Фото: Shutterstock.
Врачебная тайна – один из столпов, на котором зиждутся доверительные отношения пациента и доктора во всем мире. По российским законам диагнозы в больничных листах буквально закодированы и узнать причину нетрудоспособности можно лишь по решению суда или с согласия больного. Такая практика гарантирует последнему моральную и психологическую защиту от излишнего любопытства, что, в свою очередь, облегчает путь к исцелению.
Однако ответственность за сохранность врачебной тайны лежит не только на представителях медучреждений, но и на самих пациентах. С проблемой нежелательного «рассекречивания» столкнулся ВИЧ-инфицированный петербуржец Александр (имя изменено), о чем он в назидание всем поделился во «ВКонтакте». Пост привлек значительное внимание пользователей социальной сети и в очередной раз поднял вопрос целесообразности использования VPN-анонимайзеров.
Не прикоснусь даже в перчатках
Как признается Александр, последние лет пять он вел «очень активную социальную», а по факту разгульную жизнь. Ровно до тех пор, пока не почувствовал недомогание. «Я осознал, что что-то явно не так и обратился в клинику, – делится он. – Мне были назначены анализы на ВИЧ и гепатит. Через пару дней получил результаты на почту. Чуда не случилось, анализ на ВИЧ оказался положительным».
Здесь, на удивление, Александр не призывает сверстников отказаться от беспорядочных половых связей или хотя бы предохраняться. Он рассказывает, как работал в «одной большой логистической компании», в которой внезапно «люди стали чуть не на стену лезть» при его появлении.
– Долго не мог понять почему, – делится повеса, – пока уборщица в один из поздних вечеров на работе не сказала мне, что чашку мою мыть не будет «даже в перчатках». В общем, выяснил, что в офисе все в курсе моего диагноза.
И вот на что обратил внимание Александр: получив диагноз на электронную почту, он, по собственному признанию, был в депрессии и ни с кем не делился своей проблемой. Дословно – «ни с одной живой душой». Как же тогда о его состоянии здоровья узнали коллеги, если этой информацией обладали только сам пациент и врачи?
Сломанная почта
Утечка, как выяснилось, произошла из почты. Весной текущего года Александр, как и многие, установил VPN-анонимайзер, чтобы продолжать пользоваться закрытыми на территории России социальными сетями. Подозрения в том, что проблема связана именно с VPN, подтвердил программист, приятель горе-пациента, обнаруживший встроенную в анонимайзер шпионскую программу.
Как объясняет управляющий партнер компании GetMiner, GetExperience, эксперт в области криптовалют и информационной безопасности Эрнест Раевский, определить, была ли взломана почта с использованием VPN можно, если посмотреть историю входов по IP-адресам.
– Если предположить, что пользователь вводил свой логин и пароль от почты, будучи подключенным к сети, используя непроверенный VPN-сервис, то риск компрометации данных крайне высок, – предостерегает старший специалист по тестированию информационных продуктов Центра цифровой экспертизы Роскачества Сергей Кузьменко. – Несколько лет в сети очень активно обсуждали один из VPN-сервисов, который прямо в своей политике конфиденциальности писал о том, что все персональные данные пользователей будут проданы третьим лицам в качестве платы за использование сервиса. И, как показывает статистика, данный сервис – не единичный пример.
Не вопрос этики
Но как украденные результаты анализов Александра стали достоянием коллег? Ведь не они же разрабатывали шпионский софт. Сам пострадавший предполагает, что служба собственной безопасности компании регулярно «пробивает» сотрудников по открытым источникам. И вот здесь их возможности действительно не ограничиваются простым мониторингом социальных сетей.
Во всем мире распространены биржи персональных данных. Они легальны, а содержащаяся в них информация не персонализирована, то есть обезличена и по ней невозможно идентифицировать отдельно взятого пользователя. Такими базами данных в основном пользуются маркетологи, чтобы сформировать интересные определенным группам потребителей предложения. «Брокеры данных работают вполне официально, – говорит директор по развитию бизнеса Hopper IT Сергей Радченко. – Такие компании оперируют на грани закона и могут использовать неосмотрительность интернет-пользователей, которые практически никогда не читают то, на что соглашаются. Люди не глядя дают добро на обработку, хранение и передачу третьим лицам информации о себе».
