Цифровое решето: почему персональные данные россиян все чаще становятся объектом утечек
Роман КоролевЦифровое решето: почему персональные данные россиян все чаще становятся объектом утечек
Только за это лето становилось известно о нескольких крупных утечках персональных данных россиян. В даркнете выставлялись на продажу базы с паспортными данными российских туристов, застрявших за рубежом из-за пандемии, и доступ ко всем московским видеокамерам. Московское правительство передавало МАДИ персональные данные автомобилистов для оформления штрафов за нарушение режима самоизоляции, а реестр с паспортными данными более миллиона жителей Москвы и Нижегородской области был выложен по сути в открытый доступ. Случаи, когда силовики понесли бы ответственность за торговлю персональной информацией, единичны. При этом правительство планирует создание единого реестра сведений о населении, хотя не всегда обеспечивает безопасность уже существующих массивов данных.
Второе место в мире
Согласно аналитическому отчету компании InfoWatch за 2019 год, Россия вот уже седьмой год подряд занимает второе (после США) в мире место по числу утечек персональных данных. Всего специалистами InfoWatch было зарегистрировано 395 случаев утечки данных из российских компаний и государственных структур. В подавляющем большинстве случаев (87,3%) объектом утечек становились персональные данные и платежная информация. По сравнению с прошлым годом ситуация стала хуже: число утечек увеличилось на 46%, а объем скомпрометированной пользовательской информации вырос более чем в 6 раз.
Кроме того, также по данным компании InfoWatch больше трети мировых утечек персональных данных, связанных с коронавирусом, пришлось на Россию. Зачастую распространение такой информации приводило к агрессии против больных коронавирусом людей.
— За последние четыре года, по данным Ernst & Young, утечки персональных данных в мире составили более 8 млрд записей, - говорит пресс-секретарь компании Group-IB Павел Седаков. - В России более 88% случаев утечек персональных данных произошли по вине самих сотрудников компаний (во всем мире этот показатель ниже — 56%). В чем опасность подобных утечек? Любые персональные данные из утечек мошенники могут использовать в дальнейших преступных схемах - адресных фишинговых письмах, смс-сообщениях, обзвонах. Кроме, того новые «короновирусные» схемы с оформлением цифровых пропусков по сканам паспортов могут привести к тому, что мошенники будут использовать сканы при получении кредитов в МФО на других людей.
Распродажа персональных данных
Самые нашумевшие случаи утечек последнего времени были связаны с неспособностью властей обеспечить должную сохранность персональных данных россиян.
2 июля в одном из официальных аккаунтов российского МИДа в Twitter появилось предложение купить базу с персональными данными российских туристов, застрявших за рубежом из-за пандемии коронавируса и зарегистрировавшихся на портале «Госуслуг» для получения материальной помощи. Цена вопроса составляла 66 биткоинов (то есть, порядка 42,9 миллиона рублей по актуальному курсу). В следующем твите сообщалось, что в базе содержится более 115 000 данных, включая платежные.
Спустя некоторое время сотрудники МИДа заявили, что Twitter-аккаунт был взломан, а опубликованная в нем информация являлась фейком.
Как удалось выяснить «Би-би-си», первое сообщение о продаже базы данных российских туристов появилось еще 29 апреля. По словам продавца, в ней содержались названия стран, где застряли туристы, их паспортные и банковские данные, а также номера телефонов и адреса электронной почты. 11 июня было опубликовано сообщение о продаже расширенного варианта той же базы. С каждым новым предложением росли и объем базы, и цена в пересчете на одну строку. Проведя собственное расследование, журналист установил, что база данных, скорее всего, является подлинной. Кроме того, стало известно, что хакеры распродают базу по частям, и платить баснословные 66 биткоинов за полный реестр вовсе необязательно.
