"За утечку медицинских данных казахстанцев никто не отвечает". Минздрав хочет привлечь ЦАРКА к ответственности за это заявление

Центр анализа и расследования кибератак (ЦАРКА) заявил об утечке данных аудиозаписей с медицинскими данными казахстанцев и об отсутствии наказания за это. В ответ Министерство здравоохранения Казахстана обратилось в КНБ с заявлением о привлечении ЦАРКА к ответственности за якобы ложные заявления.

ЦАРКА обеспокоился изменениями в части информационной безопасности в новом Кодексе о здоровье народа и системе здравоохранения. В частности, специалисты отмечают, что в новом законе появилась возможность уклонения от ответственности за утечку персональных и медицинских данных.

В качестве примера ЦАРКА приводит аудиозаписи контактного центра подрядной организации Минздрава – "1430" (записи имеются в распоряжении редакции), которые появились в общем доступе.

"Уязвимость "Системы контроля качества в сфере здравоохранения" стала причиной крупной утечки персональных и медицинских данных. Только за 2020 год в системе уже накопилось порядка 24 500 аудиозаписей телефонных разговоров и десятки гигабайт персональных данных из интегрированной Государственной базы данных физических лиц", – сказано в заявлении ЦАРКА.

Вся эта информация доступна в интернете любому неавторизованному пользователю уже больше полугода и позволяет получать доступ к колоссальному объёму накопленной Министерством здравоохранения информации, отметили в ЦАРКА.

"За эту утечку персональных и медицинских данных никто ответственности не понесёт. Причина проста до банальности: новый Кодекс о здоровье составлен таким образом, что данные казахстанской системы здравоохранения не попадают под общее регулирование персональных данных", – пояснили в ЦАРКА.

В новом кодексе появляются новые понятия – "персональные медицинские данные" и "агрегатор персональных медицинских данных", отметили в ЦАРКА.

"Этот фокус легко позволяет уклоняться от ответственности ввиду отсутствия таких определений в законе о персональных данных. Закон знает только "персональные данные" и "оператора персональных данных", а регулятор не сможет выйти за пределы своей компетенции. В результате Минздрав и его подрядная компания ТОО "1430.kz" могут спокойно жить в своей параллельной и нерегулируемой отрасли, игнорируя общестрановые правила обработки персональных данных", – заключили в ЦАРКА.

Вице-министр здравоохранения РК Олжас Абишев не дал пояснений по новшествам в кодекса в части информационной безопасности. Он лишь обвинил ЦАРКА в распространении якобы ложной информации.

Чиновник считает, что контакт-центр "1430" – частная компания, которая не имеет отношения к Минздраву, несмотря на то, что медучреждение обслуживает казахстанцев по системе ОСМС. Также Абишев открестился и от государственной базы данных физлиц. По его словам, это государственная информационная система Министерства юстиции.

"На ресурсах Минздрава мы никогда не хранили и сейчас не планируем хранить аудиозаписи call-центра. То есть эта компания "1430" к Минздраву отношения не имеет. То есть мы не знаем, что за частная компания такая и почему на Минздрав ссылается. У нас сейчас все системы работают в штатном режиме, никакой утечки у нас за 2020 год и по сей день нет. Да, у нас ежемесячно происходят атаки, более 200 атак ежемесячно, но на данный момент ни одной утечки либо нарушения информбезопасности у нас нет. Это я вам официально заявляю и ЦАРКА могу это всё официально предъявить об их, получается, ложном заявлении", – сказал Абишев.

Абишев заявил, что официально предъявит претензии ЦАРКА.

"Мы им сейчас официально предъявим претензии, и пускай они сами дальше оправдываются уже перед уполномоченными органами в рамках информбезопасности. У нас есть Комитет национальной безопасности, у них есть гостехслужба уполномоченная, при Министерстве цифрового развития – Комитет информбезопасности, вот туда мы все материалы перешлём, и пускай ЦАРКА перед ними отчитывается, почему они такие ложные заявления делают", – сказал Абишев.

Вице-министр добавил, что в Минздраве нет системы контроля качества в сфере здравоохранения, о которой говорится в сообщении ЦАРКА.

"У нас такой системы нет, мы не знаем такого. Мы сейчас дальше в правовом поле с ЦАРКА будем разбираться, и пускай они за каждое своё заявление официально несут законодательную ответственность", – заключил он.

В пользовательском соглашении на сайте 1430.kz сообщается:

Оператор не несёт ответственности за возможное нецелевое использование персональных данных пользователей, произошедшее из-за технических неполадок в программном обеспечении, серверах или компьютерных сетях, находящихся вне контроля оператора, перебоев в работе сайта, в том числе связанных с намеренным или ненамеренным использованием сайта не по назначению третьими лицами.

Ранее президент Казахстана Касым-Жомарт Токаев отметил недоработки в цифровизации системы здравоохранения.