Куда сообщить об уязвимости персональных данных из городских поликлиник?

Question

[HackOwnB]

Добрый день/вечер.
Хотел бы задать Вам вопросы по поводу тех сведений, которые я Вам предоставлю.
У меня будет 2 вопроса на эту тему.
1)Куда следует обращаться по данной проблеме?
2)Конфиденциальна ли эта информация, или тут нету ничего такого?
Суть в том, что можно получить доступ к практически любым сведениям. Вплоть до всех финансовых отчетностей всех поликлиник в городе X. Конечно придется немного попотеть, но желаемого результата добиться.
Прикреплю несколько файлов для того, чтобы Вы смогли ответить на мои вопросы. Заранее благодарю Вас за предоставленные ответы.
1. Из названия, все становится ясным. Данные, вплоть до 2016 года.
2. Фин. отчет(1), взял самые старые данные. Так же есть данные, вплоть до 2016 года.
3. Фин. отчет(2). Так же есть данные, вплоть до 2016 года.

Так же, есть данные пациентов с паспортами(серия, номер), номера полисов, внутренних справок, стоимость услуги, наименование услуги, статус лечения и прочие вещи. Закупка или оплата тех или иных услуг. ФИО с датой рождения, с №полиса и местом проживания/прописки каждого человека, который обратился в ту или иную поликлинику.
3-й, дополнительный вопрос. Как Вы думаете, о чем вообще думает наше государство, которое говорит нам о том, что все наши данные под серьезной защитой?

Comments

[Stan Marsh]

Ты ещё не видел убожество bus.gov.ru

Answer 1

[Сергей]

Прокуратура. Дело в том что сбор и хранение персональных данных налагают определенные обязательства. И контроль за этим ведется со стороны прокуратуры.

Answer 2

[АртемЪ]

Суть в том, что можно получить доступ к практически любым сведениям. Вплоть до всех финансовых отчетностей всех поликлиник в городе X. Конечно придется немного попотеть, но желаемого результата добиться.

В прокуратуру разумеется. Статья вам обеспечена, будьте уверены.

Comments

[lakegull]

Не пугайте человека, ему ничто не угрожает

[АртемЪ]

lakegull: Как это не угрожает?
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

[АртемЪ]

Ну и еще 137 статью, как нефиг делать, за распространение сведений о частной жизни лица.
В вопросе идет явное распространение, и его можно использовать против автора вопроса.

Хотя учитывая тот факт, что он сам собирается явиться с повинной, то срок ему скостят.

[АртемЪ]

Человек взломал сеть больницы, незаконно получил доступ к сведениям составляющим врачебную тайну, опубликовал их, и открыто в этом признался. И не отрицает факт совершения правонарушений.

И вы хотите сказать что правоохранительные органы не поступят в соответствии с законом, и замнут дело?

Answer 3

[Артем]

Как уже было сказано до меня - обращайтесь в прокуратуру. Ссылайтесь на федеральные законы 152-фз "О персональных данных" и 323-фз "об основах охраны здоровья граждан в РФ" (в 323 закреплено понятие врачебной тайны).
Любые сведения, полученные медработником от пациента в процессе медобследования и лечения являются врачебной тайной.

Дыру прикроют, но накажут вряд ли, спишут на несовершенность компьютерных систем и т.п.

Comments

[АртемЪ]

Накажут однозначно, реальный срок может и не дадут, но что накажут, это точно.

[HackOwnB]

АртемЪ: почему накажут? тогда какой смысл мне тратить свое время?

[АртемЪ]

HackOwnB: Как это почему накажут? Вы взломали сеть больницы, похитили личные данные.
Это уголовная статья. Если не повезет то можно и реальный срок отхватить, но чаще условными отделываются.

А какой смысл вам тратить свое время на взлом и последующие походы в прокуратуру это у вас спросить надо, мне это неведомо.

[lakegull]

АртемЪ: молодой человек, притормозите. Вы сейчас в зоне риска попасть под статью за распространение неверных сведений, клевету и введение человека в заблуждение.

[АртемЪ]

lakegull: Уважаемый, вы хотите сказать, что я зря на юридическом отучился пять лет?
Я хоть и не практикую, но знания то никуда не делись.
Я конечно не могу предсказать как именно квалифицирует прокуратура данное деяние в данном случае, это уж как повезет.
Но что накажут - однозначно.

[lakegull]

Я хочу сказать что вы зря пять лет отмучились и не практиковали. Я вам уже ответил, что за клевету вы сильно рискуете попасть под статью. Когда такое пишите, хотя бы используйте в предложениях "возможно", "я так считаю", я где то слышал", чтобы юридически к вам прикопаться нельзя было. Вы сейчас ставите под сомнение правомерность деятельности органов государственной власти, выставляя их в плохом свете. Возможно за ваши комментарии здесь вас не накажут, но смею предположить, что когда-нибудь в вашей жизни может подвернуться ситуация, когда вы оброните неверное слово в порыве страсти и вас накажут однозначно.

