Національна служба здоров’я проти кібер-гігієни

Поки фахівці з кібербезпеки продовжують невтомно пояснювати людям «ніколи, ніколи, ніколи не тицяйте лінки від незнайомців та не повідомляйте їм коди чи іншу інформацію» - Національна служба здоров’я України навчає поганому і радить прямо протилежне: “Перевірте свої смс-повідомлення та viber від відправника “ESOZ” та назвіть лікарю відповідний код.” 
Дивовижна некомпетентність. Вражаюче невігластво.
Не думав, що такі прості речі доведеться пояснювати аж цілому центральному органу виконавчої влади.
Мабуть, Федоров провів їм лекцію на тему «Роль кібербезпеки дещо перебільшена».

Навряд чи мене читають чиновники з НСЗУ, але передайте їм, будь ласка, наступні базові для кібербезпеки речі.
Сучасні кібер-шахраї дуже вигадливі та кваліфіковані (хоча не завжди). Вони можуть назватися існуючим лікарем існуючої лікарні. Можуть говорити дуже впевнено і навіть з наїздом – щоб було схоже на справжнього лікаря з районної поліклініки.
Підробити назву відправника – пльова справа.
Тим більше, що більшість потенційних пацієнтів поняття не мають що таке ЕСОЗ.
А хто десь бачив цю абревіатуру українською – міг читати її як «еко три» і вважати якимось європейським стандартом. (Насправді це означає «електронна система охорони здоров’я» - про всяк випадок повідомляю.)
І тим більше майже ніхто з потенційних жертв розводу не буде паритися, телефонувати до лікарні, безкінечно чекати з’єднання з реєстратурою, де на питання «а чи є у вас такий лікар» - буде або посланий, розчарований або зрештою скажуть щось типу «я не знаю, це не до мене».
Та навіть якщо підтвердять «так, є такий лікар» - як перевірити, що це саме він/вона телефонує?

А отримавши код з смс, шахрай зможе залогінитися у особистий акаунт пацієнта та отримати дані про всі його медичні дані: хвороби, лікарняні, які ліки приймає, як часто хворіє, скільки раз звертався по медичну допомогу, у яких містах та місцях, тощо. Цими даними можна шантажувати жертву, маніпулювати нею. Або використати з інших шахрайств – адже знаючи інформацію, відому майже нікому – легко завоювати довіру жертви маніпуляцій.

У країнах, де реально працює захист персональних даних, медичні дані вважаються найбільш критичними серед персональних даних. І за сприяння їх розголошенню винні цілком можуть заїхати на тюрячку на кілька років. А через судові позови та штрафи лікарня може збанкрутувати.

В Україні ж офіційна державна установа по суті руйнує основи особистої кібергігієни – чому так довго та безуспішно намагаються навчити їхні колеги з інших держструктур. І їм за це нічого не буде, я впевнений.

Ось для цього і потрібна якась одна-єдина організація з кібербезпеки – а не одинадцять штук, які нещадно конкурують між собою і ніхто ні за що не несе відповідальності.
Принаймні, якась одна кібер-агенція потрібна для держсектору – бо завжди знайдуться й інші розумники, які через банальну неграмотність будуть торпедувати усе корисне і правильне.
І запровадити обов’язковий іспит з кібербезпеки для всіх держслужбовців, включно з міністрами та віце-прем’єрами.
І при прийому на держслужбу вимагати його проходити.
Бо інакше подібної дурості не позбавитися ніяк.

А цю ситуацію із офіційними заявами НСЗУ я б порівняв з приблизно таким навчанням маленької дитини: “Ніколи не розмовляй з незнайомцем. Але якщо він назветься поліцейським або пожежним або Святим Миколаєм – тоді можна з ним розмовляти, брати в нього цукерку, сідати д нього в машину.»

P.S.: якщо повідомляти “код з смс” у кабінеті лікаря, за його та вашої особистої присутності – це прийнятно. Я сам так робив коли двічі проходив медкомісію ТЦК.
Віддалено – у жодному разі, це небезпечно.