Comments 77
Вроде бы новость про Гемотест, но 3/4 статьи про никак не связанный с ними случай Яндекса. Причём даже без контекстуального перехода — просто прилепили вторую статью.
Это какое-то беспощадное SEO, чтобы вставить 7 ссылок на другие новости на Хабре, или KPI редакторов на длину статьи?
Да сейчас так во всех новостях, не только на хабре.
Новость - "Бабушка спасла щеночка из реки"
Добавление, "Напоминаем, что 3 года назад мы рассказывали, как дедушка утопил котенка в ведре."
В приведенном вами случае хоть жертвы различны.
А то, иной раз пока разберешься в "глубине" несчастья!
Дедушка утопил котенка, а бабушка спустя три года спасла несчастного!
Пока процесс существования планеты определяется качеством рекламы, котики будут гибнуть, как и клиенты "гемотестов" и яндексов.
Не могу сказать, что это прям плохая привычка. Можно вникнуть в курс дела, не шатаясь по доп.ссылкам. Делаем ставки какой штраф будет у гемотеста.)
Гемотест просто обязан быстро заявить что это фейк
Можно представить насколько "дрявое" ПО в мелких клиниках.
Полагаю, что у мелких клиник нет своего API, выложенного в доступного через Интернет. А вот у сетей есть.
Лет 10 назад на халтуру-эникейство попался мне один филиал сетевой клиники... База пациентов у них велась в Microsoft Access 97. Ага. Один файл, расшаренный по локалке. Так что разруха – она в головах, а не в клозетах масштабах бизнеса.
— Лет 10 назад мне попалась халтура в филиале сетевой клиники, - рассказывает программист Денис Волков. - База пациентов у них велась в обычной электронной таблице Microsoft, причём это была версия 1997 года. Всего лишь один файл, расширенный по локалке. Не нужно быть суперхакером, чтобы раздобыть такую таблицу. Поэтому разруха в первую очередь в головах тех, кто не хочет тратить деньги на качественную интернет-защиту.
Ходил на УЗИ щитовидки в подмосковную госполиклинику (практически сельскую, что по обстановке, что по местности) полтора года назад. У узиста (~50 лет) какой-то там гослинух. Судя по тому, что я успел увидеть - дистр на основе debian oldstable, ибо по внешнему виду гнум явно после 3.30 но до 3.38. Не без того, чтобы потенциально "дрявое", но вроде сносно.
нормальная безопасность стоит приличных денег, а в среднем бизнесе тратить их на безопасность не целесообразно (с точки зрения бизнеса). Такова реальность.
Поэтому как раз и правильно штрафовать за утечку данных. Именно тогда будет выгодно заниматься безопасностью.
Может просто прекратить собирать эти данные? Казалось бы, зачем для выполнения рутинных тестов надо собирать пд, в т.ч. номера паспортов и адреса прописки?
Чтобы не спрашивать клиента каждый раз об этом. А клиентов спрашивают, потому что государству "очень нужно знать", кто чем болеет. Исключительно в благих целях, конечно.
Насколько я помню, это относится только в ВИЧ и подобным инфекциям (впрочем раньше их тоже можно было сдать анонимно).
Ну и движение в сторону аггрегации конечно идет, но медленно и плохо.
Думаю, что зачастую эти данные интересны самому бизнесу: улучшение UX пользования сервисом и решения проблем, таргетирование, продажа та же)
Для таргетирования хранить номер паспорта не нужно
Более того, когда сдаёшь тест на сертификат для полёта за границу, то там ещё и загранник указывать приходится, потому что в сертификате должен быть указан номер документа, с которым будешь границу пересекать. Это уже требование принимающей стороны.
А вообще, не вполне понятно отношение к медицинской лаборатории, как какому-то ларьку с мороженным. Они вообще-то, не просто персональные данные хранят. Они хранят медицинские данные. А там свои законы, и свои стандарты. Нельзя просто так взять, и передать кому-то медицинские данные. С этим очень много заморочек. Поэтому, любая медицинская организация, по идее, должна ответственно подходить к вопросам информационной безопасности. Это одна из издержек их сферы деятельности. А тут, между прочим, ещё и данные заказов утекли, если верить статье. Это именно медицинские данные.
Полностью согласен про ларек. Если уж гемотики (а это франчайзинг) выгружают базу в госуслуги, они не должны и не должны иметь права их хранить. В таком случае обмен с госуслугами должен быть жестко регламентирован. И не только для гемотеста. А это совсем другой уровень.
И бизнесу, как ему кажется, нужно совсем не это.
Во время ковида точно собирали, потом отправляли на госуслуги, если это тест на ковид. А для других тестов не знаю что собирали.
Так вся ответственность была бы на государстве. Утечка же базы серия+номер, была бы абсолютно бессмысленна для мошенников(да и кого угодно).
Только что идею придумал, дарю, но никакой ответственности за кривую реализацию не несу.
Вы изобрели СНИЛС, и с его сохранностью тоже проблемы т.к. чем чаще СНИЛС используется в подобных ситуациях, тем ближе он по важности к паспорту.
Во-первых, сам факт передачи данных стараются не особо афишировать, чтобы люди не боялись. Во-вторых, данные могли бы действительно храниться обезличенно, например, вместо СНИЛСа выдавать случайный id, а соответствие паспортным данным хранить где-то в Очень Защищенном Месте на серверах Госуслуг
Чистый номер паспорта/снилс не несёт в себе перс данных(кроме города) и относительно безопасен при сливе(мошенникам нужна своя/другая база для соответствия), но и восстановить данные проще. К примеру обратившись в лабу, они по номеру паспорта могут выдать результаты. А вот со случайным кодом будет уже сложнее.
