Как сказано в отчете InfoWatch, подавляющее большинство утечек персональных данных, связанных с коронавирусом - это случаи компрометации данных отдельных лиц или слив списков из нескольких десятков или сотен человек. При этом публикация информации о пациентах с COVID-19 часто влекла за собой агрессию общества, включая людей из ближнего круга.
Одна из наиболее крупных мировых утечек произошла, когда хакеры получили доступ к личным данным больных коронавирусом Катара через уязвимость в приложении, которое граждане устанавливали по требованию правительства. А в мае в руки журналистов из некоммерческой организации 100Reporters попали документы, проливающие свет на то, как Китай собирал данные о распространении коронавирусной инфекции среди своего населения. В файлах было представлено около 640 тыс. строк, где отображены выявленные случаи заражения COVID-19 с начала февраля до конца апреля.
При этом на Россию пришлось более трети всех случаев утечек информации, связанной с коронавирусом. В мире в результате всех случаев пострадали 3,43 млн человек, в России - 35,5 тыс. Утечки, которые были зафиксированы в России, произошли по вине тех, кто имел доступ к информационным ресурсам в пределах периметров организаций (сотрудники больниц, аэропортов и т.д.).
В 64% случаев во всем мире персональные данные, относящиеся к пандемии COVID-19, были скомпрометированы в виде списков, например, отдельных документов сводок, фрагментов записей. Нарушители фотографировали перечни пациентов, набирали увиденную или услышанную информацию на своих устройствах, после чего распространяли ее через мессенджеры или группы в социальных сетях. Часть утечек произошла, когда менеджеры организаций случайно отправили данные по неправильным адресам электронной почты. В России же 96% случаев - это утечки списков, и только 4% - баз. Во всех инцидентах списки утекли в результате умышленных нарушений.
Например, в начале апреля в WhatsApp распространили персональные данные жителей подмосковного города Луховицы, заразившихся коронавирусной инфекцией. Были перечислены полные имена, даты рождения, домашние адреса, а также мобильные и домашние телефоны больных, данные о госпитализации. А в конце апреля утечка персональных данных заболевших, а также сдавших тесты на COVID-19, произошла в Якутии. Ее подтвердили в правительстве республики.
В мае в одном из телеграм-каналов появились сканы списков 243 сотрудников петербургского НИИ скорой помощи имени Джанелидзе, заразившихся коронавирусом. В пресс-службе столичного департамента информационных технологий заявили, что с начала 2020 года утечек персональных данных из информационных систем московского правительства не происходило, информсиситемы правительства Москвы защищены и имеют аттестат соответствия требованиям по безопасности информации.
Эксперты между тем утверждают, что количество утечек может быть связано не столько с размером ответственности, сколько с общим непониманием того, какие данные защищаются законом и как с ними следует обращаться. Кроме того, в России отсутствуют адекватные штрафы для организаций, допустивших утечку персональных данных, и не сложилось понимание необходимости защиты персональных данных в электронных системах. В результате сетевые облачные хранилища, используемые компаниями в том числе для обработки персональных данных, защищены слабо: из интернета можно выкачать до трети корпоративных баз данных, даже не имея особых хакерских навыков.
Замруководителя лаборатории компьютерной криминалистики Group-IB Анастасия Баринова полагает, что злоумышленники целенаправленно похищают данные о больных коронавирусом в том числе в связи с повышенным интересом общества к этой теме. Кроме того, медицинские данные в целом защищены хуже, чем банковские: утечки грозят банкам не только штрафами, но и репутационными рисками. Нарушению стандартов обработки и хранения персональных данных способствовал и внештатный режим работы многих организаций во время эпидемии: наличие коллег, службы безопасности и камер зачастую действуют на потенциальных злоумышленников как сдерживающий фактор.
В июле стало известно, что утечки данных диагнозов, адреса и номера телефонов пациентов с COVID-19 произошли как минимум в 18 регионах. После этого Telegram-каналы, СМИ и даже сами чиновники на официальных сайтах публиковали карты с обозначением домов, где живут заболевшие. Источниками утечки, предположительно, были те, кто имеет доступ к данным - сотрудники полиции, Роспотребнадзора, больницы и медработники.