Получить доступ к данным анализов можно было предельно просто: для этого не нужны были навыки программиста или хакера. Информацию об уязвимости сайта alfalab.md NM получил от одного из пациентов, который сам какое-то время назад сдавал анализ в лаборатории и случайно обнаружил, что данные с результатами анализов никак не защищены и находятся в открытом доступе.

В любом браузере в адресной строке можно было ввести сайт медицинской лаборатории, а затем перейти к разделу «О нас» на главной странице и открыть органиграмму компании. Она представляет собой загруженный на сайт файл с адресом в поисковой строке.

Далее стоило лишь в этой строке поменять одну или несколько цифр, как на экране появлялся документ с результатами анализа любого пациента медицинской лаборатории. Самый ранний доступный результат, который удалось отследить NM, датируется декабрем 2021 года. Самый поздний — за ноябрь 2024 года. То есть в общем доступе находилась информация о результатах анализов пациентов минимум за три года.

По оценкам it-эксперта, изучившего базу данных, речь идет о тысячах результатов анализов.

При этом, согласно информации на сайте о политике конфиденциальности и защите персональных данных, лаборатория собирает личные данные, которые могут идентифицировать ее клиентов, только если они сами решат их предоставить.

Персональные данные, как утверждается на сайте, «используют только те представители Alfa diagnostica, которым эта информация необходима для оказания услуг, для ответа на ваш вопрос или запрос, для анализа данных с целью улучшения качества услуг».

На сайте лаборатории можно было свободно получить доступ к результатам анализов, сделанных и в самой лаборатории Alfa diagnostica, и в молдавских государственных и зарубежных частных лабораториях, с которыми у компании есть контракт.

Например, на сайте alfalab.md были доступны множество результатов анализов взрослых и детей на пищевую аллергию (анализы крови на определение уровня антител IgG4). В них указаны продукты, к которым у пациента сформировалась непереносимость: например, яичный желток, коровье молоко, креветки. Эти тесты делают в лаборатории Alfa diagnostica. Как и тесты на другие типы аллергии: на домашнего клеща, яды насекомых, латекс и пыльцу деревьев.

В открытом доступе были доступны и результаты PAP-тестов, с помощью которых можно определить предраковые или раковые клетки во влагалище и шейке матки. Делают эти тесты в Республиканском центре медицинской диагностики по контракту с лабораторией Alfa diagnostica. Были также доступны сотни результатов исследования кишечного дисбактериоза, сделанные по контракту в Наццентре общественного здоровья (ANSP). Причем доступны были не только результаты анализов, но и персональные данные пациента.

Кроме этого, любой мог получить доступ к сотням тестов, сделанных в немецких лабораториях — партнерах Alfa diagnostica. Результаты и этих анализов тоже не были защищены.

Например, можно было обнаружить в открытом доступе результаты тестирования на выявление рассеянного склероза (олигоклонального IgG с помощью изоэлектрофокусирования). Этот тест сделали в октябре 2023 года в медицинской лаборатории MVZ Labor Limbach Berlin GbR в Германии по запросу Alfa diagnostica.

В свободном доступе были и результаты HARMONY TEST, которые делают беременным женщинам. Тесты на генетический скрининг у плода синдромов Дауна, Эдвардса, Патау и других делают в немецкой лаборатории Cenata GmbH в Тюбингене.

Часть этих данных утекла в поисковики: например, анализы пациентов лаборатории можно было найти в поисковом браузере DuckDuckGo.

За десять минут любой посетитель мог скачать целую базу данных сотен пациентов клиники, среди которых несовершеннолетние дети.

После того как NM обратился в администрацию лаборатории, там изменили ссылку файла «Органиграмма» и скрыли результаты тестов своих пациентов. Пока на сайте была в открытом доступе база данных с результатами анализов и личными данными мы не могли по этическим причинам опубликовать этот материал. При этом, как сообщили в Alfa diagnostica, компания не знала об уязвимости данных и впервые услышала об этом от команды редакции NM на личной встрече с представителями компании 6 декабря.

После этого сотрудники компании предложили встретиться с редакцией NM, чтобы предоставить реплику. Однако затем сообщили, что не могут встретиться и отправили реплику в письменном виде. Приводим текст письма Alfa diagnostica без изменений:

Публикация в открытом доступе или раскрытие личных данных пациентов медучреждений — нарушение законодательства Молдовы. Согласно принятому более 10 лет назад закону «О защите персональных данных», сведения о состоянии здоровья попадают под особую категорию персональных данных. Следит за исполнением закона специальный орган — Национальный центр защиты персональных данных (CNPDCP).

В CNPDCP в ответ на запрос NM подчеркнули, что персональные данные о состоянии здоровья заслуживают повышенной защиты, так как их ненадлежащая обработка может негативно сказаться на пациентах.

В Наццентре также сообщили, что проведут проверку в компании Alfa diagnostica, которая управляет одноименной клиникой.

«Технические и организационные меры, принятые оператором персональных данных, в случае S.R.L. Alfa diagnostica не обеспечили надлежащий уровень защиты персональных данных от уничтожения, изменения, блокирования, копирования, распространения, а также других незаконных действий, в соответствии с положениями статьи 30, пункта (1) закона № 133/2011 “О защите персональных данных”. На этом основании Национальный центр защиты персональных данных инициировал проверку соответствия обработки персональных данных требованиям законодательства», — сообщили в CNPDCP.

