«Идиотизм законодателей»: как паспортные данные Чубайса, Соловьева, Дворковича и еще 350 тыс. россиян попали в сеть
Паспорта Чубайса, Дворковича и других представителей истеблишмента утекли в сеть, вместе с еще 360 тысячами записей с личными данными россиян. Об этом сообщил Иван Бегтин, председатель ассоциации участников рынков данных. Оказывается, многочисленные системы сбора персональных данных, включая реестры Минюста, Роструда, Минфина, дырявые. И при минимальном навыке можно эти базы вскрыть. Обсудили утечку с сообщившим о ней Иваном Бегтиным.
Иван, здравствуйте. Скажете просто, эта уязвимость значит, что любой хакер может это скачать? Или даже хакером не надо быть для того, чтобы найти персональные данные многих людей?
Давайте начнем с того, что [неразб.] и это вопрос не про то, что хакеры могут получить доступ, или кто-то там может вскрыть и так далее. Это данные, которые официально публикуются органами власти в соответствии с коллизиями в законах о персональных данных и других законах о раскрытии информации. И большая часть этой информации, например, с портала госзакупок, это данные, которые совершенно официально по другим законам публикуются. Но из-за, скажем так, высокой степени глупости законодателей, которые неправильно формулируют, а часто еще и некачественной работы операторов этих систем и разработчиков, эти данные становятся общедоступными. Хакерских навыков здесь не надо, скажем так, технические навыки некоторые помогут работать с этими данными более удобным образом, быстрее. Но они в принципе доступны и не очень квалифицированному человеку, просто для...
А вы лично видели паспорт Чубайса, данные Чубайса? Потому что в «Роснано» говорят, что никуда не уходили они.
Понимаете, начнем с того, что «Роснано» ничего не могут знать о том, что уходило куда-то или нет. Исследования, которые я проводил по утечкам персональных данных, передавалось только тем органам, которые были затронуты, и непосредственно РБК, которые делали публикацию об этом, вот есть всего два источника. Вот если бы представители «Роснано» запросили бы у Роскомнадзора исследования, обратились бы ко мне или к РБК, им можно было бы верить. А поскольку они этого не сделали, то верить им не стоит, это люди просто в данном случае демонстрируют свой непрофессионализм.
Но вы видели паспортные данные Чубайса, да?
Ну что значит видел-не видел, я их не обрабатывал. Я знаю факт, точка, ссылка в системе Минюста, через которую паспортные данные Дворковича, Чубайса, еще некоторого количества людей публикуются, это я могу подтвердить однозначно. И эти материалы однозначно восемь месяцев назад передавались Роскомнадзору в рамках большого исследования, которое я проводил по обследованию информационных систем [неразб.] центров электронных торговых площадок.
То есть по некоторым законам нужно публиковать полные паспортные данные каких-то участников рынка, правильно ли я понимаю? Но эти сайты не имеют достаточной защиты, они не запаролены, и соответственно, если найти туда ход…
Про защиту вообще речи нет. Смотрите, это вообще не про защиту, это защита на уровне прав граждан, а не на уровне технического обеспечения. Я приведу конкретный пример. Электронные торговые площадки должны размещать в профилях подрядчиков информацию о разрешении крупных сделок, которые должны быть подписаны учредителем этого подрядчика. Это разрешение позволяет тому человеку, который участвует от лица организации на торгах, это делать, но по практике российского документооборота, в этих документах обычно прописываются всегда паспортные данные учредителя. Таким образом площадки, исполняя требования закона о госзакупке, раскрывали 2, 2 миллиона фактов записей документов именно подрядчиков, через паспортные данные.
А ИНН является такими чувствительными данными? Потому что когда заходишь на любой портал госзакупок, там есть ИНН участников, это могут быть и фирмы, и частные лица.
Нет. Смотрите, ИНН не является, поскольку ИНН используется в очень конкретных целях взаимодействия с налоговой службой. ИНН юрлиц уж точно не является, ИНН физлиц, как минимум, индивидуальных предпринимателей тоже. Но мы говорим не про ИНН, мы говорим про паспортные данные. В случае, например, использования цифровых подписей, как это обязательно не только в госзакупках, не только на электронных площадках, но и на многих других ресурсах, через эти электронные подписи, которые записываются согласно приказу ФСБ и приказу Минкомсвязи, данные включают СНИЛС человека, ФИО, место работы, должность, эмейл и СНИЛС. Это уже персональные данные. Но это идиотизм опять же наших законодателей.
Скажите, пожалуйста, а кто должен вообще за всем эти следить, Роскомнадзор? Кто вообще должен определять порядок хранения этих данных? И их защищать, что ли, или скрывать.
Надзор должен осуществлять Роскомнадзор. Так же часть технического обеспечения защиты информации лежит на ФСТЭК. ФСТЭК осуществляет исключительно сертификацию, и не более того. Также есть Министерство коммуникации и связи, которое должно устанавливать некоторые общие правила, согласно которым, например, системы должны проходить аудит. Простой пример этого это удостоверяющие центры, которые являются одним из таких потенциальных источников утечки.
А что такое удостоверяющие центры? Это типа МФЦ, где можно получить электронную подпись авторизованную?
Ну, это не МФЦ, это такие скорее все-таки электронные услуги, то есть у них есть точки продаж, через которые можно оформить, но дальше это возможность участвовать не только в электронных торгах по закупкам, но и в разных других способах применения. Так вот ряд удостоверяющих центров опубликовали полные реестры сертификатов открытых, и это не было бы проблемой, если бы опять же, я напоминаю, в сертификатах не было бы СНИЛС и другой персональной информации. А поскольку она там была, то в итоге там на сотни тысяч доступности персональных данных из этих сертификатов. Опять же, почему это возникало? Потому что нечетко написаны нормативные требования Минкомсвязи к удостоверяющим центрам и полное отсутствие проверок за несколько лет. Мы с одной стороны, говорим про ослабление контрольно-надзорной функции государства, а с другой стороны, в ключевых областях, которые защищают права граждан, эти контрольно-надзорные функции в принципе не осуществляются.
Благодарю вас.