фильме «Операция „С новым годом“»: «Двери крепкие, а петли хлипкие».
Денис Батранков — эксперт ассоциации «Информационная безопасность банков»:
— Много критериев утечек: бывают неверные настройки, уязвимости, ошибки пользователей. Очень много способов проникновения, у меня есть презентация, только в ней порядка 19 способов того, как хакеры проникают в сети. Каждый день практически появляются новости об утечках.
Сложно сказать, нужно смотреть, что случилось. Если речь о записях пациентов, Ф. И. О., то таких утечек много. Самая большая была у «Гемотеста», где данные не только пациентов, но и их анализов утекли, или бывает, что в сеть попадает информация о ДНК, что тоже не очень хорошо.
Пока все эти записи продаются, но не очень дорого. Обычно их пачкой покупают для каких-то своих целей. Я думаю, это можно было бы применить в компании, которая занимается медицинской аналитикой или производит какие-то продукты медицинские.
Марсель Дандамаев — специалист по информационной безопасности, белый хакер:
— Тут возможны два варианта. Либо внешний контур слабо был защищен и хакер нашел какое-то уязвимое место, либо у сотрудника с помощью вируса украли логины и пароли.
Цель — больница, потому что тут очень много данных, медицинских данных, и они дополнительно охраняются законом. Например, медицинская тайна. Хакерам это интересно. С той точки зрения, что можно узнать, кто какими болезнями болел, и обогатить этой информацией какие-то ресурсы, боты.
Утечки случаются и в медучреждениях, и в смежных организациях, в обычных компаниях. Другой вопрос — насколько о них известно. Многие утечки проходят без огласки.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 21
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.