Более 900 тыс. изображений, видео и счетов из клиник пластической хирургии хранились в незащищенной базе данных. Сервер, на котором она находилась, принадлежит французской компании NextMotion, которая с помощью собственного ПО собирает информацию из медорганизаций по всему миру и хранит их в облаке.
Открытую базу нашли ИБ-исследователи Ноэм Ротем (Noam Rotem) и Рэн Локар (Ran Locar). В ней находились фотографии до и после косметических процедур, показывающие лица, видео, в том числе полностью обнаженного тела в полный рост, а также счета, из которых можно узнать тип оказанной услуги (например, удаление шрамов от угревой сыпи, абдоминопластика), имена пациентов и другую персональную информацию.
Вскоре после публикации новости в блоге исследователей NextMotion заявила клиентам (а это 170 клиник в 35 странах), что проблема решена. В публичном обращении генеральный директор компании Эммануэль Элард назвал инцидент «к счастью, незначительным» и заверил, что теперь данные защищены.
По мнению руководителя отдела аналитики «СёрчИнформ» Алексея Парфентьева, утечки баз данных пациентов – обычная история для зарубежных медорганизаций. Российским медицинским учреждениям предстоит с ней столкнуться в ходе цифровизации. Причем если пустить ситуацию на самотек, то потенциально в России будет такая же картина, как на Западе или даже хуже. Поскольку инциденты в информационной безопасности зависят в первую очередь от людей, а не от технологий, в бюджет на цифровизацию важно заложить закрытие человеческих рисков.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных