Контакты
Подписка
МЕНЮ
Контакты
Подписка

Проблемы обработки персональных данных в Интернете

Алексей Плешков, 17/12/18

pleshkov_mВсе, что написано ниже, – это персональное/субъективное (иногда провоцирующее задуматься) мнение автора статьи. Редакция не несет ответственности за корректность и актуальность информации, изложенной ниже, а также за доступность указанных автором ссылок на первоисточники.

Так бы я на месте главного редактора журнала начал представление материала, предложенного вам к ознакомлению. Почему? Потому что тема изначально скандальная и разного рода экспертизы огромное количество доступно в открытых источниках. Базовому вопросу уже более 12 лет (привет, Федеральных закон 152-ФЗ о персональных данных 2006 года), а решения, удовлетворяющего все стороны, до настоящего времени не найдено, не придумано и пока особо никем не ищется. Буду ли я как автор данной статьи претендовать на лавры первопроходца? Это вряд ли. Тогда в чем скандальность темы и собственно проблематика? Давайте разбираться.

Часть 1

Ежедневно мы читаем сообщения в СМИ о массовых компрометациях в Интернете персональных данных (ПДн) определенных групп субъектов в России и в мире, куда, теоретически (или весьма вероятно?) можем входить и мы с вами. Примеры таких сообщений представлены ниже по тексту. Все мы, пользователи Интернета, счастливые обладатели электронной почты, как минимум раз в жизни регистрировались на каком-либо внешнем хостинге (какие при этом данные указывали и ПДн ли – это вопрос второй). Другой пример неумышленного указания ПДн в Интернете – электронные платежи по реквизитам пластиковой карты. Удобство и быстрота электронных переводов на сайтах в сети составляет значимую часть быта держателей банковских карт. А ведь совершение платежа предполагает неявную регистрацию в процессе заполнении форм, указания реквизитов карты плательщика и данных получателя. Яркий пример размещения ППн в Интернете: мобильные приложения, привязанные к ним сервисы и продукты становятся доступными для абонентов только после указания неких реквизитов, в отдельных случаях – ПДн. И если смотреть со стороны бизнеса или обычного интернет-пользователя, то в описанных выше примерах нет ничего страшного или угрожающего информационной безопасности. Это все базовые, современные технологии или, если хотите, обязательное требование времени.

Часть 2

Однако с позиции специалистов по информационной безопасности (чья профессиональная деятельность часто может сопровождаться вялотекущей паранойей) размещение (умышленное или случайное) субъектами собственных ПДн в Интернете не только повышает риски совершения атак на субъекта ПДн с причинением ему материального или имиджевого ущерба, но и своими растущими масштабом, простотой и доступностью способствует повышению мотивации злоумышленников к совершению все новых и новых преступлений в Интернете. Уязвимости портальных Web-интерфейсов, некорректная настройка типовой базы данных, слабые пароли администраторов, социальная инженерия в отношении привилегированных пользователей, подмена реквизитов по схеме "человек посередине", удаленный доступ к рабочему месту и серверу, на котором обрабатываются ПДн – злоумышленники и в 2018 г. (как и много лет до этого момента) продолжают использовать не слишком широкий, но показательно эффективный спектр инструментов для атак на интересующие их хранилища или персонально в отношении субъектов ПДн на просторах Всемирной паутины. Но чаще всего именно недобросовестное отношение оператора к обработке ПДн является основной причиной нарушения конфиденциальности или массовой утечки ПДн через Интернет.

Российские аналитические компании и крупные исследовательские лаборатории ежегодно публикуют отчеты о самых громких утечках ПДн в России в разрезе своих и чужих клиентов. Красочные графики, растущие с каждым годом цифры и наглядные зависимости не могут оставить читателя равнодушным. Все отчеты размещены в общем доступе на соответствующих сайтах.

Однако при подготовке данной статьи я постарался найти и проанализировать ранее неизвестные случаи утечки или некорректной обработки ПДн в Интернете. И нашел их, как это ни странно, в практике работы Национального центра по защите персональных данных Республики Молдова (далее по тексту – НЦЗПД РМ). Для иллюстрации масштаба проблемы некорректной обработки ПДн в Интернете реальные случаи из повседневной практики регулятора из так или иначе близкого нам государства подходят как нельзя лучше.

