22 июня 2011

"Гробовые" бабы Зины


Ещё задолго до принятия закона "О персональных данных" случилось мне подрабатывать в одной компании, занимавшейся разработкой программного обеспечения для аптек. Не расскажу сейчас уже всех деталей принципа работы этого ПО, но суть примерно опишу.

В то время (не знаю, как дело обстоит сейчас, после всех многочисленных монетизаций) определённые категории граждан имели право на получение льготных лекарств (относящихся, например, к категории жизенноважных). Лекарства выписывались врачом, а получить их по рецепту можно было в любой аптеке города или района совершенно бесплатно.

Данные о выданных безвозмездно лекарствах и рецептах, на основании которых выдача производилась, вносились в ту самую программу сотрудниками аптек. Скоростного и всем доступного Интернета тогда ещё не было, поэтому моя работа заключалась в том, чтобы объехать все районные аптеки, скопировать данные из программы на дискету и доставить всю собранную информацию в соответствующее Управление здравоохранения. На основании анализа предоставленной аптеками информации Управление возмещало им затраты на бесплатный отпуск лекарств.

Дискет с собой я всегда возил штуки 2-3 и в каждой аптеке делал по несколько копий (да-да, дискеты слишком часто портились - это вам не современные флешки), дабы не возвращаться в особо отдалённые районные аптеки повторно. Никто и никогда мои носители информации не проверял, не инвентаризировал, да и вообще, ими не интересовался.

Как-то раз, я решил всё же посмотреть, что за файлы записываются на дискеты. Не имея копии программы (хотя при желании это проблемой, в общем-то, и не стало бы), воспользовался первым попавшимся редактором.

Друзья! Моему взору предстали обычные текстовые файлы с данными, разделёнными запятыми. Ладно, шифрование или хотя бы просто маскировку никто не стал использовать. В конце концов, для обезличенных данных это иногда допустимо, но беда была в том, что данные совершенно не были обезличены.

Мне трудно объяснить, почему в выгружаемых в аптеках файлах не были указаны, например, только номера рецептов и суммы - ведь для решения поставленной задачи этого было бы более, чем достаточно. Собственно, информация о рецепте, пациенте и выписанных ему лекарствах поступала в Управление из поликлинник и иных лечебных учреждений по другим каналам. В Управлении должны были, в общем-то, только производить сверку данных из аптек (номер рецепта и стоимость лекарства) с данными из поликлиник и прайс-листов поставщиков.

Вы уже, наверняка, догадались, но боитесь поверить: да, в просмотренных мною текстовых файлах хранилась детальная информация о пациентах - ФИО, дата рождения, адрес проживания, выписанные лекарства, основание для предоставления льготы и множество другой абсолютно лишней информации.

Попади эта информация не в те руки - беды не миновать. Не хочу писать готовые алгоритмы мошенничества, но вы сами подумайте, что можно сотворить, имея злые намерения и, например, вот такие вводные данные: "Зинаида Петровна Иванова, 84 года, проживает по адресу пр. Ленина, д. 175, кв. 17, диагноз: сахарный диабет, в среду получила по рецепту 2 упаковки инсулина".

Дело было, как я уже писал, достаточно давно, и мне неизвестны ни текущая ситуация с принципами обеспечения граждан бесплатными лекарствами, ни с то, какое программное обеспечение используется в аптеках сейчас. Тем не менее, сдаётся мне, коллеги, что там всё так же грустно и безрадостно =(
Картинка: http://www.ironworld.ru/upload/iblock/b16/b16f8d73a1d13484809ee370598ca499.jpg