Проблемы обработкиперсональных данных в Интернете

Все, что написано ниже, – это персональное/субъективное (иногда провоцирующее задуматься) мнение автора статьи. Редакция не несет ответственности за корректность и актуальность информации, изложенной ниже, а также за доступность указанных автором ссылок на первоисточники.

Так бы я на месте главного редактора журнала начал представление материала, предложенного вам к ознакомлению. Почему? Потому что тема изначально скандальная и разного рода экспертизы огромное количество доступно в открытых источниках. Базовому вопросу уже более 12 лет (привет, Федеральных закон 152-ФЗ о персональных данных 2006 г.), а решения, удовлетворяющего все стороны, до настоящего времени не найдено, не придумано и пока особо никем не ищется. Буду ли я как автор данной статьи претендовать на лавры первопроходца? Это вряд ли. Тогда в чем скандальность темы и собственно проблематика? Давайте разбираться.

Часть 1

Ежедневно мы читаем сообщения в СМИ о массовых компрометациях в Интернете персональных данных (ПДн) определенных групп субъектов в России и в мире, куда, теоретически (или весьма вероятно?) можем входить и мы с вами. Примеры таких сообщений представлены ниже по тексту. Все мы, пользователи Интернета, счастливые обладатели электронной почты, как минимум раз в жизни регистрировались на каком-либо внешнем хостинге (какие при этом данные указывали и ПДн ли – это вопрос второй). Другой пример неумышленного указания ПДн в Интернете – электронные платежи по реквизитам пластиковой карты. Удобство и быстрота электронных переводов на сайтах в сети составляет значимую часть быта держателей банковских карт. А ведь совершение платежа предполагает неявную регистрацию в процессе заполнения форм, указания реквизитов карты плательщика и данных получателя. Яркий пример размещения ПДн в Интернете: мобильные приложения, привязанные к ним сервисы и продукты становятся доступными для абонентов только после указания неких реквизитов, в отдельных случаях – ПДн. И если смотреть со стороны бизнеса или обычного интернет-пользователя, то в описанных выше примерах нет ничего страшного или угрожающего информационной безопасности. Это все базовые современные технологии или, если хотите, обязательное требование времени.

Часть 2

Однако с позиции специалистов по информационной безопасности (чья профессиональная деятельность часто может сопровождаться вялотекущей паранойей) размещение (умышленное или случайное) субъектами собственных ПДн в Интернете не только повышает риски совершения атак на субъекта ПДн с причинением ему материального или имиджевого ущерба, но и своими растущими масштабом, простотой и доступностью способствует повышению мотивации злоумышленников к совершению все новых и новых преступлений в Интернете. Уязвимости портальных Web-интерфейсов, некорректная настройка типовой базы данных, слабые пароли администраторов, социальная инженерия в отношении привилегированных пользователей, подмена реквизитов по схеме "человек посередине", удаленный доступ к рабочему месту и серверу, на котором обрабатываются ПДн – злоумышленники и в 2018 г. (как и много лет до этого момента) продолжают использовать не слишком широкий, но показательно эффективный спектр инструментов для атак на интересующие их хранилища или персонально в отношении субъектов ПДн на просторах Всемирной паутины. Но чаще всего именно недобросовестное отношение оператора к обработке ПДн является основной причиной нарушения конфиденциальности или массовой утечки ПДн через Интернет.

При подготовке данной статьи я постарался найти и проанализировать ранее неизвестные случаи утечки или некорректной обработки ПДн в Интернете. И нашел их, как это ни странно, в практике работы Национального центра по защите персональных данных Республики Молдова (далее по тексту – НЦЗПД РМ). Для иллюстрации масштаба проблемы некорректной обработки ПДн в Интернете реальные случаи из повседневной практики регулятора из так или иначе близкого нам государства подходят как нельзя лучше.

2014 год

НЦЗПД РМ выявил незаконное размещение на портале Центральной избирательной комиссии в Интернете ПДн граждан РМ. После громкого судебного разбирательства, связанного в том числе с незаконным коммерческим использованием размещенных в общем доступе ПДн граждан РМ, во втором квартале 2015 г. НЦЗПД РМ вынудил в судебном порядке Центральную избирательную комиссию и Государственную регистрационную палату Молдовы, которые много лет до этого выкладывали в общий доступ на своих сайтах в Интернете ПДн, прекратить подобную практику.

2015 год

Вызвал широкий резонанс беспрецедентный случай, связанный с раскрытием идентификационных данных детей, подвергшихся сексуальному насилию. В мае 2015 г. Центр по защите прав женщин уведомил НЦЗПД РМ о незаконной обработке ПДн одним из судов, который опубликовал в Интернете в открытом доступе личные ПДн детей/несовершеннолетних (имя, домашний адрес, дата рождения). Опубликованная информация содержала медицинские диагнозы отдельных субъектов ПДн. Указанная информация более года находилась в общем доступе и по решению другого суда была срочно изъята с сайта и обезличена.

