Мошенники выдают себя за Роскомнадзор — новая схема обмана
Новая хитроумная схема сбора данных пациентов медицинских организаций
Мошенники выдают себя за Роскомнадзор — они разработали новый метод, который вызывает тревогу. . В последнее время, медицинские организации во всей стране стали получать письма, которые якобы исходят от коммерческих структур, выдающих себя за представителей Роскомнадзора.
Источник: https://iz.ru/1573730/anna-kaledina/affekt-platcebo-aferisty-pridumali-novuiu-skhemu-polucheniia-dannykh-patcientov
Эти письма предупреждают об нарушениях требований по защите данных пациентов и предлагают помощь в устранении проблем, путем внесения корректировок в базы данных медицинских учреждений. Если медицинская организация поддается этому давлению, то она становится жертвой не только утечки средств со своих счетов, но и потери чрезвычайно чувствительной информации о здоровье пациентов.
Эксперты предупреждают, что злоумышленники могут использовать эту информацию для шантажа, угрожая раскрыть заболевания пациентов, если им не будет выплачено выкупа. И важно отметить, что медицинские работники также могут подвергнуться наказанию за свою доверчивость. Однако стоит ли верить в эту схему?
Юристы в медицинских организациях, получивших такие “письма счастья”, предупредили о новом способе получения доступа к данным граждан. “Предполагаемые коммерческие организации утверждают, что медицинская организация нарушила требования действующего законодательства о защите персональных данных, как предусмотрено Федеральным законом от 27 июля 2006 года № 152-ФЗ “О персональных данных”.
Однако, когда работники медицинских учреждений пытаются уточнить по телефону, какие именно нарушения имеются и какие корректировки требуются, они не получают ясных и убедительных ответов. “Представители коммерческих фирм” отвечают на вопросы неопределенно и уклончиво.
Подчеркнуто, что ключевой аспект этой схемы заключается в предложении заключить договор “под ключ”, в рамках которого мошенники предлагают сами вносить исправления в данные, которые, по их утверждению, были неправильно внесены.
Эта схема отличается от обычных фишинговых атак или сбора персональных данных от сотрудников медицинских учреждений. Как пояснила руководитель проекта “Народного фронта” “За права заемщиков” и координатор платформы “Мошеловка” Евгения Лазарева, злоумышленники выдают себя за сотрудников коммерческих организаций, действующих от имени регулятора, с надеждой на наивность сотрудников медицинских учреждений. Она сказала: “В надежде на впечатлительность сотрудников медицинских учреждений злоумышленники пытаются вынудить их заключить договор на исправление ошибок и устранение нарушений в уже представленных в Роскомнадзор данных.”
Юристы, предупреждающие коллег о новом виде мошенничества, считают, что целью мошенников является навязать ненужные услуги и получить деньги за бесполезную работу. Однако эксперты считают, что это только вершина айсберга. Как подтверждает Евгения Лазарева, медицинская организация, которая поддается этой схеме, будет тратить деньги на услугу, которая не только не будет предоставлена, но и не может быть предоставлена, поскольку регулятор не сотрудничает с коммерческими организациями.
Но самое опасное для пациентов заключается в том, что в рамках такого договора “под ключ” злоумышленники получают доступ к информации, которая должна быть защищена в соответствии с законом о персональных данных. Иными словами, преступники организуют утечку информации о адресах, контактных данных, именах, возрасте, состоянии здоровья, составе семьи и диагнозах пациентов, что является чрезвычайно опасным.
По сути, сами владельцы медицинских учреждений, допуская мошенников к своим базам данных, практически открывают им дверь в курятник. Около тех данных, которые мошенники могут использовать для вывода средств с банковских счетов или для получения кредитов на чужое имя, они также получают доступ к крайне чувствительной информации о пациентах.
Аналитик из отдела анализа и оценки цифровых угроз Infosecurity, компании Softline, Максим Грязев, подчеркнул, что предоставление сторонним лицам доступа к базам данных медицинских учреждений представляет собой риски, которые могут иметь долгосрочные и непредсказуемые последствия.
Он сказал: “Подобные базы содержат конфиденциальные персональные и медицинские данные пациентов, которые мошенники могут использовать для различных целей, включая финансовое мошенничество, шантаж (заплатите деньги, иначе мы раскроем ваше заболевание, как сообщили ‘Известия’), а также медицинское мошенничество, когда кто-то получает медицинские услуги, выдавая себя за кого-то другого.”
Евгения Лазарева продолжила, указывая, что такие данные также могут быть использованы телефонными мошенниками для убедительных угроз гражданам в отношении серьезных проблем со здоровьем и необходимости оплаты вымышленных или совершенно ненужных дорогостоящих лекарств и процедур, которые, разумеется, никогда не будут предоставлены.
Кроме того, по словам Максима Грязева, данные, полученные из медицинских учреждений, могут быть проданы на черном рынке интернета или переданы недобросовестным конкурентам и фирмам, занимающимся “пробиванием” данных граждан. Евгения Лазарева также подтвердила, что такие базы стоят огромных денег на теневом рынке интернета, как сообщает координатор платформы “Мошеловка”.
По этой причине эксперты и юристы настоятельно призывают сотрудников медицинских учреждений быть предельно бдительными. Они напомнили, что Роскомнадзор не отправляет письма на электронную почту организаций через коммерческие фирмы. Джамали Кулиев, адвокат КА “Юков и Партнеры”, пояснил: “РКН отправляет уведомления об обнаруженных нарушениях законодательства в сфере защиты персональных данных самостоятельно, с подписью сотрудника ведомства, и обычно направляет письмо адресату лично.”
Пресс-служба Роскомнадзора также подтвердила, что ведомство не занимается массовой рассылкой писем гражданам, организациям или органам власти. Они добавили: “Официально отправляются только адресные письма и только с почтовых адресов в домене @rkn.gov.ru. Каждое письмо ведомства имеет дату и номер исходящего и оформлено на фирменном бланке.”
Роскомнадзор советует, что если медицинское учреждение получило сомнительное письмо, необходимо провести тщательную проверку автора и организации, которая отправила письмо. В случае сомнений в подлинности письма, можно обратиться в Роскомнадзор для получения соответствующих разъяснений.
Важно подчеркнуть, что само медицинское учреждение, если попадет в ловушку мошенников, также может понести ущерб.
Помимо повреждения деловой репутации, распространение ненамеренных утечек персональных данных может повлечь за собой административную и гражданскую ответственность. Джамали Кулиев отметил, что медицинское учреждение может подвергнуться административной ответственности в соответствии со статьей 13.11 Кодекса об административных правонарушениях РФ за нарушение законодательства о персональных данных.
Несмотря на то, что размеры штрафов могут быть небольшими, для некоторых медицинских индивидуальных предпринимателей, особенно в регионах, они могут быть неподъемными, как подчеркнула Евгения Лазарева. Кроме того, в судебной практике уже были случаи, когда пострадавшие потребители обращались в суд с исками о компенсации убытков, вызванных подобными утечками. Джамали Кулиев также добавил, что сотрудник, распространяющий такие данные, может быть уволен с работы.
