...
...

Скандалище

В России разгорелся грандиозный скандал. Он связан с утечкой в поисковые системы персональных данных покупателей более чем 80 интернет-магазинов (включая секс-шопы), железнодорожных билетов, а также государственных документов под грифом «для служебного пользования». Судя по всему, в данном случае просто недоглядели поросшие свитерами сисадмины. Странно выглядит только одновременность утечки сразу из множества источников.

Президентская мера


26 июля президент России Дмитрий Медведев утвердил изменения в закон о персональных данных. Закон был принят Госдумой 5 июля и одобрен Советом Федерации 13 июля текущего года. В частности, изменения предусматривают, что нормативные правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, как это установлено в настоящее время, но и органы местного самоуправления, а также Банк России.

Документ также подробно регулирует вопросы, связанные с обращением к оператору субъекта персональных данных и уполномоченного органа по защите персональных данных, а также с поручением оператора другому лицу осуществлять обработку персональных данных, включая ответственность оператора перед субъектом персональных данных в случае такого поручения.





В целях выполнения обязанностей по обработке персональных данных оператору предписывается принимать необходимые и достаточные для этого меры, к которым могут относиться: определение политики в отношении обработки персональных данных; назначение лиц, ответственных за обработку персональных данных; принятие локальных нормативных актов; осуществление внутреннего контроля или аудита соответствия обработки персональных данных федеральному законодательству и требованиям к их защите; оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения указанных требований.

Федеральным законом также предусматривается, что уровни защищенности персональных данных при их обработке в информационных системах, требования к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем устанавливаются правительством РФ.

Странным образом прямо накануне подписания Медведевым поправок к закону «О персональных данных» в поисковых системах появились личные данные пользователей различных веб-сервисов и интернет-магазинов. Расследованием обстоятельств появления этих данных занялись Следственный комитет России, Министерство внутренних дел и ФСБ – слишком уж большим оказался масштаб проблемы.

Убежавшие данные

Первые сообщения о том, что в поисковую выдачу «Яндекса» стала попадать не предназначенная для разглашения информация, поступили в конце июля. Первоначально речь шла о текстах SMS-сообщений и номерах телефонов небольшого количества клиентов сотового оператора «Мегафон», однако уже в понедельник, 25 июля, стало известно, что с помощью специального запроса через поиск «Яндекса» можно обнаружить личные данные клиентов ряда интернет-магазинов, в том числе секс-шопов. В публичном доступе оказались имена, фамилии, контактная информация клиентов и предмет их заказов. «Яндекс» и Google проиндексировали более 50 тыс. страниц с информацией о покупателях онлайн-магазинов.

Сильнее других пострадали клиенты, в частности, таких интернет-магазинов, как Eleciga.ru, Sexyz.ru, Bagboom.com.ua и 12 других. В поисковой выдаче по ним указывались электронные адреса, перечень заказов, стоимость покупки, IP-адреса, с которых заходили покупатели, а также адреса, по которым надо доставить товар.

Федеральная служба России по надзору в сфере связи и массовых коммуникаций (Роскомнадзор) выявила более 80 интернет-магазинов, информация о клиентах которых попала в открытый доступ.

На следующий день в СМИ появились сообщения об аналогичной утечке с сайтов для заказа железнодорожных билетов Railwayticket.Ru. При определенном запросе поисковик выдает в результатах всю информацию о заказанных билетах, включая фамилию, имя и отчество пассажира, дату отправления поезда, его номер, пункт отправления и назначения.

Также 26 июля поиск «Яндекса» проиндексировал порядка 100 страниц с паспортными данными пользователей известного сайта Туту.ру. Предыдущие случаи, когда в поиск «Яндекса» попадали персональные данные, не содержали столь конфиденциальную информацию.

Компания «Яндекс» объяснила, что утечка данных произошла по вине создателей сайтов, некорректно заполнивших файл robots.txt, который дает сигнал поисковику, какая информация с той или иной страницы сайта не подлежит индексации. Тем временем личные данные клиентов интернет-магазинов попали в поисковую выдачу не только «Яндекса», но и других поисковиков, таких как Google, Bing и Поиск@Mail.Ru.

Дальше – больше. В поиск «Яндекса» попали фотографии, выложенные российскими пользователями QIP. Поисковик проиндексировал около 37 тыс. страниц с фотографиями пользователей популярного мессенджера. Фотографии людей, животных, зданий и прочего, сделанные пользователями на фотоаппараты, веб-камеры и телефоны, стали доступны любому пользователю без регистрации.