2014 год

НЦЗПД РМ выявил незаконное размещение на портале Центральной избирательной комиссии в Интернете ПДн граждан РМ. После громкого судебного разбирательства, связанного в том числе с незаконным коммерческим использованием размещенных в общем доступе ПДн граждан РМ, во втором квартале 2015 г. НЦЗПД РМ вынудил в судебном порядке Центральную избирательную комиссию и Государственную регистрационную палату Молдовы, которые много лет до этого выкладывали в общий доступ на своих сайтах в Интернете ПДн, прекратить подобную практику.

2015 год

Вызвал широкий резонанс беспрецедентный случай, связанный с раскрытием идентификационных данных детей, подвергшихся сексуальному насилию. В мае 2015 г. Центр по защите прав женщин уведомил НЦЗПД РМ о незаконной обработке ПДн одним из судов, который опубликовал в Интернете в открытом доступе личные ПДн детей/несовершеннолетних (имя, домашний адрес, дата рождения). Опубликованная информация содержала медицинские диагнозы отдельных субъектов ПДн. Указанная информация более года находилась в общем доступе и по решению другого суда была срочно изъята с сайта и обезличена.

2016 год

Завершено одно из самых громких расследований НЦЗПД РМ, связанное с компанией STARNET, которая разместила ПДн своих клиентов в Интернете в свободном доступе. По результатам проведенной экспертизы подтверждены отсутствие согласия клиентов на подобные действияй, наличие открытого доступа к ПДн, обрабатываемых в информационной системе STARNET, фактическая обработка (хранение) в STARNET ПДн, отсутствие необходимой системы защиты информации и другие нарушения. В отношении организации, допустившей нарушения, судом выбрана соответствующая мера наказания.

И таких примеров в практике НЦЗПД РМ или аналогичного отечественного регулятора можно найти десятки, если не сотни в год.

Часть 3

Громкие и масштабные утечки субъектов ПДн невольно заставляют задуматься специалистов по защите информации как об ИБ (не как о состоянии на момент формальной комплаенс-проверки, а как о сложном процессе, наблюдаемом во времени), мелькающих в сводках компаний с представительством (сайтом) в Интернете, так и об основаниях для обработки ПДн (в том числе согласно п. 2.1. ФЗ-152) граждан РФ на сторонних (порой запрещенных на территории РФ или расположенных за пределами страны) порталах. Если вопросам проверки защищенности, поиска и устранения уязвимостей организаторы крупнейших российских медиапорталов уделяют хоть какое-то, пусть минимальное, внимание, то вопросам комплаенса и выполнения требований территориальных органов и федеральных регуляторов в случае с крупнейшими интернет-проектами уделяется минимум ресурсов по остаточному принципу. Тут масштаб проблемы хорошо проиллюстрирует статистика работы отечественного Роскомнадзора. Согласно Реестру нарушителей прав субъектов ПДн, размещенному на сайте регулятора, только за неполные шесть месяцев 2018 г. Роскомнадзор заблокировал более 500 различных сайтов и порталов в Интернете. Более 600 сайтов, получивших предписание Роскомнадзора, самостоятельно удалили ПДн со своих страниц, не дожидаясь блокировки, объявленной в качестве потенциального наказания за нарушение ФЗ-152.

Какие нерешенные вопросы и явные нарушения по обработке ПДн чаще всего вызывают негатив у регулятора и реакцию специалистов по защите информации применительно к обработке ПДн в Интернете? Для ответа на этот вопрос открываем сайт Роскомнадзора и читаем самый актуальный по состоянию на 2018 г. отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2016 г. Было бы интересно получить актуальные цифры, но даже данные двухлетней давности говорят о том, что регулятор не слишком внимательно относится к проблемам обработки ПДн на просторах Интернета. Более 360 тыс. операторов персональных данных внесено в реестр операторов (по состоянию на начало 2017 г.) на основании собственноручно направленного регулятору уведомления по установленной форме. Более 1 тыс. проверок операторов ПДн реализовано уполномоченным органом в 2016 г. Порядка 60 решений суда позволили внести в черный список (реестр нарушителей) более 160 интернет-ресурсов, на которых выявлены несоответствия отдельным статьям 1ФЗ-152 и владельцы которых отказались устранять обозначенные регулятором предписания. 2015 и 2016 гг. демонстрируют стабильность в вопросе поступления в Роскомнадзор обращений субъектов ПДн о нарушениях в обработке их ПДн. Суммарно более 67 тыс. обращений за два года обработано сотрудниками уполномоченного органа в разрезе всех регионов РФ (это больше, чем за предыдущие восемь лет работы регулятора). Более 81 тыс. операторов из реестра Роскомнадзора письменно сообщили о том, что оборудование, на котором происходит обработка ПДн, размещено на территории РФ.

