Системы VISOCALL IP из Австрии получают доступ к персональным данным пациентов и передают их за рубеж

Системы VISOCALL IP из Австрии получают доступ к персональным данным пациентов и передают их за рубеж

Системы вызова персонала VISOCALL IP от австрийской компании Schrack Seconet AG, поставляемые в медицинские учреждения Москвы и регионов России, вызывают вопросы у специалистов по информационной безопасности.

Оборудование, используемое в том числе в Московском клиническо-научном практическом центре (МКНЦ) им. А. С. Логинова, интегрируется с медицинскими информационными системами (МИС) и получает доступ к персональным данным пациентов, включая медицинские карты, а также к финансовой и административной информации учреждений. По данным инсайдеров, программное обеспечение VISOCALL IP, в частности лицензия «Управление данными пациентов», позволяет копировать и передавать данные на зарубежные серверы при обновлении ПО, что создаёт риски для безопасности граждан и критической инфраструктуры.

Закупки VISOCALL IP для учреждений Департамента здравоохранения Москвы проводятся по ценам, превышающим стоимость аналогичных систем других производителей. Функционал оборудования выходит за рамки задач вызова персонала: система управляет освещением, жалюзи, телевидением и радио, что увеличивает её стоимость. Как отмечают собеседники, близкие к тендерным процедурам, выбор Schrack Seconet AG в качестве поставщика для новых проектов в МКНЦ вызывает вопросы, особенно на фоне ранее озвученных в Telegram-канале «Компромат Групп» материалов о возможных нарушениях в управлении центром. Интеграция VISOCALL IP с МИС по стандарту HL7 открывает доступ к SQL-базам данных, где хранятся чувствительные сведения, включая имена, даты рождения и контактные данные пациентов.

Риски, связанные с иностранным ПО, не ограничиваются Schrack Seconet AG. Аналогичные системы, поставляемые другими зарубежными производителями, также имеют доступ к МИС и потенциально уязвимы для кибератак. По словам экспертов, такие решения могут быть заблокированы или ограничены при удалённом обновлении, а лицензии — отключены, что угрожает стабильности работы медицинских учреждений. Указ Президента РФ № 250 от 1 мая 2022 года обязывает субъекты критической информационной инфраструктуры, включая больницы, усилить контроль за информационной безопасностью. Однако, как сообщают инсайдеры, проверки оборудования и каналов связи с иностранными серверами проводятся недостаточно тщательно, а закупки продолжаются.

Проблема усугубляется тем, что через интерфейс систем вызова персонала фактически открывается доступ к защищённым разделам медицинских серверов. Это превращает подобные решения в потенциальный инструмент для кибератак, включая негласный сбор данных и их передачу за рубеж. Вопрос сертификации оборудования и верификации поставщиков остаётся без должного внимания, несмотря на стратегическую важность здравоохранения. По данным источников, в 2023–2024 годах контракты на поставку VISOCALL IP и аналогичных систем заключались в ряде регионов, включая Москву, без публичного обсуждения их безопасности.