«Не защита данных, а какая-то фигня»

В среду произошла четвертая за последние две недели крупная утечка данных пользователей Сети. Поисковая система Google проиндексировала документы, размещенные на официальном сайте органов государственной власти России. В результатах поиска при определенном запросе можно обнаружить более сотни служебных документов в форматах DOC и PDF. Желающие могут их свободно скачать и посмотреть.

В опубликованных «разоблачительных документах» «совершенно секретно» в основном стоит на инструкциях по оформлению таких материалов

Как сообщала ранее газета ВЗГЛЯД, при определенном изменении запроса можно было получить даже некоторую информацию под грифами «секретно» и «для служебного пользования». Среди документов, оказавшихся в публичном доступе, есть информация, датированная 2002–2011 годами.

Сотрудники силовых ведомств занимаются поиском тех, кто непосредственно опубликовал эту информацию. По мнению представителей правоохранительных органов, персональные данные попали в Интернет не случайно, а были выложены намеренно.

«Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из «Яндекса». С какой целью это было сделано, пока неясно, но вызывает некоторые подозрения тот факт, что это произошло накануне подписания президентом РФ поправок к закону «О персональных данных», – заявил интернет-порталу источник в правоохранительных органах.

По его словам, вопрос о возбуждении уголовного дела сейчас обсуждается; какое ведомство его возбудит, пока неясно. Пока речь идет как минимум о ст. 138 УК РФ («Нарушение тайны переписки»), но рассматриваются и другие статьи. По словам источника, «работа будет проводиться» как с «Яндексом», так и с компаниями, у которых произошли утечки.

Поможет силовикам и Госдума. Председатель комитета ГД по информполитике Сергей Железняк заявил о том, что ответственность за утечки данных может быть ужесточена. По словам парламентария, думский комитет по информполитике намерен изучить возможности совершенствования законодательства в сфере защиты персональных данных и ужесточения ответственности виновных за утечку личной информации. Представитель комитета также заявил о готовности законодательно ужесточить ответственность за подобные нарушения.

Согласно закону «О персональных данных», таковыми признается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, включая фамилию, имя, отчество, дату и место рождения, адрес, образование, профессию, доходы и прочее. 26 июля президент РФ Дмитрий Медведев подписал поправки к закону «О персональных данных». Документ ужесточает требования к обеспечению мер безопасности персональных данных.

Напомним, что ранее поисковики фиксировали не предназначенную для общего пользования информацию о СМС, отправленных с сайта компании «Мегафон», список заказов в некоторых интернет-магазинах и данные о покупке железнодорожных билетов на сайтах  railwayticket.ru и tutu.ru.

О том, стоит ли ожидать попадания новых персональных данных в поисковики, кто ответит за случившиеся утечки и что такое открытость государственных органов, рассказал газете ВЗГЛЯД генеральный директор «Лаборатории интеллектуального анализа данных» Иван Бегтин.

ВЗГЛЯД: Иван, связаны ли, на ваш взгляд, последние инциденты с поисковиками и закон «О персональных данных»?

Иван Бегтин: При первых утечках никакой связи наверняка не было. Но последние публикации действительно заставляют задуматься. Исключать «теорию заговора» полностью нельзя, но и верить ей полностью невозможно. Но то, что все вскрылось, – это правильно, вне зависимости от мотивации.

ВЗГЛЯД: Почему правильно?

И. Б.: Правильно потому, что ничего сверхсерьезного не произошло. Это не самая страшная информация, она может показать некоторых людей не в самом лучшем свете, но прямого материального ущерба не нанесет. А если мы вспомним, что до сих пор на рынках и в ларьках продают большие базы персональных данных, то нынешний ажиотаж – он же действительно вокруг мелочей.

ВЗГЛЯД: А слив государственных документов?

И. Б.: Я посмотрел почти все эти документы. Ничего серьезного. В этих бумагах есть следующие особенности. Во-первых, нужно сразу сказать, что те, кто ищут «секретные документы» в домене gov.ru, могут не обольщаться – не более 30% государственных ресурсов находятся именно там, а остальные – просто в доменной зоне ru, и нет никакого специального «поиска по всем государственным сайтам», поэтому выборка нерепрезентативная.

Во-вторых, выложенные документы показывают культурную безграмотность госслужащих. Многие бумаги – например, отчеты Счетной палаты – вообще-то публичны, они по закону предназначены для публикации в Сети. Внутри же ведомства, до публикации, они действительно носили гриф «для служебного пользования». В момент обнародования метаданные просто не были исправлены, и мы видим теперь совершенно обычные доклады под странными метками.

