С сайта столичной мэрии в Сеть утекли персональные данные москвичей. В поисковой выдаче «Яндекса» появились квитанции с портала mos.ru. Журналисты насчитали в открытом доступе более 400 документов. В них указана такая личная информация, как телефоны и ИНН. В пресс-службе мэра и правительства Москвы не смогли предоставить оперативный комментарий. В компании «Яндекс» пояснили: поисковик работает только с открытыми данными. Поскольку квитанции не были защищены, они оказались в свободном доступе. Почему произошла утечка? И чем она опасна?
Фото: Олег Харсеев, Коммерсантъ
Ведущий эксперт по информационной безопасности компании «КРОК» Евгений Дружинин назвал это настоящим подарком для злоумышленников. А причина проблемы, скорее всего, в нарушении правил хранения персональной информации. «Явно вопросы безопасности там решаются не в полном объеме, потому что если поисковик смог обнаружить эти данные своими стандартными алгоритмами, это означает, что данные доступны, без механизмов защиты. Второй момент — те же механизмы, которые использует поисковик, не используются теми, кто должен обеспечивать безопасность. То есть если периодически осуществлять анализ защищенности, то можно было бы эту проблему обнаружить. Утечка связана с тем, что, видимо, архитектура системы предполагает размещение таких вот данных во внешнем контуре, к которому уже внешние поисковики могут достаточно легко обращаться и без прохождения процедуры авторизации, которые по-хорошему должны они проходить, чтобы получать эти данные. Если говорить об утечке телефонов, ИНН, то очевидно, что если эти данные попадут в открытый доступ, то злоумышленники могут начать обзванивать либо предлагать какие-то услуги, либо представляться кем-то и совершать какие-то мошеннические действия. Вариантов может быть много.
Все зависит от целей, которые злоумышленник поставит.
Есть закон о персональных данных, и по этому закону операторы обязаны выполнять требования по обеспечению защиты персональных данных. По сути, субъект может обратиться и потребовать компенсацию от этого оператора. Механизмы существуют», — объяснил Дружинин.
Сейчас потенциальный канал утечки ликвидировали. Но в течение нескольких часов в интернете были доступны счета, получателями которых значились образовательные учреждения Москвы. В соцсетях родители выразили беспокойство, что данными детей могут воспользоваться преступники. И такая опасность велика, убежден руководитель общественной организации «Родительское собрание» Константин Данилин: «Это очень серьезная проблема. Риск в том, что в ваш дом проникли воры, у них есть ключи от вашего дома, и они могут туда заходить и делать все что хотят. Мне очень хочется знать, какой бюджет у подразделения информационной безопасности мэрии, и какие договора и с кем они заключили. Если эти дыры есть, а они есть, и никто не гарантирует, что туда опять не проникнут воры, вопрос первый — уволить руководителя департамента информационной безопасности. Это госструктура, у нее находится очень много важной информации. Но сегодня ключи у воров, и они могут снова прийти в наш дом. Это факт. Сейчас те люди, которые обнаружили эту информацию про себя, должны обратиться в суд, в следственные органы по поводу защиты собственной безопасности, своих детей, своих семей. Либо за них это может сделать любая правозащитная организация».
Доказать, что ущерб был нанесен именно в результате утечки данных, очень трудно, заключает адвокат и специалист по защите персональных данных Григорий Красовский. А получить компенсацию в российских судах — еще более сложная задача, суммирует эксперт: «Конечно, истец может требовать компенсацию за само разглашение.
Учитывая сегодняшнюю российскую судебную практику, в которой отсутствует понятие коллективных исков, как, например, в США и в других зарубежных юрисдикциях, получить существенную компенсацию нереально.
Потому что тут нужно убедить суд в том, что был нанесен серьезный ущерб какими-то конкретными действиями, а не гипотетическим разглашением. Суммы ущерба скромные и всегда они соответствуют нанесенному реальному ущербу. Часто даже ниже, чем оценка ущерба. 20 тыс. руб. получить — это уже хороший результат. Нужно показать, что нанесен ущерб».
В ноябре утечка данных произошла в центре госуслуг «Мои документы». В открытом доступе оказались копии паспортов, СНИЛС, номера мобильных и реквизиты счетов россиян.