Утечка по всей вертикали

[Обзор прессы]

16 ноября россияне узнали, что их персональные данные — СНИЛС, номера паспортов, банковские реквизиты — находятся в свободном доступе для скачивания в многофункциональных центрах Москвы. Журналисты «Коммерсанта» выяснили, что на общедоступных компьютерах МФЦ информация лежит совершенно открыто, и любой смекалистый человек может забрать все эти файлы себе на флешку. После этого администрация МФЦ меньше чем за сутки прошла пять стадий принятия неизбежного.

Отрицание и гнев содержались в официальном опровержении, торг представлял собой утверждение, что в конце дня вся информация на общедоступных компьютерах обязательно удаляется, а люди могли бы быть умнее и удалять свои файлы сами. Депрессия в форме насупленного молчания продолжалась недолго, и за это время в некоторых телеграм-каналах появилась версия, что на самом деле «похоже на заказ по мочилову мэрии». К вечеру в ряде МФЦ на компьютерах появились предупреждающие объявления, что нужно удалять свои файлы за собой, а центры госуслуг ответственности за оставленные данные не несут.

Защищающие позицию МФЦ наблюдатели правы как минимум в одном: пользователи должны относиться к своим данным осторожнее. Другой вопрос, что уничтожение информации пользователей в госструктурах должно, пожалуй, проводиться в автоматическом режиме, без человеческого участия. Но в стране персональные данные гражданина могут утечь в широкий доступ абсолютно любым способом — и защититься от этого можно, разве что минимизировав свое цифровое присутствие в принципе.

В остальных случаях государство, бьющееся за право обладать абсолютно всей информацией о своих подданных, первым же эти данные и сольет.

Хроника утекающих

Персональные данные человека могут представлять большой интерес для хакеров и интернет-воров: базы с номерами паспортов, банковских карт и автомобильных прав хорошо продаются в том же интернете. Так, в мае 2016 года хакеры взломали больше 270 миллионов учетных записей пользователей Mail.ru и Google, среди которых было много аккаунтов россиян. Потом один из хакеров согласился отдать часть украденных данных бесплатно, но это, скорее, исключение из правил: сведения о россиянах — слишком ходовой товар, чтобы отдавать его просто так.

Журналист Сергей Канев в октябре 2016 года смог за 10 тысяч рублей купить «базу негодяев» — хранилище данных о 20 миллионах россиян, среди которых были, например, сотрудники ФСБ, призванные бороться с такими утечками.

«В условиях тотального коррумпирования всех и вся задача сохранности персональных данных невыполнима. Они легко могут утечь из бюро кредитных историй, из различных банков и магазинов, — констатирует политик и полковник запаса ФСБ Геннадий Гудков. — В России продается все: базы данных телефонных справочников, ГАИ, ЖКХ, сведения из уголовных дел».

Хакеры — это для России только полбеды. Другая часть проблемы — тотальное разгильдяйство со стороны и госструктур, и частных компаний.

Вот только несколько историй за последние два года, в которых речь идет о большой утечке данных.

  • 24 июля 2017 года. Отделение Пенсионного фонда России по Москве и Московской области отправило личные данные более 17 тысяч человек в массовой электронной рассылке. Речь шла о документе Excel, в котором содержались даты рождения, адреса регистрации и номера СНИЛС лиц, зарегистрированных в фонде.
  • 17 июля 2018 года. В поисковой выдаче «Яндекса» оказались личные данные онлайн-сервисов РЖД, Сбербанка, ВТБ, московских муниципальных служб и сервисов бронирования билетов, в том числе копии паспортов граждан. «Яндекс» возложил ответственность за раскрытие информации на владельцев сайтов, которые пренебрегли требованиям защиты. В Сбербанке заявили, что в поисковую выдачу не попали данные, которые могли бы нанести ущерб самим клиентами или банку. В ВТБ утечку объяснили «нестандартными действиями» пользователей, которые сделали ссылки доступными.
  • 29 октября 2018 года. В открытом доступе оказалась база, содержащая информацию о более 400 тысячах сотрудников Сбербанка. В документе были указаны паспортные данные работников банка, их логины для входа в операционную систему, которые часто совпадают с адресами электронной почты, а также наименования подразделений Сбербанка, в которых работают те или иные сотрудники. База оказалась доступной бесплатно и была опубликована неизвестным пользователем. В Сбербанке отметили, что публикация базы «не представляет никакой угрозы автоматизированным системам и клиентам».
  • 2 ноября 2018 года. Московский интернет-оператор «АКАДО Телеком» в течение длительного времени (не менее 11 лет) размещал персональную информацию о клиентах в открытом доступе. По словам экспертов, в публичном пространстве оказались доступными фамилии абонентов, адреса подключения и телефоны около 1500 клиентов. Некоторые из них проживают в элитных поселках, таких как Рублевка, Барвиха, Жуковка. Среди пользователей «АКАДО Телеком» обнаружили режиссера Никиту Михалкова. Компания убрала данные по IP-адресам только в двух случаях, на которые обратил внимание IT-эксперт. До его обращения в службу безопасности компании информацию о клиентах из публичного доступа никто не убирал.

