Несколько дней назад аноним информировал Центр анализа и расследований кибератак (ЦАРКА) и еще несколько других организаций, о крупном инциденте — персональные данные сотен тысяч пациентов казахстанских медорганизаций, подключенных к медицинской информационной системе DamuMed, попала в сеть, передает BNews.kz со ссылкой на ЦАРКА.
Сообщается, что виной утечки стала элементарная ошибка – неавторизованный доступ к медицинским документам организации.
«Мы решили выдержать паузу перед публикацией, дав возможность владельцам исправить ошибки в безопасности медицинской системы. Вчера инцидент был официально подтвержден постом соответствующего содержания на официальной странице фейсбук медицинской компании. И снова ситуация экстраординарная, и снова требуется срочное вмешательство государства и аудит всех информсистем страны. Надеемся данный инцидент также попадет под личный контроль Аскара Жумагалиева, виновные будут наказаны, а страна получит системное решение проблемы», — говорится в сообщении ЦАРКА.
В свою очередь, представитель DamuMed принес извинения от лица компании-разработчика медицинской информационной системы.
«От лица компании Центр информационных технологий «ДАМУ» сообщаю, что произошел инцидент передачи третьим лицам информации, содержащей конфиденциальные данные от лица, имеющего легальный авторизованный пользовательский доступ в Медицинскую информационную систему «Damumed». На данный момент мы готовим материалы для передачи их в правоохранительные органы для проведения тщательного разбирательства в соответствии действующим законодательством, а именно Кодексом Республики Казахстан «Об административных правонарушениях» Статья 79 «Нарушение законодательства Республики Казахстан о персональных данных и их защите» и Уголовным Кодексом Республики Казахстан Статья 205 «Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций», Статья 208 «Неправомерное завладение информацией». По факту публикации в ФБ скриншотов, сообщаем, что беспокоиться не о чем, медицинские данные доступны только авторизованным пользователям, лицо которое получило их в свое распоряжение, получило их незаконным способом и его действия могут квалифицироваться перечисленными выше нормами Уголовного законодательства. Никакого слива в общедоступные ресурсы не было!», — говорится в сообщении на официальном facebook-аккаунте Центра информационных технологий «ДАМУ».
Между тем, ЦАРКА также отмечает в своем сообщении, что события происходят на фоне «скандала о лоббировании компании «ДАМУ» Министерством здравоохранения РК».
«Похоже, что в Казахстане информационная безопасность становится новым инструментом борьбы против конкурентов», — заключают в ЦАРКА.
В настоящее время правоохранительные органы уже занимаются разбором инцидента.
Напомним, что 4 июля Центр анализа и расследования кибератак также сообщил, что данные 11 млн граждан Казахстана находились в открытом доступе в интернете. Любой желающий мог свободно получить доступ к системе или полностью загрузить её к себе локально. На что оперативно отреагировал министр цифрового развития, оборонной и аэрокосмической промышленности РК Аскар Жумагалиев, отметив, что рассматривается вопрос расширения функций подведомственного Комитета, который планируется наделить полномочиями по проведению соответствующих проверок информационных систем.
Объединение юридических лиц «Центр анализа и расследований кибератак (ЦАРКА)» осуществляет собственный независимый мониторинг инцидентов, связанных с распространением вредоносных программ и сетевых атак на территории Республики Казахстан. Действуя в рамках нормативной правовой базы РК, ЦАРКА не уполномочен заниматься решением вопросов, находящихся в ведении правоохранительных органов и органов национальной безопасности.
DamuMed — это комплексная медицинская информационная система, которую разработало ТОО «Центр информационных технологий «ДАМУ» (бывш. ТОО «IT Research Center»). Центр информационных технологий «ДАМУ» является компанией, работающей на рынке информационных услуг Республики Казахстан с ноября 2001 года. Среди клиентов Центра: Министерство здравоохранения РК (разработка около восьми специализированных информационных систем), АО «Назарбаев Университет» (автоматизация библиотечных процессов и создание единого хранилища электронных документов), Налоговый комитет Министерства финансов РК (информационные системы «Акциз», «УКМ», «Банкрот»), Министерство юстиции РК (Государственная база данных «Регистр недвижимости), а также ряд других.