В специализирующейся на генетических тестах компании произошла крупная утечка данных
Из базы данных биотехнологической компании Asper Biogene, которая занимается генетическим тестированием, была незаконно скачана информация о состоянии здоровья людей, сообщила в четверг Государственная прокуратура. Из базы данных были загружены персональные сведения и данные о здоровье порядка 10 000 человек.
Лыунаская префектура начала уголовное расследование с целью сбора доказательств незаконной загрузки файлов, содержащих информацию о здоровье людей, из базы данных компании, занимающейся генетическим тестированием. Инспекция по защите данных приступила к надзорному производству в отношении обработчика данных.
В середине ноября предприятие Asper Biogene сообщило полиции, Государственному департаменту информационных систем и Инспекции по защите данных, что 11 ноября компания узнала, что кто-то незаконно проник в их базу данных и скачал различные файлы.
Из базы данных скачали примерно 100 000 копий различных файлов, содержащих, по текущим сведениям, персональную и медицинскую информацию около 10 000 человек. Эти люди будут уведомлены о произошедшем лично. Некоторые файлы содержали результаты генетических тестов, которые медицинские учреждения и частные лица заказывали у предприятия. Работа по выявлению точного содержания данных все еще продолжается. Компания Asper Biogene успешно провела сотрудничество с полицией для выяснения обстоятельств.
По словам старшего прокурора Лыунаской окружной прокуратуры Кретель Тамм, имеющиеся доказательства свидетельствуют о том, что атака с целью получения данных была преднамеренной и хорошо продуманной.
"С момента возбуждения уголовного дела и до настоящего времени мы провели срочные процессуальные действия как в Эстонии, так и в рамках международного сотрудничества, чтобы зафиксировать следы преступления и попытаться установить виновника преступления, – сказала Тамм. – И хотя каждое нажатие клавиши оставляет след в виртуальном мире, киберпреступления обычно очень профессиональны – они тщательно планируются, а следы заметаются. Как правило, целью является получение преступных доходов. В описываемом случае после нападения предприятию было предъявлено финансовое требование, после чего компания обратилась в полицию".
Глава криминального бюро Лыунаской префектуры Райн Восман заявил, что преступники действовали умело и получили доступ к базам данных компании. "В сотрудничестве с другими учреждениями мы в настоящее время сопоставляем полный масштаб утечки данных. Преступники также предъявили требование о выкупе, и, я подчеркиваю, что в такой ситуации деньги платить ни в коем случае нельзя. Это побуждает их продолжать действовать, но не гарантирует, что данные будут возвращены или что преступник удалит их сам. О вымогательстве необходимо немедленно сообщать в полицию, как это было сделано и в данном случае. Каждая компания или поставщик услуг, которые имеют дело с персональными или медицинскими данными, должны обеспечить должное хранение информации в своих руках, что предполагает наличие современных и защищенных информационных систем", – сказал Восман.
По словам Восмана, полиция начала сбор доказательств для установления личности преступника и привлечения его к ответственности с помощью прокуратуры. "У нас в работе несколько версий, идет тесное сотрудничество с учреждениями в Эстонии и за рубежом. В данном случае компания Asper Biogene повела себя наилучшим образом, проинформировав полицию и другие учреждения о кибератаке. В настоящее время компания устранила проблему безопасности на сервере", – сказал Восман.
"Требование выкупа было финансовым требованием, в рамках которого угрожали тем, что данные, находящиеся в руках преступника, будут раскрыты, а репутация компании испорчена. Такие требования нельзя выполнять", – подчеркнул Восман. Он сказал, что существует несколько версий, но ради следствия полиция не раскрывает подробностей и проверяет все детали.
Инспекция по защите данных зарегистрировала 15 ноября полученное от Asper Biogene сообщение об утечке данных. Все пострадавшие лица, которых можно идентифицировать на основании украденных данных, будут лично уведомлены поставщиками медицинских услуг. Большинство уведомлений будут отправлены в течение дня в четверг (14 декабря).
Генеральный директор Инспекции по защите данных Пилле Лехис заявила, что это самая большая утечка данных на данный момент, учитывая количество пострадавших. "Кроме того, пострадали 40 медицинских компаний, среди прочего, утечка касается тестов на отцовство и исследований бесплодия. Однако инцидент не связан с проектом генофонда", – сказала она.
Больше всего пострадали Ида-Таллиннская центральная больница, Клиника Тартуского университета и клиника Elite.
"Последствия утечки данных можно было бы смягчить, если бы информация была зашифрована, или вместо имен были псевдонимы. К сожалению, произошедшее показывает, что угрозы в киберпространстве по-прежнему не воспринимаются всерьез. Успешные внешние атаки на организации и сопутствующие им последствия не должны восприниматься как неизбежные. Обязанность каждого обработчика данных – обеспечить, среди прочего, их целостность и конфиденциальность. За данными стоят реальные люди и их жизни, которые могут сильно пострадать в таких ситуациях. Защита данных важна, и мы все несем ответственность за их безопасность", – отметила Лехис.
Лехис добавила, что в ходе уголовного производства также будут проверены поставщики медицинских услуг, которые являются ответственными обработчиками данных. По ее словам, люди, пострадавшие от утечки информации, должны быть очень осторожны с электронными письмами, в которых упоминаются их генетические данные. "Нам известен случай в Финляндии, когда произошла утечка данных из психиатрической больницы, после чего последовали конкретные вымогательства", – привела пример Лехис.
Уголовное дело возбуждено по статье Уголовного кодекса о незаконном доступе к компьютерной системе.
По словам Тамм, преступник может быть оштрафован или приговорен к лишению свободы на срок до трех лет.
Лехис добавила, что размер штрафа для компании зависит, среди прочего, от масштаба утечки. "О цифрах говорить пока рано", – сказала Лехис. Она отметила, что люди, пострадавшие от преступления, могут обратиться в гражданский суд за возмещением ущерба, если им будет причинен материальный или моральный ущерб.
Медицинские учреждения уже начали рассылать уведомления пациентам, данные о состоянии здоровья которых подверглись утечке. Например, в письме, отправленном PERH, говорится, что потерпевший имеет право спросить, какие именно данные у него были украдены. Кроме того, если кража данных причинила ущерб, человек может сообщить о характере и масштабе ущерба.
Добавлен видеосюжет корреспондента "Актуальной камеры" Марка Дорфманна.
Редактор: Ольга Звягинцева