Минздрав зашифрует персональные данные пациентов от мошенников

Минздрав представил проект приказа об обновлённом порядке обезличивания персональных данных пациентов. Согласно нововведению, будут автоматически шифроваться данные по 25 категориям для защиты от мошенничества. Даже если преступники получат доступ к базам, они увидят лишь зашифрованные символы, что затруднит извлечение личной информации, сообщает ИА «БСТ» со ссылкой на «Парламентскую газету».

Однако недавние случаи утечек данных показывают, что мошенники продолжают использовать хитрые схемы, например, связываясь с людьми сразу после посещения поликлиник.

Один из попавших в такую схему рассказал о том, что ему позвонили мошенники сразу после его визита в поликлинику. Они пытались получить номер СНИЛС, а затем перезвонили, представившись сотрудниками Роскомнадзора, и заявили, что его СНИЛС утёк «на сторону». Но и это не сработало. Тогда они отправили ему фейковое сообщение, что якобы совершён вход в его личный кабинет на «Госуслугах» и нужно срочно позвонить на горячую линию по указанному номеру.

Линия оказалась мошеннической: «оператор» выдал себя характерным акцентом. В результате планы аферистов провалились, но масштаб их схемы впечатляет. Особенно настораживает, что всё это произошло сразу же после визита мужчины в государственное медицинское учреждение, куда он записался через портал ЕМИАС.

Минздрав разработал новую редакцию порядка, которая была актуализирована с 2018 года. Сведения, подлежащие обезличиванию, включают ФИО, даты рождения, гражданство, медицинскую информацию и даже сведения о врачах. Автоматизированная система должна снизить вероятность утечек данных. Новый порядок планируется ввести в 2025 году, он будет действовать шесть лет.

По словам Германа Клименко, председателя совета Фонда развития цифровой экономики, утечка данных из системы ЕМИАС маловероятна, так как передача информации напрямую от врача экономически невыгодна.

«Зачастую что рекламные агенты, что мошенники используют совершенно неочевидные и неожиданные пути получения информации. Например, если два человека сидят рядом и общаются, рекомендательные системы могут „смэтчить“ их телефоны – то есть увидеть, что они лежат близко, проанализировать интересы одного человека, а потом на их основе сформировать рекламные предложения для другого», – пояснил Клименко.

Другой способ утечки данных – слив геолокации. Особенно часто это происходит в Андроид-приложениях, которые в фоновом режиме подключаются к интернету без уведомления пользователя. С помощью такой информации можно выяснить, что человек недавно был в поликлинике, и далее построить логическую цепочку для манипуляций.

«Иногда мы и сами не понимаем, что отдаём свои данные мошенникам. Например, когда заходим в торговый центр и подключаемся к местным точкам Wi-Fi. При помощи снятой таким образом геолокации можно определить не только то, что человек посещал тот или иной ТЦ, но даже то, какие именно магазины он посещал, – а значит, сформировать примерный список его потребностей и действовать, отталкиваясь от этой информации», – констатировал Константин Клименко.

Может ли государство допустить утечку данных?

Герман Клименко отметил, что шифрованное хранение данных является одним из наиболее эффективных методов защиты от утечек.

«Большинство крупных утечек персональных данных связаны не с какими-то системными ошибками, а как раз таки с тем, что эти самые данные хранились в незашифрованном виде. То есть человеку нужно было просто зайти на сервер, найти там нужный файл, скачать его – и получить имена, адреса и телефоны условно в виде понятных и легко читаемых Exel-таблиц. Шифрование же такую возможность исключает – и государство, конечно, понимает преимущества этого метода и старается активно его внедрять на разных уровнях. Другое дело, что активно заниматься этим нужно было ещё лет десять назад, но даже так система всё равно получается достаточно эффективной», – рассказал председатель совета Фонда развития цифровой экономики.

Алексей Старченко, член Общественного совета при Росздравнадзоре, выразил другую точку зрения. Он отметил, что ключевые уязвимости остаются на этапах ввода и вывода данных, когда они не зашифрованы или уже расшифрованы. По мнению Старченко, современные мошенники могут легко получить доступ к информации из системы ЕМИАС, если у них есть такая цель.

«На мой взгляд, тут нужно менять сам подход к хранению персональных данных. К примеру, мне не вполне понятно, зачем историю болезни пациента хранить на протяжении 25 лет. Да, она может понадобиться в некоторых исключительных случаях – например, когда человек обращается в суд и ему нужно доказать наличие некоего наследственного заболевания. Но даже суды у нас до сих пор требуют предоставления документов в бумаге. А вот для самого Минздрава – например, для составления и обновления клинических рекомендаций – смысла в таком долгом сроке хранения нет», – объяснил Старченко.

Эксперт заключил, что лучший способ избежать мошенничества – настороженно относиться к звонкам с незнакомых номеров и не сообщать свои личные данные, особенно финансовую информацию.