#вакансия Ищем редактора для этого канала, расскажите друзьям https://telegra.ph/Cifrovaya-medicina-ishchet-redaktora-03-16

#днк Мы много пишем про обнаружение свободно доступных баз данных с персональными данными практически во всех странах мира, но новостей про российские базы данных, оставленные в открытом доступе почти нет (если не считать новость про «руку Кремля»: https://t.me/dataleak/728).

Может сложиться неверное представление, что в России все замечательно и владельцы крупных российских онлайн-проектов подходят ответственно к хранению данных пользователей. Спешим развенчать данный миф на примере проекта DOC+. 😂

DOC+ (ООО «Новая Медицина») это российская медицинская компания, оказывающая услуги в области телемедицины, вызова врача на дом, хранения и обработки персональных медицинских данных.

Компания получила инвестиции от Яндекса и для хранения логов доступа клиентов к своему онлайн-сервису использует базу данных ClickHouse, также имеющую отношение к Яндексу (была создана и разрабатывается Яндексом).

К несчастью эта база ClickHouse свободно доступна, и кто угодно, зная IP-адрес может получить логи доступа. 😱

Из логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+ и т.п.

Но это не самое интересное. Самое интересное ниже: 👇

В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое. Судя по логам, вся эта информация изначально хранится в системе 1С:Предприятие 8.3. 🔥🔥

Более того, в логах содержатся токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно получить их личные данные. 🔥🔥🔥

База данных «живая», т.е. дополняется новыми логами. По нашей информации, DOC+ были уведомлены, но до сих пор не предприняли никаких действий по закрытию доступа к базе. 🤦‍♂️

Для обнаружения открытых баз данных ClickHouse удобно использовать поисковик Shodan.io в связке со специальным скриптом ClickDown.

Про то, как исследователи обнаруживают открытые базы данных читайте тут.

За информацию спасибо читателю канала!
@dnahealth

💬 Обсудите в чате @digitalmedchat

#itmcongress Открыт прием заявок на участие в конкурсе «Лучшее ИТ решение для здравоохранения 2019»

#Коммерсантъ Инфографика про сон

#Коммерсантъ Вслед за «запретом» медпредставителей 7 лет назад (и как, запретили?) власти решили «запретить» работу фармы с сотрудниками аптек (наказывать будут фармацевтов):

«запретить приоритетную рекомендацию конкретного препарата покупателям в рамках маркетинговых договоров между аптечными сетями и производителями»

https://www.kommersant.ru/doc/3915453

#медач ​​В нашу студию мы пригласили Андрея Афанасьева, сооснователя и генерального директора, и Антона Тихонова, научного директора компании yRisk. Поговорили о технологии Next Generation Sequencing, генетической диагностике, опасных мутациях и что делать пациентам, у которых их выявили.

Слушать: https://medach.pro/post/1880
@medach

#docplus Официальный ответ Doc+ на вчерашнюю новость о якобы случившейся утечке персональных данных:

Компания ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем принимает все требуемые законодательством меры защиты. В компании внедрены современные средства защиты, прошедшие необходимые процедуры сертификации со стороны ФСБ, ФСТЭК. Выстроены внутренние процессы управления и контроля за состоянием защищенности информационных систем, в которых обрабатываются персональные данные. Политика защиты и обработки персональных данных доступна к изучению на нашем сайте.

DOC+ использует сервис ClickHouse для отладки функционала доработок клиентских продуктов. В ClickHouse загружаются данные из тестовой и продуктивной среды. Сервис ClickHouse функционирует на серверах компании, доступ к которым жестко регламентирован и ограничен. Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится  анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.

В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.

По факту инцидента ведутся внутренние разбирательства. Мы разрабатываем и уже начали внедрять дополнительные меры, ещё более ужесточающие защиту данных. Мы сожалеем о произошедшем инциденте, но ещё раз подчеркиваем отсутствие негативных последствий для наших клиентов. Ваша безопасность и конфиденциальность являются приоритетом всей команды DOC+ с первых дней работы компании.

#pharmmarketing #документ #регулирование #нфп #маркетинговыеконтракты

Благодаря нашим подписчикам, к нам в руки попал драфт письма НФП Цыбу С.А.

Помимо обсуждаемой необходимости введния персонифицированной ответственности провизоров за «навязывание» тех или иных препаратов в документе также предлагается:

- ввести регулирование маркетинговых взаимоотношений по ВСЕЙ товаропроводящей цепочке (производитель - дистрибьютор - аптека)

- ввести меры регулирования на рекламу и маркетинг по ЖНВЛП

- единый тариф надбавки на ЛС из ЖНВЛП (единый тариф с упаковки).