К сожалению, не все актуальные проблемы попали в фокус рассмотрения Роскомнадзора за истекший период работы. Следующие вопросы и нестыковки по состоянию на октябрь 2018 г. до конца не решены (обозначим их крупными мазками):

1. Неоднозначная/вариативная трактовка термина "персональные данные" (ПДн) при их обработке в Интернете.

Определение ПДн из ФЗ-152 представлено выше по тексту. А вот, к примеру, определение ПДн (личная информация) с точки зрения корпорации Google: "личная информация – это предоставленные вами компании Google сведения, которые позволяют установить вашу личность. К ним относятся имя, адрес электронной почты, платежные данные и прочие сведения, которые могут расцениваться компанией Google как идентифицирующие, например информация из вашего аккаунта Google". В свою очередь сервис Mail.ru под термином "личные данные" понимает следующий набор: имя, фамилия, псевдоним, фотография, дата рождения, пол, город, часовой пояс, номер телефона и т.д. Попытка формально уйти от соответствия определению термину ПДн, данному в законе ФЗ-152, регулярно приводит к идейным спорам.

2. Трансграничная передача и обработка ПДн в Интернете.

В сентябре 2016 г. появились новости в СМИ, породившие волну негодования пользователей портала LinkedIN в связи с его скоропостижной блокировкой на территории РФ. Оставим за рамками данной статьи реальные причины и следствия того скандала и укажем в качестве иллюстрации только официальную версию уполномоченного органа. Роскомнадзор тогда выиграл слушания в Таганском суде Москвы о нарушении организаторами LinkedIN ст. 12 закона ФЗ-152 в части трансграничной передачи ПДн, (по другим источникам – в части несогласованной передачи ПДн иностранным третьим лицам и хранения ПДн пользователей в ЦОД вне территории РФ). На основании полученного решения суда уполномоченный орган совместно с операторами связи практически сразу начал планомерно блокировать доступ с территории РФ к порталу LinkedIn. Ближе к зиме 2016 г. появились официальные отчеты регулятора об успешном завершении блокировок.

А что же другие импортные социальные сети? Характерны ли для них, продолжающих по состоянию на октябрь 2018 г. быть доступными для отечественных пользователей, описанные выше нарушения? Вероятнее всего ответ на этот вопрос – да. Проводили ли организаторы иностранных медиапроектов, работающих в России, разборы полетов по кейсу с LinkedIN – уверен (как минимум в двух известных мне случаях), что проводили. Завершены ли работы по минимизации подобных комплаенс-рисков для них? А вот тут большой вопрос, учитывая что основные ЦОД для поддержки крупнейших интернет-проектов продолжают размещаться вне территории РФ. Вопрос открытый, но для понимания сути проблемы № 2 более писать ничего не будем.

3. Вторжение в личное пространство внутри социальной сети, выраженное в получении несанкционированного субъектом ПДн доступа к персональной переписке и вложениям.

Первое, что приходи на ум при прочтении третьей актуальной проблемы, – это слово "хакеры". Однако при дальнейшем рассмотрении модель нарушителя постепенно расширяется. В нее целесообразно включить нелояльных администраторов серверов и баз данных, маркетинговых аналитиков и аналитиков специальных служб и многих других, кто потенциально (официально или случайно) способствует утечке ПДн в Интернет и совершению атак на субъекта, оставившего свои ПДн на целевом портале.

При подготовке материала для статьи я вспомнил, что не так давно получил электронное сообщение на один из своих почтовых ящиков, используемых для регистрации неосновных учетных записей в социальных сетях и интересных мне новых медиапроектах. Текст сообщения передаю вниманию читателя дословно: "Let's get straight to the point. I know that 1qaz1QAZ is your pass word. Moreover, I know your secret and I've proof of it. You do not know me and nobody paid me to examine you. It is just your hard luck that I stumbled across your misadventures...". И далее в том же духе. Сообщение содержит угрозу разглашения моих (размещенных мною в профиле при регистрации на взломанном портале) ПДн вследствие их компрометации третьим лицом и предложение выкупить свои ПДн за небольшое (по меркам автора рассылки) вознаграждение.