Национальное законодательство не устанавливает напрямую санкции за утечку или публичное раскрытие персональных данных. Но за несоблюдение правил обработки персональных данных предусмотрены штрафы.

«Простое упоминание того, что человек получил травму ноги и находится в отпуске по медицинским показаниям, является персональными данными, касающимися состояния здоровья», — говорится в инструкции Наццентра защиты персональных данных.

Случай Alfa diagnostica и доступ к личным данным пациентов частных лабораторий — не первый в Молдове. В 2021 году NewsMaker писал о том, что при сканировании QR-кода с результатами теста на COVID, полученными на специальном бланке в диагностическом центре Invitro, персональные данные клиента оказывались в общем доступе.

Человек, получивший при сканировании QR-кода ссылку с доступом к онлайн-версии своего сертификата, мог в адресной строке самостоятельно изменить цифры этой ссылки и получал доступ к результатам анализов совершенно посторонних людей.

Тогда гендиректор диагностического центра Invitro Марин Балануцэ сказал NM, что ему известно о проблеме, а ее решением занимается разработчик сайта. Балануцэ также назвал проблему «не такой серьезной».

«У вас в любом случае не получится достать информацию за весь период и получить полную базу наших данных. Есть определенные стыковки даты посещения и номера, не позволяющие это сделать», — добавил директор лаборатории.

Однако эта «не такая серьезная» проблема привлекла внимание Национального центра защиты персональных данных. NM выяснил, что в том же 2021 году CNPDCP составил против Invitro протокол об административном правонарушении и обязал компанию выплатить штраф.

«Установлено, что указанная лаборатория, осознавая необходимость соблюдать законодательство в области защиты персональных данных, приняла необходимые меры для устранения описанной ситуации», — говорится в отчете CNPDCP за 2021 год.

Работающий в США технический менеджер, уроженец Молдовы Александр Сариогло отметил в беседе с NM, что защита данных — одна из ключевых задач компаний, работающих с информацией, особенно такой чувствительной, как медицинские данные.

Он подчеркнул, что надежная защита данных должна начинаться с эффективной системы аутентификации и авторизации, а простого логина и пароля зачастую бывает недостаточно. «Доступ к документам не должен осуществляться по прямым ссылкам. Вместо этого важно использовать API-защиту, шифрование и другие методы, которые проверяют права пользователя и ограничивают доступ к чужим данным», — пояснил эксперт.

По его мнению, утечка медицинских данных представляет особую угрозу. «Медицинские данные уникальны. Попадание в чужие руки информации о здоровье нельзя компенсировать, как, например, кражу кредитной карты», — подчеркнул Александр Сариогло.

По его словам, злоумышленники часто используют медицинскую информацию для мошенничества, дискриминации и шантажа. Зная диагноз или состояние здоровья, они могут оказать давление на человека, а в некоторых случаях — продать эти данные третьим лицам.

При этом он отметил, что многие компании игнорируют необходимость защиты данных на этапе разработки систем, и это приводит к катастрофическим последствиям после взлома. «В бизнесе часто недооценивают важность защиты данных. Но для компаний, работающих с медицинской информацией, безопасность необходимо заложить с самого начала. Это не только этика, но и необходимость», — заключил эксперт.

А заместитель народного адвоката Оксана Гуменная акцентировала внимание на медицинской этике.

Компании по всему миру сталкиваются с утечкой медицинских данных. В 2018 году Европейский союз принял Общий регламент защиты персональных данных (General Data Protection Regulation — GDPR) и ужесточил наказание за подобные инциденты. Компаниям, которые не соблюдают правила обработки персональных данных, грозят штрафы до €2 млн.

В 2022 году Орган защиты данных Испании (AEPD) оштрафовал на €220 тыс. медицинскую компанию DKV Seguros y Reaseguros за нарушение GDPR. Дело в том, что с апреля 2020 года по март 2021 года сотрудники компании отправили 51 электронное письмо с конфиденциальными медицинскими данными лицу, которое не являлось предполагаемым получателем, при этом компания не уведомила AEPD об утечке данных после ее обнаружения. Впоследствии сумму штрафа снизили до €132 тыс. — компания признала свою вину и добровольно оплатила штраф.

Кроме случайных утечек, здравоохранение — частый объект кибератак. В 2024 году в результате атаки программы-вымогателя на подразделение одной из крупнейших в США компаний медицинского страхования UnitedHealth Group, украли, предположительно, персональные данные трети американских граждан.

В ходе многочасовых слушаний в Сенате и Палате представителей США в мае 2024 года глава компании UnitedHealth Group извинился перед пациентами и врачами и признал, что хакеры проникли в базу данных через плохо защищенный компьютерный сервер. Он подтвердил, что санкционировал выплатить злоумышленникам выкуп $22 млн, сообщал Голос Америки.

Согласно отчету компании IBM, с 2011 года медицинский сектор возглавляет рейтинг финансовых затрат, связанных с утечками данных. Затраты могут включать расходы на устранение последствий утечки, восстановление систем, уведомление пострадавших, штрафы, судебные издержки и репутационные потери. Средняя стоимость этих расходов в 2024 году составила $9,77 млн. Для сравнения, средняя стоимость тех же затрат в финансовом секторе составляет $6,08 млн, в промышленности — $5,5 млн, в медиасекторе — $3,9 млн.

«Здравоохранение остается для злоумышленников целью, поскольку отрасль часто страдает от существующих технологий и крайне уязвима к сбоям, что может поставить под угрозу безопасность пациентов», — говорится в отчете IBM «Стоимость утечки данных».