В июне РосКомСвобода направила жалобу в Роскомнадзор о незаконном получении, обработке и хранении Московской административной дорожной инспекцией персональных данных автовладельцев. С начала самоизоляции юристы Роскомсвободы получили от москвичей множество жалоб на штрафы за нарушение режима самоизоляции на автомобиле. Эти штрафы приходили от МАДИ без всяких протоколов, просто на основании данных с камер видеонаблюдений. При этом связанные с цифровыми пропусками дела находятся за рамками полномочий МАДИ, но это не помешало московскому правительству передать ей персональные данные автомобилистов для оформления штрафов за нарушение режима самоизоляции.
“Роскомнадзор” предсказуемо не увидел в этом никакого нарушения. Сейчас РосКомСвобода собирается обжаловать в суде как саму обработку штрафов со стороны МАДИ, так и бездействие надзорного ведомства.
Кроме того, РосКомСвобода помогла москвичке Елизавете Парамоновой подать жалобы в “Роскомнадзор” на трех операторов, отказавшихся удалять ее персональные данные: Департамент информационных технологий, «Информационный город», фонд «Московский инновационный кластер». Весной цифровой пропуск Парамоновой, необходимый для передвижения по городу, заблокировали, и, чтобы узнать причины блокировки, у нее не осталось никакого выхода, кроме как дать согласие на обработку персональных данных. Это согласие давалось сроком на 10 лет с правом на обработку данных третьими лицами.
«Для меня было важно обозначить несогласие с незаконной обработкой персональных данных сроком на 10 лет. Никакого другого выбора, кроме как согласиться, мне просто не оставили: без этого я не могла узнать причину блокировки цифрового пропуска», - объясняла Парамонова.
Когда же срок действия пропусков закончился, и Парамонова направила заявление об отзыве своего согласия, фонд «Московский инновационный кластер» и «Информационный город», а ДИТ Москвы ответил расплывчатой фразой с обещанием удалить данные в «установленные законодательством сроки по мере достижения целей».
Ведущий дело Парамоновой юрист РосКомСвободы Анна Карнаухова ожидает, что виновные будут привлечены к административной ответственности за нарушение законодательства о персональных данных.
7 июля группа экспертов Shadow Intelligence сообщила, что человек под ником Zpoint создал в даркнете впечатляющее торговое предложение: доступ к централизованному приложению для обработки видео с городских камер Москвы. Помимо возможности наблюдать в режиме реального времени (в том числе, со смартфона) за камерами, установленными в подъездах, дворах, парках, поликлиниках и школах, покупателю предлагался архив уже отснятого ими видео за 5 дней (ровно столько городские власти хранят съемки, сделанные в местах массового скопления людей). Оказавшись в руках злоумышленника, доступ к системе видеокамер и технологиям распознавания лиц предоставил бы ему широчайшие возможности для слежки за людьми.
Представитель Департамента информационных технологий Москвы, комментируя это сообщение, заявил, что предоставлять доступ к городским видеокамерам лицам, не являющимся представителями правоохранительных органов или исполнительной власти, противоправно.
9 июля «Медуза» опубликовала нашумевшее сообщение о том, что во время голосования за поправки к Конституции российские власти выложили, по сути, в открытый доступ реестр с паспортными данными более миллиона жителей Москвы и Нижегородской области. Зная серию и номер паспорта человека, можно было проверить, проголосовал ли он на референдуме.
Начальник управления по совершенствованию территориального управления и развитию смарт-проектов правительства Москвы Артем Костырко в ответ на расследование «Медузы» заявил, что серия и номер паспорта сами по себе, без ФИО и даты рождения человека, позволяющих его идентифицировать, не являются персональными данными.
И хотя в этом отношении он прав, это не отменяет того, что такой реестр все равно можно было использовать для слежки и давления: например, начальство бюджетников, которых традиционно заставляют повышать явку на всех российских выборах, могло с его помощью проверить, проголосовали ли их подчиненные.
