#13. Что делать в ситуации, когда за приватность граждан никто не отвечает?
- Доктор, меня все игнорируют; - Следующий! (Народный анекдот)
Существует давний вопрос о том, какой из российских органов должен реагировать на проблемы с текущими, потенциальными и возможными утечками данных, злоупотреблениями в использовании данными и так далее. ФСТЭК? Роскомнадзор? Минцифры? МВД? Генпрокуратура? Например, в мире этой проблемой более всего озадачены органы по защите прав потребителей. А проблема госслежки - это, в первую очередь, вопрос защиты граждан законодательной властью от произвола исполнительной.
Легальные “утечки” персональных данных из государственных информационных систем
В мае 2019 года я опубликовал результаты исследований того, как из-за халатности проектировщиков и разработчиков информационных систем и ошибок в законодательстве в открытом доступе стали доступными персональные данные миллионов граждан.
Были подготовлены три публикации:
Утечки из удостоверяющих центров - как требования хранить СНИЛС в сертификате и доступность реестров сертификатов позволяет автоматизированно собирать эти данные.
Утечки с электронных торговых площадок - как открытые части подписей сертификатов дешифруются и делают доступными сведения о СНИЛС и другие данные.
Утечки из государственных информационных систем - не только утечка СНИЛС из ГИСов, но и публикация паспортных данных граждан из-за отсутствия модерации.
Было несколько статей на РБК на эту тему (вот одна из них), а я тогда объяснял и рассказывал СМИ несколько недель о том, как это происходит, кто виноват, что делать.
Это была гораздо более “шумная“ история чем текущая публикация доклада по приватности мобильных приложений. И у неё была предыстория.
Есть ли смысл обращаться к регуляторам?
Материалы исследования у меня были готовы ещё в августе 2018 года.
Они сформировались на основе работы над открытыми данными, где я регулярно сталкиваюсь с данными, которые публиковаться никак не должны, например, персональные данные: номера паспортов, СНИЛС.
Постепенно таких фактов у меня накопилось достаточно для того, чтобы оформить найденное в небольшую записку.
Так как тогда я возглавлял экспертный совет по цифровой трансформации при Генпрокуратуре РФ и со многими прокурорами общался напрямую, то и первый шаг был - передать материалы сразу в ответственное подразделение Генпрокуратуры.
Как далее всё происходило:
Я передаю материалы в подразделение общего надзора Прокуратуры;
Прокуроры направляют его в Роскомандзор;
Роскомнадзор даёт мне уже напрямую какой-то невнятный ответ, что “мол мы не считаем, что это персональные данные”.
После того как формальным путём исправить ничего не получилось, я направляю тот же самый документ одному, не буду называть кому, зам. министра тогда ещё связи, а теперь массовой коммуникации, кулуарно спрашиваю “ну что?“ и слышу: “сложный вопрос, надо подумать“.
В итоге, ни формальный, ни неформальный путь повлиять как-то на ситуацию не смогли, а мне, признаться, не хотелось переводить эти материалы в публичный статус. Поскольку ни Инфокультура ни иные организации, с которыми я был связан, не имели никакого отношения к информационной безопасности, смысла в этом я не видел, а тут тема, касающаяся именно информационной безопасности.
Поэтому это исследование я отложил, хотя и продолжал думать, что сделать с полученными результатами.
Публикация и реакция на публикацию
В мае 2019 года мне стало понятно, что ещё немного и исследование придется повторять. С каждым месяцем оно всё более устаревало, прошло более 8 месяцев с того момента, как я его проводил, но беглая проверка изложенных в нём фактов подтверждала, что почти нигде и ничего не было исправлено, кроме ряда случаев в некоторых удостоверяющих центрах. Сочтя, что регуляторов и контрольные органы я заранее предупредил, а отсутствие их реакции - это теперь уже их проблемы, всё исследование кусками я опубликовал сам у себя в блоге (по ссылкам выше) и отдал журналистам РБК, которые независимо перепроверили материалы и написали несколько статей о всей этой ситуации.
Реакция СМИ была довольно бурная, мне позвонили отовсюду, наверное, включая большую часть федеральных телеканалов, и всем им я комментировал одно и то же, что проблемы две:
халатность при разработке ИТ систем;
кривое законодательство, а конкретно приказы ФСБ и Минсвязи РФ по требованиям содержания сведений о СНИЛС и тд. в сертификатах пользователей;
безнадзорность субъектов регулирования, например, Минцифры не проводило проверки ни одного удостоверяющего центра.
Оперативно отреагировали только электронные торговые площадки, сразу скрыв те сведения, о которых было написано. С задержкой реагировали удостоверяющие центры, не все, но многие скрывшие сведения из реестров сертификатов. Никак не отреагировали почти все эксплуатанты государственных информационных систем.
Я выступал по этой проблеме на парламентских слушаниях в ГД, кулуарно мне многие рассказывали что в некоторых госорганах были проверки тех фактов, что были опубликованы, но иной публичной регуляторной реакции просто не было. Роскомнадзор дал реакцию в стиле “всё публикуется по закону“
Чем всё это закончилось
Если коротко, то результаты невелики:
Реакция регуляторов минимальная и это при довольно значимом публичном резонансе.
Реакция законодателей отсутствует, несмотря на явно обрисованную им проблему.
Реакция на необходимость контроля государством того, что делает государство (контроль Роскомнадзора за ГИС), полностью отсутствует.
По факту интересы граждан никто не защищает.
“Медиа-рычаг” в виде СМИ иногда помогает хотя бы более-менее повлиять на ситуацию инертности регуляторов и операторов информационных систем, но каждый раз это уход если не в популизм, то в обострение и нагнетание проблемы.
Если сейчас повторить то исследование, то многое из найденного повторится и найдется немало нового. Государственные системы не стали делать лучше, госрегулирование не стало качественнее.
Поэтому неудивительно и то, что происходит с разработкой государственных мобильных приложений, и утечки из информационных систем, и многое другое.
Что с этим делать? Пока исследования, заточенные под медиа, единственный способ хоть какого-то воздействия.