2016 год

Завершено одно из самых громких расследований НЦЗПД РМ, связанное с компанией STARNET, которая разместила ПДн своих клиентов в Интернете в свободном доступе. По результатам проведенной экспертизы подтверждены отсутствие согласия клиентов на подобные действияй, наличие открытого доступа к ПДн, обрабатываемых в информационной системе STARNET, фактическая обработка (хранение) в STAR-NET ПДн, отсутствие необходимой системы защиты информации и другие нарушения. В отношении организации, допустившей нарушения, судом выбрана соответствующая мера наказания.

И таких примеров в практике НЦЗПД РМ или аналогичного отечественного регулятора можно найти десятки, если не сотни в год.

Часть 3

Громкие и масштабные утечки субъектов ПДн невольно заставляют задуматься специалистов по защите информации как об ИБ (не как о состоянии на момент формальной комплаенс-проверки, а как о сложном процессе, наблюдаемом во времени), так и об основаниях для обработки ПДн (в том числе согласно п. 2.1. ФЗ-152) граждан РФ на сторонних (порой запрещенных на территории РФ или расположенных за пределами страны) порталах. Если вопросам проверки защищенности, поиска и устранения уязвимостей организаторы крупнейших российских медиа-порталов уделяют хоть какое-то, пусть минимальное, внимание, то вопросам комплаенса и выполнения требований территориальных органов и федеральных регуляторов в случае с крупнейшими интернет-проектами уделяется минимум ресурсов по остаточному принципу. Тут масштаб проблемы хорошо проиллюстрирует статистика работы отечественного Роскомнадзора. Согласно Реестру нарушителей прав субъектов ПДн, размещенному на сайте регулятора, только за неполные шесть месяцев 2018 г. Роскомнадзор заблокировал более 500 различных сайтов и порталов в Интернете. Более 600 сайтов, получивших предписание Роскомнадзора, самостоятельно удалили ПДн со своих страниц, не дожидаясь блокировки, объявленной в качестве потенциального наказания за нарушение ФЗ-152.

К сожалению, не все актуальные проблемы попали в фокус рассмотрения Роскомнадзора за истекший период работы. Следующие вопросы и нестыковки по состоянию на октябрь 2018 г. до конца не решены (обозначим их крупными мазками):

1. Неоднозначная/вариативная трактовка термина "персональные данные" (ПДн) при их обработке в Интернете.
Определение ПДн из ФЗ-152 представлено выше по тексту. А вот, к примеру, определение ПДн (личная информация) с точки зрения корпорации Google: "личная информация – это предоставленные вами компании Google сведения, которые позволяют установить вашу личность. К ним относятся имя, адрес электронной почты, платежные данные и прочие сведения, которые могут расцениваться компанией Google как идентифицирующие, например информация из вашего аккаунта Google". В свою очередь сервис Mail.ru под термином "личные данные" понимает следующий набор: имя, фамилия, псевдоним, фотография, дата рождения, пол, город, часовой пояс, номер телефона и т.д. Попытка формально уйти от соответствия определению термина ПДн, данному в законе ФЗ-152, регулярно приводит к идейным спорам.

2. Трансграничная передача и обработка ПДн в Интернете.
В сентябре 2016 г. появились новости в СМИ, породившие волну негодования пользователей портала LinkedIN в связи с его скоропостижной блокировкой на территории РФ. Оставим за рамками данной статьи реальные причины и следствия того скандала и укажем в качестве иллюстрации только официальную версию уполномоченного органа. Роскомнадзор тогда выиграл слушания в Таганском суде Москвы о нарушении организаторами LinkedIN ст. 12 закона ФЗ-152 в части трансграничной передачи ПДн, (по другим источникам – в части несогласованной передачи ПДн иностранным третьим лицам и хранения ПДн пользователей в ЦОД вне территории РФ). На основании полученного решения суда уполномоченный орган совместно с операторами связи практически сразу начал планомерно блокировать доступ с территории РФ к порталу LinkedIn. Ближе к зиме 2016 г. появились официальные отчеты регулятора об успешном завершении блокировок.

А что же другие импортные социальные сети? Характерны ли для них, продолжающих по состоянию на октябрь 2018 г. быть доступными для отечественных пользователей, описанные выше нарушения? Вероятнее всего ответ на этот вопрос – да. Проводили ли организаторы иностранных медиапроектов, работающих в России, разборы полетов по кейсу с LinkedIN – уверен (как минимум в двух известных мне случаях), что проводили. Завершены ли работы по минимизации подобных комплаенс-рисков для них? А вот тут большой вопрос, учитывая что основные ЦОД для поддержки крупнейших интернет-проектов продолжают размещаться вне территории РФ. Вопрос открытый, но для понимания сути проблемы № 2 более писать ничего не будем.

