Телемедицинский сервис DOC+ связал утечку персональных данных, о которой стало широко известно в минувшие выходные, с ошибкой сотрудника. DOC+ выступает одним из медицинских провайдеров в маркетплейсе Яндекс.Здоровье — данные клиентов этого сервиса в отрытый доступ не попали, подчеркнули в PR-службе, в отличие от собственных:
Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.
DOC+ позволяет пациентам получить дистанционную консультацию врача, при необходимости специалиста можно вызвать на дом. С весны 2017 года терапевты и педиатры DOC+ консультируют клиентов, в том числе, через Яндекс.Здоровье.
17 марта канал «Утечки информации» сообщил (ориг.), что база данных DOC+ на платформе «Яндекса» ClickHouse оказалась свободно доступна: из логов, якобы, можно было узнать техническую информацию о подключения пациентов и врачей. В частности о сотрудниках ООО «Новая Медицина» раскрывались имена, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и другие сведения. В логах содержались токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно было получить их личные данные.
Как объяснил редакции аналитик ГК InfoWatch Андрей Арсентьев: «Российское законодательство пока не предусматривает жёсткой ответственности за допущенные нарушения в части хранения и обработки персональных данных. В случае доказательства вины компании грозит штраф в размере нескольких десятков тысяч рублей».
Представитель DOC+ оценил утечку, как незначительную:
В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.
По факту инцидента ведутся внутренние разбирательства.
Андрей Арсентьев знает, что утечки вышеописанного типа регистрируются в мире всё чаще, а повышения квалификации сисадминов и менеджеров баз данных может не хватить для создания адекватной защиты — необходимы регулярные ревизии информационных активов с использованием аналитических инструментов класса Data Discovery и применение защитных DLP-систем (от англ. Data Leak Prevention).
Формально ООО «Новая Медицина» (DOC+) является оператором персональных данных, в связи с чем, по её утверждению, принимает все требуемые законодательством меры защиты ПД. Внедрены средства защиты, прошедшие сертификацию со стороны ФСБ и ФСТЭК, выстроены внутренние процессы управления и контроля.
Baring Vostok и «Яндекс» инвестировали в DOC+ в 2017-м и 2016-м годах, суммарно на $10,5 млн, летом 2018 очередной инвестраунд был уже на $9 млн — в числе инвесторов снова оказались Baring Vostok, «Яндекс» и шведский фонд Vostok New Ventures.