Ранее становилось известно, что в даркнете появилась на продажу база из 129 миллионов строк с персональными данными автовладельцев, полученная, как утверждали ее распространители, из реестра ГИБДД. Что на протяжении декабря 2019 года была доступна для свободного скачивания база с данными более 28 000 россиян, проживающих в Ханты-Мансийском автономном округе и зарегистрированных на портале «Госуслуги». Что 5000 клиентов «Сбербанка» стали жертвами одного из сотрудников финансовой организации, продававшего в даркнете данные их кредитных карт. Что после массовых акций протеста летом 2019 года в Москве анонимные телеграмм-каналы начали распространять «базу сторонников Навального», которая содержала имена и паспортные данные людей, по всей видимости, полученные полицией при их задержании.
Коронавирус, диджитализация и человеческий фактор
- С одной стороны, количество утечек персональных данных в России выросло не так сильно, как число сообщений о них, - рассказывает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. – Новости на эту тему участились только из-за большего числа утечек, но и в связи с повышенным интересом к ней. С другой, определенный рост утечек действительно заметен с января этого года. У этого есть глобальные причины: цифровизация документооборота (мы видим, как информация повсеместно переносится в онлайн) и пандемия коронавируса. Чтобы хоть как-то обеспечить стабильную работу на удаленке, IT-отделы компаний были вынуждены в экстренном порядке предоставлять сотрудникам доступ в рабочую среду с домашних компьютеров. Где-то при этом выделялись избыточные права доступа, а где-то домашняя сеть не соответствовала требованиям безопасности.
Третья причина – человеческий фактор – по словам Дрозда, также тесно связана с пандемией: ком финансового бремени начал давить на прежде добросовестных сотрудников и подталкивать их к преступлению. В качестве характерного примера Дрозд приводит историю из Новосибирска.
В этом городе две женщины, одна из которых занимала должность менеджера в «Совкомбанке», открыли кадровое агентство для горожан, ищущих работу. «По счастливому совпадению» именно те персональные данные, которые соискатель сообщал, приходя в агентство, нужны были для получения в «Совкомбанке» кредита.
Используя служебное положение, одна из мошенниц оформляла его на клиентов «агентства». Денег они не видели, зато становились обладателями кредитных обязательствам. Таким образом женщинам удалось присвоить в общей сложности больше миллиона рублей.
- Если во многих странах правительство оказывало гражданам системную материальную поддержку во время пандемии, то в России, как кажется, власти были больше озабочены тем, чтобы получить больше штрафов за нарушение режима самоизоляции, - продолжает Дрозд. – В механизме этого инцидента мы видим, что персональные данные становятся предметом преступных махинаций, когда у инсайдера возникает нужда в дополнительном заработке. Когда у людей есть что кушать, они, как правило, не предоставляют персональных данных сомнительных кадровым агентствам и не занимаются мошенничеством.
«Необходимость контроля над контролерами»
В свете всего вышеизложенного понятную тревогу вызывает желание российских властей собирать и аккумулировать еще больше личной информации о гражданах.
Благодаря расследованию «Би-би-си» стало известно, что руководство Московского метрополитена собирается потратить 1,4 млрд рублей на то, чтобы оснастить четверть вагонов подземки системой видеонаблюдения и распознавания лиц подобной той, которая уже действует на улицах столицы. Более того, благодаря системе персональных коммуникаций (сбора и обработки больших данных, «цифрового шлейфа», который остается за каждым из москвичей) мэрия уже сейчас может получать информацию о поле, возрасте, социальном статусе, уровне дохода и номере телефона пассажиров подземки.
В апреле этого года Госдума одобрила законопроект о создании в России единого федерального информационного регистра сведений о населении. В регистр будет включено порядка 30 видов сведений о каждом гражданине РФ, собираемых в настоящий момент 13 различными ведомствами – от МВД, Пенсионного фонда и Минобрнауки до Речморфлота. К базовым сведениям отнесены ФИО, пол, дата рождения и смерти, ИНН, СНИЛС. К «дополнительным идентификаторам» - сведения об образовании, постановке на воинский и налоговый учет, данные о регистрации в системах страхования. Дата-центр для хранения и обработки сведений регистра будет построен в городе Городец Нижегородской области.