3. Вторжение в личное пространство внутри социальной сети, выраженное в получении несанкционированного субъектом ПДн доступа к персональной переписке и вложениям.
Первое, что приходит на ум при прочтении третьей актуальной проблемы, – это слово "хакеры". Однако при дальнейшем рассмотрении модель нарушителя постепенно расширяется. В нее целесообразно включить нелояльных администраторов серверов и баз данных, маркетинговых аналитиков и аналитиков специальных служб и многих других, кто потенциально (официально или случайно) способствует утечке ПДн в Интернет и совершению атак на субъекта, оставившего свои ПДн на целевом портале.

При подготовке материала для статьи я вспомнил, что не так давно получил электронное сообщение на один из своих почтовых ящиков, используемых для регистрации неосновных учетных записей в социальных сетях и интересных мне новых медиапроектах. Текст сообщения передаю вниманию читателя дословно: "Let's get straight to the point. I know that 1qaz1QAZ is your pass word. Moreover, I know your secret and I've proof of it. You do not know me and nobody paid me to examine you. It is just your hard luck that I stumbled across your misadventures...". И далее в том же духе. Сообщение содержит угрозу разглашения моих (размещенных мною в профиле при регистрации на взломанном портале) ПДн вследствие их компрометации третьим лицом и предложение выкупить свои ПДн за небольшое (по меркам автора рассылки) вознаграждение.

Понятно, что этот обезличенный текст скорее всего рассылался его авторами вслепую, полагаясь на авось, и, по теории больших цифр, чем шире область рассылки, тем больше вероятность, что она сработает хотя бы раз. Получив доступ к базе электронных адресов пользователей уязвимого портала, злоумышленники используют эту информацию в том числе для проведения атак класса "социальная инженерия".

4. Отсутствие у интернет-оператора письменного согласия субъекта ПДн на обработку им ПДн данного субъекта.
Форма письменного согласия субъекта на обработку его ПДн, основные ее позиции, последовательность и примеры заполнения размещены на портале Роскомнадзора уже более 10 лет. При этом организаторы интернет-порталов и социальных сетей при регистрации новых учетных записей продолжают использовать свои собственные формы, терминологию и аргументы, не предлагающие соблюдение установленных норм.

Большинство специалистов по информационной безопасности сходятся во мнении, что постановка галочки в Web-форме при регистрации, без использования электронной подписи или другого аналога собственноручной подписи субъекта, является существенным нарушением требований ФЗ-152 о получении оператором письменного согласия субъекта ПДн. Так или иначе, этот вопрос до сих пор окончательно не решен.

5. Нарушение требований об использовании для защиты ПДн субъектов – граждан РФ только сертифицированных ФСТЭК средств защиты информации и криптографических средств защиты с действующими аттестатами соответствия, подтвержденными ФСБ.
Для иллюстрации данной проблемы можно воспользоваться выдержкой из политики конфиденциальности компании Google (в действующей редакции). Вот о чем Google любезно информирует пользователей: "Поскольку наши серверы расположены в разных регионах по всему миру, информация конкретного пользователя может обрабатываться не в той стране, в которой он проживает. Уровень защиты информации и законодательные нормы в этой сфере могут различаться в разных странах. Вне зависимости от того, где именно осуществляется обработка Ваших данных, компания Google использует одни и те же меры обеспечения их безопасности, описанные в этой Политике конфиденциальности. Google также придерживается ряда законодательных норм в сфере передачи данных, среди которых рамочное соглашение между США и ЕС в отношении конфиденциальности EU-US Privacy Shield Framework, а также аналогичное соглашение между США и Швейцарией Swiss-US Privacy Shield Framework". Понято, что при таком подходе к защите информации вопрос об использовании сертифицированных и аттестованных средств защиты ПДн становится для интернет-оператора ПДн второстепенным.

И таких вопросов остается незакрытыми еще очень много! Профилирование в аналитических системах хостера, таргетинг и персональные предложения, нарушение требования закона о забвении… "И что дальше?!" – спросите вы. Подумайте, так ли вам и вашим близким нужно раскрывать всего себя и указывать реальные данные при регистрации в формах интернет-операторов ПДн? Неужели степень притягательности сыра настолько велика, что риски компрометации и вероятность использования третьими лицами против вас ваших реальных ПДн забывается и не берется во внимание... Не забывайте читать политики конфиденциальности и условия эксплуатации сервисов интернет-операторов ПДн. В них (в любой доступной редакции) всегда можно найти много любопытного, в том числе нарушающего требования действующего на территории РФ законодательства.