Руководитель депар­та­мен­та инфор­ма­ци­он­ных тех­но­ло­гий Москвы Эдуард Лысенко заявил, что утеч­ка пер­со­наль­ных дан­ных моск­ви­чей, пере­бо­лев­ших COVID-19, ста­ла след­стви­ем чело­ве­че­ско­го фак­то­ра. В Telegram-канале сто­лич­но­го опер­шта­ба по борь­бе с инфек­ци­ей он сооб­щил, что «взло­мов и какого-либо дру­го­го несанк­ци­о­ни­ро­ван­но­го вме­ша­тель­ства в рабо­ту инфор­ма­ци­он­ных систем Правительства Москвы не было. Утечка про­изо­шла вслед­ствие чело­ве­че­ско­го фак­то­ра: сотруд­ни­ки, кото­рые зани­ма­лись обра­бот­кой слу­жеб­ных доку­мен­тов, допу­сти­ли пере­да­чу этих фай­лов тре­тьим лицам». 

Ранее в СМИ появи­лась инфор­ма­ция о том, что дан­ные несколь­ких сотен тысяч пере­бо­лев­ших коро­на­ви­ру­сом моск­ви­чей ока­за­лись в откры­том досту­пе. В сети появил­ся файл со ссыл­ка­ми на нахо­дя­щий­ся в откры­том досту­пе архив с пер­со­наль­ны­ми дан­ны­ми (име­на, адре­са, теле­фо­ны, меди­цин­ская информация).

Генеральный сек­ре­тарь Партии пря­мой демо­кра­тии Олег Артамонов – о при­чи­нах утеч­ки данных:

Эдуард Анатольевич Лысенко и прав, и неправ одновременно.

Да, при­чи­ной утеч­ки стал чело­ве­че­ский фак­тор – но носи­те­ля­ми это­го фак­то­ра явля­ют­ся, как и в боль­шин­стве подоб­ных слу­ча­ев, не вра­чи, а люди, кото­рые раз­ра­ба­ты­ва­ли и внед­ря­ли инфор­ма­ци­он­ную систе­му для хра­не­ния дан­ных забо­лев­ших, а так­же писа­ли инструк­ции по её использованию.

Как ни стран­но, инфор­ма­ци­он­ная без­опас­ность начи­на­ет­ся не с запре­тов, огра­ни­че­ний и тре­бо­ва­ний паро­ля, содер­жа­ще­го все мыс­ли­мые сим­во­лы одно­вре­мен­но – а с удоб­ства исполь­зо­ва­ния систе­мы. Пользователь не дол­жен еже­се­кунд­но заду­мы­вать­ся о том, поче­му систе­ма опять тор­мо­зит, глю­чит, в ней нет поло­ви­ны нуж­ных функ­ций, но за любое откло­не­ние от инструк­ции к ней его будут наказывать.

Таблицы с паци­ен­та­ми в Google Docs, скрин­шо­ты в чатах WhatsApp и Telegram воз­ни­ка­ют не пото­му, что вра­чи недо­ста­точ­но заду­мы­ва­ют­ся о защи­те пер­со­наль­ных дан­ных – а пото­му, что люди, в чьи обя­зан­но­сти вхо­дит защи­та пер­со­наль­ных дан­ных, не предо­ста­ви­ли этим вра­чам инфор­ма­ци­он­ную систе­му не то что более удоб­ную, а хотя бы срав­ни­мую с Google Docs.

Я рабо­тал несколь­ко лет в круп­ной меж­ду­на­род­ной ком­па­нии, где изме­ри­мая часть рабо­че­го вре­ме­ни сотруд­ни­ков ухо­ди­ла на борь­бу с систе­ма­ми обес­пе­че­ния инфор­ма­ци­он­ной без­опас­но­сти – послед­ние про­сто меша­ли рабо­тать настоль­ко, что дела­ли неко­то­рые необ­хо­ди­мые с точ­ки зре­ния биз­не­са вещи невоз­мож­ны­ми. Невозможно было запи­сать на флэш­ку видео­ро­лик к кон­фе­рен­ции, невоз­мож­но было отпра­вить парт­нё­рам пре­зен­та­цию в трид­цать мега­байт раз­ме­ром, и про­чая, и про­чая. К кон­цу рабо­ты там я знал спо­со­бы обхо­да всех этих защит – про­сто пото­му, что нор­маль­но рабо­тать ина­че было ино­гда невозможно.

Эдуард Анатольевич! Не надо пере­ве­ши­вать вину и обя­зан­ность по рабо­те с инфор­ма­ци­он­ны­ми систе­ма­ми на меди­ков – им сей­час и так непро­сто. Лучше сде­лай­те, что­бы им ста­ло про­ще. Медики долж­ны лечить. Айтишники – раз­ра­ба­ты­вать без­опас­ные и удоб­ные инфор­ма­ци­он­ные систе­мы. Не наоборот.