Что касается грифа «совершенно секретно», то тут все еще проще. В опубликованных «разоблачительных документах» «совершенно секретно» в основном стоит на инструкциях по оформлению таких материалов. Если открыть документ о бюджете, то там два раздела – «секретно» и «совершенно секретно», оба они пустые. Так что если действительно что-то найдут, скандал будет огромный, а так – вбросы и вбросы.

ВЗГЛЯД: Есть моральная сторона публикации...

И. Б.: Есть статья 30 УК РФ, содействие совершению преступления. И вот если действительно будут распространяться секретные документы, то их распространитель, опубликовавший прямую ссылку, он содействует?

#{interviewsociety}ВЗГЛЯД: Вероятно, да.

И. Б.: В общем, это я к тому, что здесь могут крыться вполне серьезные вещи потенциально. Я писал у себя в блоге о том, как можно найти документы, созданные в пиратской версии Microsoft Office. Взломщики программируют Офис таким образом, чтобы в метаданных были прописаны их команды. И какая-то из этих групп, ломая программу, оставила там запись fuckyoubill. Если сделать выборку по этим словам, то первое, на что мы натыкаемся, – файлы, опубликованные министерством образования Татарстана. То есть или они сами пользуются пиратским софтом, или получают такие документы, а потом их публикуют.

ВЗГЛЯД: В России все вообще плохо с сетевой грамотностью? Как тогда у нас будет открытая система государственных данных? Есть проблемы с законом о персональных данных?

И. Б.: Очень много проблем. Закон фактически написан под Роскомнадзор, и там очень много всего о лицензировании, о работе с банками, с тайнами и т.д. В то время как во всем мире речь идет не об этом. А о том, защищены ли права потребителя, и законы разрабатываются ведомствами, которые регулируют потребительский рынок.

У нас же вообще не защита данных, а какая-то фигня. Создается какой-то реестр операторов персональных данных, куда можно включить вообще все организации, потому что все они ведут бухгалтерский и кадровый учет. Честно говоря, все это выглядит как-то неправильно, очень далеко от народа, от реальной защиты персональных данных.

ВЗГЛЯД: А что нужно для реальной защиты персональных данных?

И. Б.: Нужен системный подход, прежде всего. Нужно давление на основных их владельцев, которые собственно эти данные и собирают – это и социальные сети, и телефонные компании и т.д. Как-то именно этого не наблюдается. На каком базисе у нас вообще основана защита данных? На правах человека? На правах потребителя? Непонятно. Есть нормальная мировая практика уполномоченных по защите информации: например, в Германии существуют чиновники, которым пользователи пишут обращения, посвященные как использованию персональных данных, так и получению данных о работе органов государственной власти, а также сокрытию какой-то персональной информации. Так, скажем, люди, чьи родственники были военными или политическими преступниками, разумеется, не хотят, чтобы об этом знали их соседи. И обнародование информации такого рода может быть законодательно запрещено. В любом случае, есть персона, отвечающая за открытые данные, персональные данные и т.д. У нас такого нет, и подход в принципе бессистемный.

ВЗГЛЯД: Все равно ведь все обо всех известно в Сети. Может, не стоит так паниковать по поводу своих данных?

И. Б.: Это неправда, не все публично и не все должно быть публично. Представьте себе полностью открытую информацию о владении имуществом. И какие-нибудь специальные люди будут вычислять, где живут одинокие старики, чтобы квартиры у них отобрать тем или иным способом. В Швеции, например, существует публичная декларация о доходах, но там и текущий уровень общественной ненависти несопоставим с российским. Подобная открытость допустима на определенном уровне социального развития. Мы такого уровня не достигли.

ВЗГЛЯД: А государство должно все публиковать?

И. Б.: Да. Информацию для граждан нужно публиковать, а о гражданах – нельзя.

ВЗГЛЯД: В России публикуют для граждан что-нибудь?

И. Б.: Даже не декларируют этого, если честно. У нас есть несколько принятых законов, которые обеспечивают некоторый – довольно скромный – уровень прозрачности, но это не идет ни в какое сравнение с тем, что есть в Европе, скажем. Например, вы не можете произвольным образом запросить любой документ из госструктур. Есть доктрина открытых данных, но мы очень от всего этого далеки. Нет огромных массивов открытых данных, которые касаются деятельности государства. О какой прозрачности вообще может идти речь, если у нас на многих сайтах ведомств вместо документов публикуются их сканы – якобы «документы в высоком разрешении», извините? Это как вообще возможно? У нас программа «Информационное общество», вот она так выглядит.