Например потому что взятие крови - это вмешательство в организм и на это требуется информационное согласие. Его подписать можно только с помощью паспортных данных, естественно. Потом все лаборатории работают с клиниками, где осуществляют забор анализов и потом их курьером переправляют в лаборатории. Там данные используются для идентификации пациентов (но тут как раз можно избежать этого)
Его подписать можно только с помощью паспортных данных, естественно.
Хранить в электронном виде эту информацию не требуется.
Почитайте про ЕГИСЗ. Пока Минздрав собирает данные о лечении. Далее будет и о лабораторных исследованиях. Так что без вариантов.
Согласен. Даже если нужно собирать для госуслуг, то хранить не обязательно долго. Просто видимо так им проще показалось. Опять же, если хороший штраф бухнуть одним, то другие тоже задумаются. Сейчас, как уже сказали, им нет смысла думать о политике хранения данных. Их утечка им ничего не стоила.
Может прекратить отдавать? Собирать они сами конечно же не прекратят, нужно наказывать рублём такие бизнесы, просто не платить за их услуги.
Потому что если утерян чек, то результаты отдают только по паспорту. Я как-то выкинул чек и мне пришлось идти домой за паспортом)
Не просто штрафовать, а огромными суммами, миллионами как минимум. 60 тыс руб это просто смех для такой большой компании как Яндекс.
Поэтому как раз и правильно штрафовать за утечку данных. Именно тогда будет выгодно заниматься безопасностью.
напомню - "21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей."
и это за утечку БД на десятки миллионов пользователей! Я так понимаю, что у топ менеджера счет в кафе за обед примерно сопоставим с этим штрафом
Так что получаем как всегда - формально штраф есть, но его размер просто смехотворный
Утечки медицинских баз данных конечно открывают невероятное окно возможностей для мошенников. Причем не только прямых мошенников, но и продавцов различных БАДов.
Кроме этого легко можно шантажировать людей с помощью пикантных заболеваний.
Мне кажется одними штрафами тут не отделаться, должны последовать судебные иски от пострадавших.
Да, только единственный момент - в суде нужно будет доказать, что именно данная утечка причинила субъекту ПДн ущерб. А вот с доказательством этого могут возникнуть большие трудности. Грубо говоря, даже если вам позвонят с незнакомого номера, назовут пикантное заболевание и будут шантажировать, судья просто скажет: "Дак это вы сами поди и разболтали. Где доказательство того, что звонившие использовали утёкшую базу?". В итоге в иске отказано - гуляй Вася.
ну что же, если Яндекс обязали платить штраф и завели дело, то что же будет тут ?
Так сказать, хочется узреть работу законов в РФ.
А то говорят, что в РФ перед законом все равны, но кто-то равнее....
Я сдавал анализы в Гемотесте и, скорее всего, мои данные утекли в числе прочих. При этом, я не имею возможности убелиться в верности этого предположения, так как база не выложена в открытый доступ, а продаётся где-то в тени между наркотиками и секс-услугами.
Получается, я не могу подать в суд?
Получается, я не могу подать в суд?
Вот кстати да, как у нас это предусмотрено? Я просто подаю на них в суд и это они должны доказать, что там моих данных нет или я должен как то получить доступ к этой базе, найти там свои данные и с этими вещами на руках уже подавать в суд?
Порочный круг. Чтобы подать в суд, нужно выкупить базу и получить несанкционированный доступ к базе, в которой помимо вас будут миллионы записей о других клиентах. И пойти с этим добром в суд, предоставить все свои данные, где и защёлкнутся на вас наручники, ведь у вас на руках свидетельство против себя, что вы получили несанкционированный доступ к базе Гемотеста. И уже не нужно ни расследовать утечку, ни выходить на продавца утекшей базы (что будет довольно проблематично сделать, учитывая, что тут налицо удалённый взлом, а не слив данных сотрудником), ни Гемотесту что-то объяснять и компенсировать. Будет найден крайний, кого легко покарать по закону и "закрыть дело".
получить доступ к этой базе
Заявление в полицию, что де из СМИ узнал об утечке персональных данных из медлаборатоии "Г.", с приложением доказательств, что пользовался услугами данной лаборатории, что опасаешься разглашения (передачи) своих персональных данных (медицинские данные тоже относятся к персональным). А дальше уже можно и в суд идти с гражданским иском.
Штраф до 100000 за утечку ПД? Ха, при таких штрафах вкладываться в безопасность вообще нет никакого смысла, проще штраф заплатить!
Лучше всего - сделать так, чтоб такая инфа не могла храниться более 2 недель.
Б Э К А П Ы
Э
К
А
П
Ч
И
К
И
Систему можно построить так, чтоб и бекапчики были и сенсетив данные не утекали
Из статьи я так и не понял - в базе только состав заказов или также результаты анализов ? По скрину не полностью ясен этот момент.
Это закакзы на анализы - без результатов.
Скорее всего дыра в ЛИС системе или прямой доступ к БД
Фразы "даркнет", "теневой форум" - на кого рассчитаны? На первый канал?
А что поделать, если Tor, I2P и другие сети называются собирательным термином "даркнет", который понятен как IT-специалистам, так и другим людям?
Или вы предпочитаете "анонимная оверлейная децентрализованная сеть с принудительным шифрованием"?
Теперь совместят с картой Яндекс-еды. Можно будет оценить влияние стола на сахар и холестерин.
Почему я не удивлён?
В прошлом году пришёл в "Гемотест" (новосибирский) после перерыва в несколько лет -- внезапно оказалось, что к моему аккаунту привязан неизвестный мне имейл.
Зная работу компании изнутри, удивлен, что это произошло только сейчас.
[обновлено] DLBI: утекла база данных клиентов медицинской лаборатории «Гемотест» — там более 30+ млн строк с ПД