Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Татьяна Никитина 16 Декабря 2020 - 08:49

...

Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Две тысячи серверов, совокупно хранящих 45 млн рентгеновских снимков и других результатов медицинских обследований, в течение года находились в публичном доступе без каких-либо средств защиты. На некоторых из этих ресурсов были обнаружены откровенно вредоносные скрипты.

Выявить масштабный слив конфиденциальной информации помогло исследование, проведенное в CybelAngel — компании, специализирующейся на предоставлении услуг по управлению рисками. Целью исследования являлось определение уровня защищенности сетевых хранилищ (NAS) и связи по протоколу DICOM (Digital Imaging and COmmunications in Medicine) — стандарту де факто, который медики используют для передачи и обработки данных.

За полгода аналитики просканировали около 4,3 млрд IP-адресов и выявили более 2140 общедоступных серверов, на которых суммарно хранилось свыше 45 млн уникальных DICOM-изображений. Эти серверы были размещены в 67 странах, в том числе в США, Великобритании, Франции и Германии.

Каждый медицинский скан сопровождался записью, содержащей персональные данные пациентов, а также сведения о состоянии здоровья, полученной медицинской помощи и оплате таких услуг. В большинстве случаев доступ к этой информации не требовал пароля, а на порталах, предусматривающих регистрацию, войти можно было, не заполняя поля логина и пароля.

Как оказалось, специализированные сервисы тоже не застрахованы от ошибок, грозящих утечками. Один из поставщиков платных услуг по безопасному хостингу DICOM-изображений забыл защитить службу NFS (Network File System, сетевая файловая система) на порту 2049 и в итоге слил в интернет порядка 500 тыс. файлов.

Исследователи предупреждают, что публичный доступ к конфиденциальным данным провоцирует мошенничество, вымогательство и шантаж. Халатное отношение к защите такой информации также может грозить провайдеру санкциями — за нарушение GDPR (General Data Protection Regulation, регламент ЕС о защите данных) или HIPAA (Health Insurance Portability and Accountability Act, американский Закон о сохранении медицинского страхования и персонифицированном учёте в здравоохранении).

Обеспечить безопасность хранения и передачи данных, по мнению экспертов, помогут следующие меры:

введение и контроль соблюдения строгих политик доступа к NAS-устройствам и приложениям для обмена файлами;
сегментация сетей с подключенным к интернету медицинским оборудованием, предельное ограничение доступа к критически важным средствам диагностики;
проведение аудита у подрядчиков для выявления случаев нарушения отраслевых стандартов и нормативов;
проведение работ по оценке защищенности данных, определению рисков и приоритетных проблем с привлечением сторонних экспертов.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Яков Шпунт 26 Марта 2026 - 12:04

Соответствие законодательству РФ Общее

Инициатива Минцифры по помощи вузам рискует снизить инвестиции ИТ-компаний

По оценкам участников отрасли, требование Минцифры направлять вузам 3% от средств, сэкономленных за счёт налоговых льгот, может привести к сокращению инвестиций ИТ-компаний в образование и науку на 30–50%. Представители рынка считают, что предложенный министерством механизм сужает круг возможных направлений для поддержки и тем самым снижает вклад бизнеса в формирование кадрового резерва отрасли.

Это требование Минцифры появилось в декабре 2025 года. К июню компании со штатом более 100 человек и выручкой свыше 1 млрд рублей должны будут заключить соглашения с профильными вузами о финансовой поддержке и содействии в подготовке кадров.

В феврале 2026 года был опубликован проект приказа Минцифры, определяющий порядок взаимодействия ИТ-компаний и вузов. В частности, как пишет «Коммерсантъ», участникам рынка предлагается разрабатывать проекты основных образовательных программ, привлекать сотрудников компаний к преподаванию, а также финансировать стажировки, создание контента для школ, программы повышения квалификации и мероприятия в рамках федеральных проектов.

В марте на проект поступили отзывы от ИТ-компаний и профильных объединений. Так, Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» и Российский союз промышленников и предпринимателей заявили, что документ «существенно ограничивает виды поддержки и не в полной мере учитывает интересы сторон». В числе возможных последствий они назвали сокращение текущих расходов компаний на образование и науку на 30–50%, а также сужение перечня образовательных инициатив, которые сможет поддерживать бизнес.

Отраслевые объединения предлагают расширить список допустимых мер поддержки. Среди возможных вариантов — именные стипендии и гранты, организация и проведение хакатонов, передача лицензий на программное обеспечение и оборудования, а также освобождение от НДС всех операций по передаче средств от ИТ-компаний образовательным учреждениям.

Как отметил источник издания на ИТ-рынке, вопрос поддержки образования остаётся для отрасли крайне важным, особенно для крупных компаний. Это связано в том числе с действующими налоговыми и неналоговыми льготами, однако у бизнеса по-прежнему остаётся немало вопросов о том, как учитывать такие расходы.

В Минцифры, в свою очередь, заявили, что включили в проект приказа те меры, которые, по оценке ведомства, дают наибольший эффект. При этом в министерстве добавили, что «вопрос расширения перечня видов мероприятий может быть рассмотрен в дальнейшем».

«Эксперты АРПП проанализировали опыт реализации пилотного проекта, посвящённого взаимодействию ИТ-компаний и образовательных организаций, и сформулировали предложения по доработке инициативы. На рабочей встрече в Минцифры эти предложения были рассмотрены. Сейчас мы ведём совместную работу по совершенствованию проекта», — рассказал исполнительный директор АРПП «Отечественный софт» Ренат Лашин.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!