Answer 4

[other_letter]

1. ПдН (персональные данные) тут есть, ибо есть ФИО и адрес как минимум. Есть ещё дата рождения опять же.
2. Обращаться в надзорный орган. Это не прокуратура, не РКН. Госконторы в этом направлении надзирает ФСБ в лице "дочки" ФСТЭК.
3. Уголовного преследования не опасайтесь. Вы добросовестный гражданин. Максимум - могут дёрнуть на личную встречу подписать бумаги какие-нибудь. Ни в какой реестр "умельцев" не попадёте.

Что конкретно делать:
1. Идёте на сайт ФСБ
2. Пишете через форму обращения гражданина в свободной форме + пара скриншотов.
3. Подписываетесь. Можно в общем-то леваком, но чтобы была не анонимка.
4. Скорее всего всё.

Comments

[АртемЪ]

3. Уголовного преследования не опасайтесь. Вы добросовестный гражданин.

Добросовестный гражданин взломавший сеть предприятия, получивший незаконный доступ к персональным данным, и данным составляющим врачебную тайну, и частично выложивший эти данный в открытый доступ?

Очень добросовестный гражданин.

[other_letter]

АртемЪ: взлом - это УК, верно. Но как и прочие преступления его надо доказывать. А называть человека нарушившим УК без решения Суда по этому вопросу - вообще-то клевета.

Доступ получил. Верно. Но в этом факте нет ничего наказуемого.

Выложил, соблюдя все необходимые процедуры - в его материалах нет конфиденциальных сведений.

Гражданин исключительно добросовестный, натуральная белая шапка как есть.

[АртемЪ]

other_letter: Зачем доказывать, если человек сам признался? Где здесь клевета?

Почему вы решили что в факте получения доступа нет ничего наказуемого?
Если вы зашли на компьютер принадлежащий другому человеку или организации, без его ведома и разрешения - это уже нарушение закона.
Опубликовали эту информацию - тоже нарушение закона.

Какие именно необходимые процедуры были соблюдены? И где именно в законе эти самые процедуры прописаны?

Я бы согласился если бы человек случайно получил доступ - шел увидел, сообщил.
Но в данном случае, как явно следует из вопроса - человек получил доступ намеренно.

[АртемЪ]

Цитирую автора вопроса - "Суть в том, что можно получить доступ к практически любым сведениям. Вплоть до всех финансовых отчетностей всех поликлиник в городе X. Конечно придется немного попотеть, но желаемого результата добиться."

Думаю тут все однозначно, автор говорит, что если приложить усилия то можно получить доступ к финансовой информации и личным данным, предупреждает что это будет непросто, но возможно.

У автора есть право на получение доступа к этой информации?
Он спросил разрешения у организации которая хранит эти данные?
А разрешения у людей, личные данные которых опубликовал?

Налицо осознанное, намеренное нарушение закона.
А уж с благими целями или нет это уже другой вопрос.

[other_letter]

1. Клевета - это утверждать, что человек преступник, пока этого не решил Суд.
2. Вы вообще о каком законе?
3. Человек не писал, что намеренно. Человек написал, что получил и может получить ещё. Это важно, это принципиальный момент. Нет никаких упоминаний о взломах, использовании чего-то незаконного и так далее. Это называется "цель деяния".
4. Есть ли право у этого человека на этот доступ? Этого мы не знаем. И он не знает. Доступ есть, а право на него юридически нигде не ограничено.
5. И, блин, благая цель - не другой, а опять же принципиальный вопрос. В уголовном производстве это называется "мотив".

АртёмЪ, будьте добры - откройте свою "ветку" и пишите там. Я не в курсе какой Вы специалист в других областях, но в Юриспруденции, Законе и Судопроизводстве Вы не разбираетесь.

[Сергей]

человек может специализироваться на аудите безопасности. если вы проносите муляж бомбы на борт самолета. то вам ничего не будет(если не будет паники ... вас не пристрелят .. ну и тд). тут так же. как добропорядочный гражданин он решил провести аудит системы здравоохранения. потому-что он заметил ... там-то там-то данный факт. его действия не нанесли никакого ущерба (кроме репутационного). таким образом по головке конечно не погладят. но так как он предотвращает возможный вектор атаки на данные. то на это закроют глаза.

[other_letter]

Сергей: В целом поддерживаю. С поправкой - не проносит муляж, а проходит в незапертую дверь, куда ему не разрешали (но и не запрещали).

[Schullz]

Сергей: а в 272 статье и не требуется, чтобы ущерб был: "Неправомерный доступ к охраняемой законом компьютерной информации <...>, если это деяние повлекло <...> копирование информации"