Понятно, что этот обезличенный текст скорее всего рассылался его авторами вслепую, полагаясь на авось, и, по теории больших цифр, чем шире область рассылки, тем больше вероятность, что она сработает хотя бы раз. Получив доступ к базе электронных адресов пользователей уязвимого портала, злоумышленники используют эту информацию в том числе для проведения атак класса "социальная инженерия".

4. Отсутствие у интернет-оператора письменного согласия субъекта ПДн на обработку им ПДн данного субъекта.

Форма письменного согласия субъекта на обработку его ПДн, основные ее позиции, последовательность и примеры заполнения размещены на портале Роскомнадзора уже более 10 лет. При этом организаторы интернет-порталов и социальных сетей при регистрации новых учетных записей продолжают использовать свои собственные формы, терминологию и аргументы, не предлагающие соблюдение установленных норм.

К примеру, в политике конфиденциальности Google в действующей редакции от 25.05.2018 (кстати сказать, она менялась 28 раз за прошедшие двадцать с небольшим лет), с которой пользователи могут в любой момент ознакомиться в своем личном кабинете, термин ПДн встречается только один раз в разделе, посвященном обработке ПДн третьими сторонами по поручению Google. Дословно это выглядит так: "Google может предоставлять ПДн аффилированным лицам Google и иным доверенным компаниям и лицам для обработки от имении Google". C этим тезисом пользователи Google формально соглашаются, проставляя галочку в нужной строчке в процессе регистрации учетной записи. При этом большинство специалистов по информационной безопасности сходятся во мнении, что постановка галочки в Web-форме при регистрации, без использования электронной подписи или другого аналога собственноручной подписи субъекта, является существенным нарушением требований ФЗ-152 о получении оператором письменного согласия субъекта ПДн. Так или иначе, этот вопрос до сих пор окончательно не решен.

5. Нарушение требований об использовании для защиты ПДн субъектов – граждан РФ только сертифицированных ФСТЭК средств защиты информации и криптографических средств защиты с действующими аттестатами соответствия, подтвержденными ФСБ.

Для иллюстрации данной проблемы можно воспользоваться выдержкой из политики конфиденциальности все того же Google (в действующей редакции). Вот о чем Google любезно информирует пользователей: "Поскольку наши серверы расположены в разных регионах по всему миру, информация конкретного пользователя может обрабатываться не в той стране, в которой он проживает. Уровень защиты информации и законодательные нормы в этой сфере могут различаться в разных странах. Вне зависимости от того, где именно осуществляется обработка Ваших данных, компания Google использует одни и те же меры обеспечения их безопасности, описанные в этой Политике конфиденциальности. Google также придерживается ряда законодательных норм в сфере передачи данных, среди которых рамочное соглашение между США и ЕС в отношении конфиденциальности EU-US Privacy Shield Framework, а также аналогичное соглашение между США и Швейцарией Swiss-US Privacy Shield Framework". Понято, что при таком подходе к защите информации вопрос об использовании сертифицированных и аттестованных средств защиты ПДн становится для интернет-оператора ПДн второстепенным.

И таких вопросов остается незакрытыми еще очень много! Профилирование в аналитических системах хостера, таргетинг и персональные предложения, нарушение требования закона о забвении… "И что дальше?!" – спросите вы. Подумайте, так ли вам и вашим близким нужно раскрывать всего себя и указывать реальные данные при регистрации в формах интернет-операторов ПДн? Неужели степень притягательности сыра настолько велика, что риски компрометации и вероятность использования третьими лицами против вас ваших реальных ПДн забывается и не берется во внимание... Не забывайте читать политики конфиденциальности и условия эксплуатации сервисов интернет-операторов ПДн. В них (в любой доступной редакции) всегда можно найти много любопытного, в том числе нарушающего требования действующего на территории РФ законодательства.

Темы:персональные данныеПраво и нормативы

Саммит субъектов КИИ-1

Москва, 26 сентября

Программа мероприятия
Получить условия участия
Комментарии

More...