Полученный каждым гражданином РФ, иностранным гражданином и апатридом уникальный 11-разрядный номер будет использоваться при получении госуслуг и обращении в госорганы. Оператором получившегося массива данных назначена Федеральная налоговая служба, она же и будет отвечать за его безопасность. Помимо возможных проблем с безопасностью системы, беспокойство вызывает и то, что с создания такой системы может начаться появление в России социального рейтинга, подобного тому, который существует в Китае.
- Я сейчас выскажу непопулярное мнение: у нас не любят вспоминать о необходимости контроля над контролерами, - рассуждает Дрозд. – На самом деле идея единого реестра персональных данных всех россиян имеет право на существование, однако непонятно, кто будет иметь к нему доступ. И Facebook, и Google давно уже перевели своих сотрудников на персональные токены авторизации. Почему бы российским властям не сделать то же самое? Здесь мы вступаем на зыбкую почву конспирологических теорий о том, что они на самом деле совершенно не заинтересованы в сохранности персональных данных россиян.
В том самом докладе компании InfoWatch, с которого мы начали, говорится, что «в отличие от США, Европы, некоторых стран Азии, в России не наблюдается последовательного ужесточения регуляторной политики, ответственность за утечку данных (на примере персональных данных) остается номинальной, хотя законопроекты об увеличении штрафов обсуждаются более 6 лет».
Максимальное наказание по 137 («Нарушение неприкосновенности частной жизни») и 138 («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений») статьям УК РФ составляет 4 года лишения свободы, если преступление было совершено с использованием служебного положения. При этом ситуации, когда обвиняемыми по ним становились бы представители силовых ведомств, представляют собой чрезвычайную редкость.
Среди таких исключительных случаев можно привести в пример дело капитана ФСБ Анны Соловьевой. Она торговала информацией о регистрационных данных абонентов сотовых операторов, содержании их переговоров и геолокации. Осудили ее, правда, не по 138 статье УК РФ, а по ч.1 статьи 283 («Разглашение государственной тайны»), назначив 9 июля 2020 года наказание в виде трех лет лишения свободы условно.
На “недостаточно развитое” в РФ законодательство в этой сфере обратил внимание и глава Роскомнадзора Андрей Липов. Во время недавней встречи с президентом Владимиром Путиным Липов рассказал ему о том, что самый большой штраф за неправомерное использование персональных данных составляет 75 000 рублей, и это несоизмеримо с той выгодой, которую может из него извлечь преступник. Предложение Роскомнадзора увеличивать штрафы и срок давности по 138 статье УК РФ (сейчас он составляет всего год) можно было бы только приветствовать, если бы в России существовал по-настоящему независимый орган по защите данных.
Роскомнадзор на эту роль не подходит никак, потому что глава этого ведомства назначается президентом, не подотчетен парламенту и не ограничен сроком действия полномочий. Кроме того, у ведомства отсутствуют право дознания и самостоятельное финансирование.
Что из этого следует? То, что с новым законом жизнь станет хуже только для частных компаний. Крупные в таком случае станут договариваться, а мелкие из-за неподъемных штрафов начнут закрываться и банкротиться. Крупнейшие же операторы персональных данных - то есть, государственные органы - так и останутся неприкосновенными, ведь до них рука Роскомнадзора не дотянется никогда.
Что же до приговора Анне Соловьевой, то особенно мягким он выглядит на фоне постоянного наступления на цифровые свободы россиян и сотен уголовных дел за разглашение гостайны, возбуждаемых против граждан по самым странным поводам и заканчивающихся реальными сроками. До тех пор, пока эта опасная ассиметрия будет сохраняться, относиться с доверием к планам правительства по диджитализации персональных данных россиян было бы, по меньшей мере, странно.