Однако в поиск попали лишь те фотографии, разрешение на публикацию которых дали сами пользователи. «При размещении фотографии на file.qip.ru пользователь может выбрать, открыть или скрыть доступ к ней другим пользователям Интернета. В поиске "Яндекса" оказался лишь открытый архив», – пояснил журналистам генеральный директор «МедиаМира» Михаил Гуревич. file.qip.ru – партнерский сервис, не развиваемый «МедиаМиром». Никаких утечек персональных данных при индексации открытого архива на Qip.ru не произошло, подчеркнул Михаил Гуревич.

В то же время под каждой фотографией добавлена подпись: «Этот файл хранится на личном виртуальном носителе пользователя сервиса file.qip.ru. Файл открыт для общего доступа и скачивания. Всю ответственность за содержимое данного файла несет пользователь, разместивший данный файл». Однако непонятно, почему «Яндекс» выдает в поиске ту информацию, которую обычно пользователи предпочитают не распространять по всей Сети. Кроме того, неизвестно, кто и в каких целях может использовать личные фотографии.

Однако настоящая паника началась после того, как поисковик Google проиндексировал конфиденциальные документы, размещенные на официальном сайте органов государственной власти России. При определенном запросе Google выдает в результатах более сотни документов под грифом «для служебного пользования» в формате DOC и PDF. Среди оказавшихся в публичном доступе есть документы, датированные с 2002 по 2011 годы. По данным сайта supreme2.ru, при изменении параметров запроса поисковик выдает несколько документов под грифом «секретно».

В открытом доступе оказались некоторые документы Федеральной антимонопольной службы (ФАС), Федеральной миграционной службы (ФМС), Счетной палаты, Минэкономразвития, Главного управления специальных программ президента России, Высшей аттестационной комиссии Минобрнауки России, портала госзакупок, а также документы региональных отделений органов государственной власти.

Правда, уже через день представители ФСБ сообщили, что на самом деле проиндексированные документы секретными не являются. Впрочем, расследование спецслужбы не прекратили, что заставляет несколько усомниться в их заявлениях.

Последствия и принятые меры

Уголовная ответственность в случае возбуждения дела по факту утечек будет грозить лицам, способствовавшим появлению личных данных пользователей интернет-магазинов и клиентов сотовых операторов. Пока решение о возбуждении дела принято не было, однако российские юристы предполагают, что оно будет заведено по статье 138 УК РФ («Нарушение тайны переписки»).

Пока спецслужбы ищут виноватых, другие ведомства стараются решить проблему. Так, Роскомнадзор попросил поисковые системы изучить возможность блокировки запросов, выдающих персональные данные. Microsoft согласилась, Google сама удаляет спорные данные, а «Яндекс» предлагает защищать данные клиентов самим владельцам сайтов Роскомнадзор также сообщил, что начал проверять российские интернет-магазины на предмет нарушения законодательства о персональных данных. Имена, фамилии, адреса и содержание заказов покупателей до сих пор можно обнаружить в поиске «Яндекса», сообщает компания «Информзащита». А журналисты газеты «Ведомости» обнаружили, что такие данные не убраны и в других поисковиках – Google, Bing, Mail.ru.

Между тем, еще 26 июля Роскомнадзор установил, что в открытый доступ попали данные покупателей более 80 российских интернет-магазинов. Руководство ведомства даже пообещало попросить разобраться в ситуации прокуратуру, как только будут найдены владельцы «виновных» магазинов. Об этом сообщил представитель Роскомнадзора Михаил Воробьев.

По словам Воробьева, привлечь поисковые системы за нарушение закона «О персональных данных» нельзя: их функции сводятся лишь к индексации страниц с персональными данными. Но чтобы предотвратить утечки, Роскомнадзор, по словам Воробьева, попросил «Яндекс», Google, Microsoft (поисковик Bing) и Mail.ru рассмотреть техническую возможность блокировать запрос, который позволяет получить доступ к персональным данным. Практически сразу «Яндекс» сообщил, что он просьбу Роскомнадзора не выполнит. По словам его представителя Очира Манджикова, «Яндекс» не удаляет страницы из результата поиска, пока владельцы сайта не примут мер, чтобы их содержимое не было доступно поисковой системе. А для этого нужно ограничить доступ к страницам через файл robots.txt.

