В Damumed заявили, что утечка данных пользователей была не критичной
Представители ЦИТ «ДАМУ» уверяют, что информация из медицинской системы оказалась в свободном доступе из-за действий авторизованного пользователя.
В ЦАРКА рассказали о том, что несколько дней назад они получили сведения о крупном инциденте — медицинская информация сотен тысяч пациентов клиник стала доступна в интернете. Причиной называют элементарную ошибку — неавторизованный доступ к медицинским документам организации.
«Мы решили выдержать паузу перед публикацией, дав возможность владельцам исправить ошибки в безопасности медицинской системы. Вчера инцидент был официально подтвержден постом соответствующего содержания на официальной странице Facebook медицинской компании. И снова ситуация экстраординарная, и снова требуется срочное вмешательство государства и аудит всех информсистем страны. Надеемся, данный инцидент также попадет под личный контроль Аскара Жумагалиева, виновные будут наказаны, а страна получит системное решение проблемы», — заявили в ЦАРКА.
Напомним — совсем недавно была обнаружена утечка персональных данных 11 миллионов казахстанцев. После распространения информации об инциденте на него обратил внимание Аскар Жумагалиев, поручив выяснить источник утечки.
Центр информационных технологий «ДАМУ» опубликовал следующее заявление: «Сообщаю, что произошел инцидент передачи третьим лицам информации, содержащей конфиденциальные данные от лица, имеющего легальный авторизованный пользовательский доступ в Медицинскую информационную систему „Damumed“. На данный момент мы готовим материалы для передачи их в правоохранительные органы для проведения тщательного разбирательства в соответствии действующим законодательством, а именно Кодексом Республики Казахстан „Об административных правонарушениях“, статья 79 „Нарушение законодательства Республики Казахстан о персональных данных и их защите“ и Уголовным Кодексом Республики Казахстан, статья 205 „Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций“, статья 208 „Неправомерное завладение информацией“. По факту публикации в ФБ скриншотов, сообщаем, что беспокоиться не о чем, медицинские данные доступны только авторизованным пользователям, лицо, которое получило их в свое распоряжение, получило их незаконным способом и его действия могут квалифицироваться перечисленными выше нормами уголовного законодательства. Никакого слива в общедоступные ресурсы не было».
Позднее от ТОО Центр информационных технологий «ДАМУ» появилось более развернутое сообщение, в котором компания заявила о том, что «массовой утечки не было», как и не было и возможности просмотреть данные конкретного пациента: «Все могут быть спокойны, никакого ущерба никому нанесено не было! И все что произошло, произошло только благодаря так называемому пользователю-инсайдеру, умысел которого будут расследовать компетентные органы».
Вместе с тем, компания признала, что допустила возможность, которая позволяла предоставить доступ к результату лабораторного исследования неавторизованному пользователю после получения ссылки на результат от авторизованного пользователя. Таким образом и произошел инцидент передачи третьим лицам информации, содержащей конфиденциальные данные — это произошло от лица, имеющего легальный авторизованный пользовательский доступ в медицинскую информационную систему «Damumed».
Утверждается, что техническая служба отработала инцидент, и уязвимость была устранена. По результатам анализа логов системы утечка ограничилась скачиванием 12 результатов, семь из которых были опубликованы в Facebook.