«Идиотизм законодателей»: как паспортные данные Чубайса, Соловьева, Дворковича и еще 350 тыс. россиян попали в сеть

Иван, здравствуйте. Скажете просто, эта уязвимость значит, что любой хакер может это скачать? Или даже хакером не надо быть для того, чтобы найти персональные данные многих людей?

Давайте начнем с того, что [неразб.] и это вопрос не про то, что хакеры могут получить доступ, или кто-то там может вскрыть и так далее. Это данные, которые официально публикуются органами власти в соответствии с коллизиями в законах о персональных данных и других законах о раскрытии информации. И большая часть этой информации, например, с портала госзакупок, это данные, которые совершенно официально по другим законам публикуются. Но из-за, скажем так, высокой степени глупости законодателей, которые неправильно формулируют, а часто еще и некачественной работы операторов этих систем и разработчиков, эти данные становятся общедоступными. Хакерских навыков здесь не надо, скажем так, технические навыки некоторые помогут работать с этими данными более удобным образом, быстрее. Но они в принципе доступны и не очень квалифицированному человеку, просто для...

А вы лично видели паспорт Чубайса, данные Чубайса? Потому что в «Роснано» говорят, что никуда не уходили они.

Понимаете, начнем с того, что «Роснано» ничего не могут знать о том, что уходило куда-то или нет. Исследования, которые я проводил по утечкам персональных данных, передавалось только тем органам, которые были затронуты, и непосредственно РБК, которые делали публикацию об этом, вот есть всего два источника. Вот если бы представители «Роснано» запросили бы у Роскомнадзора исследования, обратились бы ко мне или к РБК, им можно было бы верить. А поскольку они этого не сделали, то верить им не стоит, это люди просто в данном случае демонстрируют свой непрофессионализм.

Но вы видели паспортные данные Чубайса, да?

Ну что значит видел-не видел, я их не обрабатывал. Я знаю факт, точка, ссылка в системе Минюста, через которую паспортные данные Дворковича, Чубайса, еще некоторого количества людей публикуются, это я могу подтвердить однозначно. И эти материалы однозначно восемь месяцев назад передавались Роскомнадзору в рамках большого исследования, которое я проводил по обследованию информационных систем [неразб.] центров электронных торговых площадок.

То есть по некоторым законам нужно публиковать полные паспортные данные каких-то участников рынка, правильно ли я понимаю? Но эти сайты не имеют достаточной защиты, они не запаролены, и соответственно, если найти туда ход…

Про защиту вообще речи нет. Смотрите, это вообще не про защиту, это защита на уровне прав граждан, а не на уровне технического обеспечения. Я приведу конкретный пример. Электронные торговые площадки должны размещать в профилях подрядчиков информацию о разрешении крупных сделок, которые должны быть подписаны учредителем этого подрядчика. Это разрешение позволяет тому человеку, который участвует от лица организации на торгах, это делать, но по практике российского документооборота, в этих документах обычно прописываются всегда паспортные данные учредителя. Таким образом площадки, исполняя требования закона о госзакупке, раскрывали 2, 2 миллиона фактов записей документов именно подрядчиков, через паспортные данные.

А ИНН является такими чувствительными данными? Потому что когда заходишь на любой портал госзакупок, там есть ИНН участников, это могут быть и фирмы, и частные лица.

Нет. Смотрите, ИНН не является, поскольку ИНН используется в очень конкретных целях взаимодействия с налоговой службой. ИНН юрлиц уж точно не является, ИНН физлиц, как минимум, индивидуальных предпринимателей тоже. Но мы говорим не про ИНН, мы говорим про паспортные данные. В случае, например, использования цифровых подписей, как это обязательно не только в госзакупках, не только на электронных площадках, но и на многих других ресурсах, через эти электронные подписи, которые записываются согласно приказу ФСБ и приказу Минкомсвязи, данные включают СНИЛС человека, ФИО, место работы, должность, эмейл и СНИЛС. Это уже персональные данные. Но это идиотизм опять же наших законодателей.

Скажите, пожалуйста, а кто должен вообще за всем эти следить, Роскомнадзор? Кто вообще должен определять порядок хранения этих данных? И их защищать, что ли, или скрывать.

Надзор должен осуществлять Роскомнадзор. Так же часть технического обеспечения защиты информации лежит на ФСТЭК. ФСТЭК осуществляет исключительно сертификацию, и не более того. Также есть Министерство коммуникации и связи, которое должно устанавливать некоторые общие правила, согласно которым, например, системы должны проходить аудит. Простой пример этого это удостоверяющие центры, которые являются одним из таких потенциальных источников утечки.

А что такое удостоверяющие центры? Это типа МФЦ, где можно получить электронную подпись авторизованную?

Ну, это не МФЦ, это такие скорее все-таки электронные услуги, то есть у них есть точки продаж, через которые можно оформить, но дальше это возможность участвовать не только в электронных торгах по закупкам, но и в разных других способах применения. Так вот ряд удостоверяющих центров опубликовали полные реестры сертификатов открытых, и это не было бы проблемой, если бы опять же, я напоминаю, в сертификатах не было бы СНИЛС и другой персональной информации. А поскольку она там была, то в итоге там на сотни тысяч доступности персональных данных из этих сертификатов. Опять же, почему это возникало? Потому что нечетко написаны нормативные требования Минкомсвязи к удостоверяющим центрам и полное отсутствие проверок за несколько лет. Мы с одной стороны, говорим про ослабление контрольно-надзорной функции государства, а с другой стороны, в ключевых областях, которые защищают права граждан, эти контрольно-надзорные функции в принципе не осуществляются.

Благодарю вас.