В общий доступ по вине подрядчика попали тысячи записей о пациентах пластических хирургов
17.02.2020

Более 900 тыс. изображений, видео и счетов из клиник пластической хирургии хранились в незащищенной базе данных. Сервер, на котором она находилась, принадлежит французской компании NextMotion, которая с помощью собственного ПО собирает информацию из медорганизаций по всему миру и хранит их в облаке. 

Открытую базу нашли ИБ-исследователи Ноэм Ротем (Noam Rotem) и Рэн Локар (Ran Locar). В ней находились фотографии до и после косметических процедур, показывающие лица, видео, в том числе полностью обнаженного тела в полный рост, а также счета, из которых можно узнать тип оказанной услуги (например, удаление шрамов от угревой сыпи, абдоминопластика), имена пациентов и другую персональную информацию. 

Вскоре после публикации новости в блоге исследователей NextMotion заявила клиентам (а это 170 клиник в 35 странах), что проблема решена. В публичном обращении генеральный директор компании Эммануэль Элард назвал инцидент «к счастью, незначительным» и заверил, что теперь данные защищены. 

По мнению руководителя отдела аналитики «СёрчИнформ» Алексея Парфентьева, утечки баз данных пациентов – обычная история для зарубежных медорганизаций. Российским медицинским учреждениям предстоит с ней столкнуться в ходе цифровизации. Причем если пустить ситуацию на самотек, то потенциально в России будет такая же картина, как на Западе или даже хуже. Поскольку инциденты в информационной безопасности зависят в первую очередь от людей, а не от технологий, в бюджет на цифровизацию важно заложить закрытие человеческих рисков. 

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.