Мнение:
- Что касается регулирования взаимоотношений между производителями и аптечными сетями, то помимо лоббизма к государственным инстанциям паралелльно замечена активная медиа поддержка как в прошлый, так и в этот раз (как пример, после публикации в Коммерсанте, были также замечены публикации в других источниках: https://esquire.ru/articles/89952-farmacevtov-predlozhili-nakazyvat-na-navyazyvanie-lekarstv/ и др)

- При положительной  и утвердительной реакции правительства на данное письмо возможно следующее развитие:
а) со стороны государства потребуется дополнительная инстанция, которая будет контролировать данные процессы;
б) если законодательство коснется непосредственно провизоров, то последует быстрое сокращение аптек, поскольку работать будет некому (на текущий момент даже сейчас существует кадровая нехватка провизоров)
в) вероятнее всего, через регулирующие этот механизм органы пойдет активное лобби российских производителей ЛС.
@pharmmarketing

💬 Обсудите в чате @digitalmedchat

#фармвестник Глава «Р-Фарм» Алексей Репик поддерживает онлайн-продажу рецептурных и OTC-препаратов

💬 Обсудите в чате @digitalmedchat

#фармвестник Компания Ipsos Comcon не согласна с интерпретацией данных, приведенных в письме НФП в Минпромторг

#ит_в_медицине #реабилитация

Главный внештатный специалист Минздрава по медицинской реабилитации, председатель Союза реабилитологов России, заведующая отделом медицинской реабилитации Федерального центра цереброваскулярной патологии и инсульта Галина Иванова считает важным создать систему межведомственного взаимодействия в электронном виде между медицинскими организациями и учреждениями МСЭ. Это позволит сократить сроки и упростить процедуру освидетельствования граждан для установления инвалидности.

Межведомственное взаимодействие необходимо также для регулирования потока пациентов, передачи их с одного этапа на другой. Планируется сформировать единый центр маршрутизации пациентов, главной задачей которого станет своевременное перенаправление людей в те организации, где они смогут получить помощь, соответствующую их состоянию и нарушению функций.

Статистическая информация о числе пациентов, оказанной помощи, ее видах и др. будет объединена в единую базу и станет сегментом ЕГИСЗ.

@it_medicine
@it_medicine

#ит_в_медицине #данные #утечка

18 марта 2019 года компания InfoWatch представила основные данные по утечкам конфиденциальной информации из учреждений здравоохранения в 2018 г. Всего за прошедший год было зарегистрировано 429 утечек из различных учреждений медицинской сферы по всему миру: больницы, поликлиники, военные госпитали, лаборатории, аптеки, медицинское страхование и т.д. Это почти на 16% больше, чем в 2017 г. Число скомпрометированных записей персональных данных по сравнению с 2017 г. выросло почти вдвое и составило 27 млн.

Каждая третья утечка в 2018 году произошла в результате хакерских атак. Но основными виновниками утечек в данной отрасли остаются сотрудники. На их долю приходится 53,7% зарегистрированных инцидентов.

Соотношение умышленных и случайных утечек в медицине составило 47,5% и 52,5%. При этом среди утечек, совершенных по вине сотрудников, доля умышленных инцидентов составляет немногим более 20%. В основном данные ограниченного доступа компрометируются в результате ошибок, недосмотра, халатности.

Ну и как свежий пример утечки данных по вине сотрудников, прямо к выходу отчёта, нам продемонстрировал телемедицинский сервис Doc+.

@it_medicine
@it_medicine

#лечащий_врач Цифровая патогистология в России – реальность или сладкая сказка?

#WS19 Польский WolvesSummit проходит в здании подаренном Варшаве советским союзом. Заявлена digital health сессия. Stay tuned!

#WS19 участники digital health сессии. Производители батареек, непромокающих тканей, электроники. И одна компания производитель мед оборудования. Хм. Интересно.

#WS19 умный стетоскоп. Пока самое интересное в сессии.

#WS19 о этапах роста стартапов в Digital health

#dsm_group В большинстве случаев покупатели сами просят фармацевта порекомендовать нужный препарат, и по закону работник аптеки не может отказать. И в этом случае крайне сложно отделить рекомендацию от навязывания, рассказал «Ъ FM» гендиректор маркетингового агентства DSM Group Сергей Шуляк: "Маркетинговые контракты — это очень серьезные деньги для аптек. Точных цифр на рынке нет ни у кого. Но если бы аптеки не получали маркетинговые контракты, то мы сейчас бы не досчитались процентов 15-20 аптек на рынке. Зачастую они помогают аптекам выживать, потому что рынок лекарственных препаратов в прошлом...

#российская_газета Как цифровизация трансформировала рынок медицинских услуг

💬 Обсудите в чате @digitalmedchat