И это далеко не единственные примеры. «Государство оперирует наибольшим количеством данных граждан, и эти данные — самые чувствительные, — говорит IT-эксперт Владислав Здольников. — Эти данные либо находятся в свободном доступе, либо их можно просто и дорого купить. Мы не можем себе представить, что государство накажет за это само себя, потому что нет независимых органов следствия и судов. В той же степени мы не представляем себе, что государство накажет свою коммерческую структуру, которой фактически является тот же Сбербанк». Да и структуры, которая следила бы за тем, чтобы чиновники-администраторы ответственно относились к личным данным россиян, просто не существует, добавляет руководитель «Роскомсвободы» Артем Козлюк.

Защити себя сам

Массовые утечки информации о россиянах из разных структур происходят на фоне того, что государство де-факто провозгласило себя главным защитником этих персональных данных (а Роспотребнадзор даже готовит законопроект о защите генома).

Де-юре даже есть закон о персональных данных, но интернет-омбудсмен Дмитрий Мариничев укладывает всю его суть в одно слово «очковтирательство».

«Государству необходимо полностью пересмотреть позицию относительно защиты личной информации, — говорит он «Новой». — Возможно, надо обратить внимание на то, как она регулируется в Европе согласно «Общему регламенту по защите данных» (GDPR)». По этому регламенту, обработчикам и контролерам данных надо как раз не забывать их удалять, если они больше не используются, да и вообще много написано об ответственности.

Российские власти закон о персональных данных понимают по-своему. «Наши законы вовсе не настроены на то, чтобы защищать личные данные граждан. Ими торгуют, ими пользуются спецслужбы, ни на секунду не сомневаясь в своем реальном праве нарушать нормы, — считает политолог Дмитрий Орешкин. — А вот на нас с вами, если мы попытаемся что-то найти и раскрыть без разрешения правообладателей, сразу найдутся соответствующие обвинения».

«Под защиту персональных данных чаще всего маскируются политические или коммерческие разборки, — подхватывает Геннадий Гудков, — никакого другого интереса у государства нет: либо защищать своих, либо стращать чужих».

Стращать еще более-менее получается, а вот защищать — не очень: как власти ни старались создать коллективных ЛСДУ3 и ЙФЯУ9, данные из-за тотальной некомпетентности охранителей легко оказываются в широком доступе. Последние скандалы с российскими разведчиками в разных странах лишний раз доказывают, что надеяться на государство в вопросе защиты своих данных практически невозможно. Можно, правда, попробовать судиться. «В суде придется доказать, что утечка данных произошла именно по вине структуры. У нас в «Роскомсвободе» есть отдел юридической помощи, который специализируется на таких случаях. Но есть дефицит юридических прецедентов», — сетует Артем Козлюк из «Роскомсвободы».

Есть еще вариант обратиться в Роскомнадзор, который по умолчанию был создан как раз для защиты данных, но это почти бесполезно, считает Владислав Здольников: там максимум заблокируют сайт, на котором появились ваши данные, но не заблокируют пути обхода к этому ресурсу.

Лучше исходить из того, что любые данные, попадающие в Сеть, потенциально доступны вообще всем, и соблюдать «цифровую гигиену», в один голос говорят эксперты.

Уж точно не надо оставлять свои данные на общедоступных компьютерах и, напротив, следует доверять, в первую очередь, тем сайтам, на которых установлены средства шифрования.

 

Хотя против российских утечек это тоже не является гарантией, ведь они происходят далеко не только в компьютерной сети. В августе в заброшенном отделе миграционной службы нашли сотни документов, включая паспорта, а 8 ноября в Волгограде на свалке рядом с отделом полиции нашли выкинутые уголовные дела — в том числе с указанием персональных данных фигурантов. «Государственная система деградирует, энтропия, бардак и хаос нарастают, так что мы вскоре увидим не только выброшенные уголовные дела, но и дела оперативного учета и агентуры, на которых стоит гриф «секретно», — мрачно резюмирует Геннадий Гудков.

Материал подготовлен при участии Павла Кедрова

Источник:
Новая газета