Google, по словам его представителя Аллы Забровской, может сам удалить данные из индекса, если получит информацию – от пользователей и из других источников, включая госорганы, – о незаконно опубликованных персональных данных. Забровская пообещала, что ссылки на данные пользователей интернет-магазинов тоже будут удалены.

Последние утечки – особый случай, считает представитель Microsoft Александра Паришева: «Поисковые системы сканируют информацию в публичном доступе, но мы прорабатываем техническую возможность ограничения доступа к опубликованным персональным данным граждан».

За нарушение закона «О персональных данных» интернет-магазинам грозит штраф, добавил эксперт в области телекоммуникационного права Антон Богатов. При этом компании не произвели никаких действий, которые прямо или косвенно привели к утечке персональных данных, отметил Богатов. Интернет-магазины для обработки персональных данных использовали дефектное ПО, которое должно быть сертифицировано ФСТЭК, уверен Богатов. «То, что разглашение персональных данных зависит от обработки роботом поисковой машины файла robots.txt, – это явный дефект программного обеспечения», – заявил юрист. В этом случае претензии правоохранителей могут быть адресованы в сертифицирующие органы и разработчикам программного обеспечения, отметил он. Так, сайт railwayticket.ru обрабатывает персональные данные без сертификата ФСТЭК.

Если правоохранительные органы установят, что директор интернет-магазина знал, что приобретает программу для обработки данных с дефектом, то он также будет отвечать, добавляет партнер юридической компании Art de lex Евгений Арбузов. По его словам, лицам, чьи персональные данные попали в открытый доступ, для компенсации материального или морального ущерба нужно будет установить факт распространения данных и обосновать суду неблагоприятные последствия, которые наступили в результате инцидента.

В нескольких онлайновых секс-шопах и других магазинах отказались от комментариев. Потребители интимных товаров, чьи имена и телефоны оказались в интернет-поисковиках, скорее всего, не будут обращаться в суды, чтобы не давать дополнительных информационных поводов, прогнозирует Арбузов. Генеральный директор компании «Ашманов и партнеры» Игорь Ашманов не исключает, что новый виток скандала с утечкой персональных данных является «наездом на «Яндекс». «Хочется верить, что это не заказ «Яндекса». Скорее это очень громкий сигнал к тому, чтобы повышать безопасность в Интернете», – считает председатель Регионального общественного центра интернет-технологий Марк Твердынин.

По словам менеджера компании «Информзащита» Олега Глебова, в поисковиках «тысячи» страниц с персональными данными покупателей, и эта информация представляет ценность для злоумышленников: зная e-mail, можно взломать страничку в социальной сети. Именно «Информзащита» распространила в СМИ новость об утечке данных в «Яндексе». Но это не собственное исследование компании, данные прислал человек, который «копал в «Яндексе», отметил Глебов. Большинство утечек так и находятся, добавляет Ашманов. «Можно просто сесть и изобрести десятки поисковых запросов, которые указывают на такие же уязвимости. Например: «выдан УФМС по г. Москве отделение Ясенево». Так что это и способ попиариться», – заключил он.

Между тем Союз потребителей России подал в суд на «Мегафон» за утечку SMS, третьим лицом по иску заявлена компания «Яндекс». В Союзе считают, что «Мегафон» нарушил тайну переписки, право на которую прописано в Конституции РФ, законе «О связи» (тайна связи), а также законе о персональных данных. Абонент вправе требовать компенсацию морального вреда, считает глава организации Петр Шелищ.

«Мегафон» со своей стороны решил дать абонентам, пострадавшим от утечки SMS, бонусные SMS или минуты разговора. Следственный комитет пообещал проверить обстоятельства утечки текстов SMS-сообщений клиентов Мегафона в открытый доступ.

Эксперты, опрошенные РИА Новости, говорят, что в таких ситуациях виноваты безалаберные разработчики сайтов, которые не обращают внимания на защиту персональных данных пользователей. При этом понять простому пользователю, насколько тот или иной сайт надежен с точки зрения защиты персональной информации, невозможно. Поэтому эксперты предлагают перенять опыт Европы, где работает ассоциация Trusted Shops. Она занимается проверкой и сертификацией интернет-магазинов. Только после этой проверки магазин может разместить на своем сайте специальный знак, свидетельствующий покупателям о том, что их персональные данные при покупках будут защищены от посторонних глаз.

Денис Лавникевич



© Компьютерная газета

полезные ссылки
Обзор банков Кипра
Обзор банков Кипра