Однако есть и биржи данных, которые распространяются в даркнете или в специализированных каналах Telegram, они могут содержать всю личную информацию вплоть до логинов и паролей своих жертв как от интернет-платформ и ресурсов, так и банковских приложений. «Это совершенно другая, теневая и незаконная сторона этого вопроса», – уточняет Сергей Кузьменко. Ни один из доверившихся незнакомому пусть даже и популярному VPN-сервису пользователей не застрахован от продажи исчерпывающих данных о себе.
Насколько этична проверка сотрудников работодателем по открытым – или вернее сказать доступным – источникам – вопрос риторический. С точки зрения здравого смысла она мало чем отличается от запроса банка в кредитное бюро для оценки благонадежности заемщика. Другое дело – откровенный треп внутри коллектива. Здесь каждый волен сам себе выбирать и формировать наиболее комфортную рабочую среду: законодательно сплетни на перекурах фактически никак не регламентируются.
Новая нефть
Исполнительный директор занимающейся разработкой программного обеспечения для обработки персональных данных IT-компании HFLabs Константин Степанов называет российский рынок данных не иначе как «вотчиной мошенников всех мастей». «Получив слитые паспортные данные, можно попробовать набрать на ваше имя кредитов, – объясняет специалист. – Зная в каком банке у вас счет, можно вас обмануть звонком из «службы безопасности». Чем больше мошенник о вас знает, тем больше точек, на которые он может надавить. Поэтому утечки с медицинскими анализами, историей покупок такие чувствительные». С ним согласен Эрнест Раевский: «Мошенники используют человеческие слабости для получения материальной выгоды».
На практике, чем проще и популярнее становятся предлагаемые интернет-сервисы, тем изощреннее ведут себя и злоумышленники. В 2022 году сеть заполонили жалобы россиян, стремящихся предостеречь близкий и широкий круг пользователей от установки VPN. У одних банально сняли все деньги и оформили кредиты через банковские приложения; других шантажировали интимными медиа-файлами, перехваченными из личных переписок и облачных хранилищ; третьим не повезло столкнуться с высаживающим интернет-трафик и энергоресурсы устройств подпольным майнингом криптовалюты. Есть также случаи, когда получившие через VPN доступ к персональным данным мошенники умудрялись перерегистрировать на посторонние лица целые фирмы.
При этом зачастую похищают конфиденциальную информацию – с необдуманного ли согласия жертвы или без оного – одни, а пользуются ей по своему усмотрению уже совсем другие преступники.
– За последние несколько лет мы привыкли к тому, что персональные данные называют «новой нефтью», – приводит параллель декан факультета цифровой экономики и массовых коммуникаций МТУСИ, ведущий научный сотрудник департамента информационной безопасности Финансового университета при правительстве РФ Сергей Гатауллин. – Как и любой другой высоколиквидный товар, наборы персональных данных являются предметом купли-продажи.
Как защититься?
На этом фоне установка VPN выглядит не лучшей идеей. Абсолютное большинство VPN-сервисов не прозрачны, но при этом объективно собирают большое количество персональных данных. А обеспечить их конфиденциальность многие анонимайзеры физически не в состоянии. Более того, часть таких сервисов расположены в странах, где правительства по запросу могут получать данные пользователей.
– Для защиты персональных данных можно посоветовать некоторый набор стандартных мер, – рассуждает Сергей Гатауллин. – Таких как обновление программного обеспечения, использование антивирусов и сложных паролей. Но надо понимать, что в конечном итоге вся информация о пользователе в том или ином виде будет в сети. Это некоторая данность, в которой скорее большее значение имеет регулирование оборота персональных данных и больших персональных данных, взаимодействие бизнеса, государства и гражданина, в котором не ущемляются права последнего.
Но как быть, если гражданин сам устанавливает VPN, открывая широкий шлюз для утечки информации о себе? По своему горькому опыту петербуржец Александр отвечает однозначно: «Жалости не хочу, у меня всё норм. И всё же, тем, кто под VPN сидит скажу: пацаны, ваши секреты могут стать публичными, берегитесь. Работа, отношения, и безопасность вашего интимного важнее просмотра лент Инсты и ФБ*».
*Принадлежат запрещенной в России компании Meta