Сотрудник медицинского учреждения в американском Нашвилле случайно опубликовал персональную информацию ВИЧ-инфицированных пациентов. Материалы включали целый набор приватных данных — от номеров социального страхования и адресов до подробностей интимной жизни.

Как выяснили журналисты, утечка произошла в июле прошлого года, когда работник Metro Public Health Department захотел отправить некие материалы на анализ своему коллеге. Он перенес информацию с защищенного сервера в общую папку, где они оказались доступны 500 сотрудникам учреждения.

Виновник инцидента выгрузил данные из базы Центра по контролю за заболеваниями и профилактикой ВИЧ. Он ведет реестр инфицированных граждан с 1983 года, собирая их контакты, результаты медицинских обследований, опыт употребления наркотиков и информацию о сексуальной ориентации. Новые пациенты попадают в базу автоматически по подтверждении диагноза, даже если потом не обращаются за помощью.

Именно эти данные и скомпрометировал сотрудник Metro Public Health. Ответственные лица не раскрывают число пострадавших граждан — известно только, что они проживают в 12 округах штата Теннесси. Файлы оставались в открытом доступе на протяжении девяти месяцев, пока в апреле 2017 года ошибку не заметил другой сотрудник.

Представитель Metro Public Health уверил общественность, что за это время документы не попали в ненадлежащие руки — базу не открыл даже тот специалист, которому изначально планировалось ее отправить.

«Во-первых, для хранения этой информации используется малоизвестный формат SAS, с которым работают только восемь государственных специалистов, — пояснил он. — Во-вторых, согласно метаданным файлов, они не были модифицированы с тех пор, как прошлым летом оказались в публичной папке».

По информации журналистов, сервер Metro Public Health не позволяет отслеживать все действия с хранящимися данными. Хотя технически инструмент для такого контроля в системе есть, на протяжении инцидента эта функция не работала. Это означает, что базу можно было скопировать, не оставляя каких-либо улик. Программное обеспечение для работы с файлами SAS доступно для скачивания в Интернете.

Представители Управления здравоохранения штата Теннесси подтвердили СМИ, что знают о произошедшем, однако собственное расследование вести не планируют. Представители ВИЧ-сообщества выразили беспокойство случившимся, отметив, что для многих зараженных граждан конфиденциальность имеет большую ценность, чем жизнь. В настоящий момент они ведут консультации с адвокатами, чтобы принять решение о судебных разбирательствах.

В апреле ИБ-специалисты нашли в Интернете 1,5 млрд приватных документов, которые оказались в свободном доступе по ошибке пользователей. На результаты медицинские данные, в частности результаты обследований, пришлось 2,2 млн файлов. Другие конфиденциальные материалы включают описания коммерческих патентов, отчеты по итогам ИБ-аудитов, налоговые формы и зарплатные листы.

Категории: Другие темы