Сетевые площадки упустили персданные
Как сведения о гражданах страны попадают в интернет
Личные данные 2 млн россиян выложили в интернет. Эксперты обнаружили в открытом доступе паспорта, номера СНИЛС и данные об их трудоустройстве. Жертвами утечки стали участники электронных аукционов. Как оказалось, на площадках, через которые проходят коммерческие и госзакупки, легко найти персональную информацию граждан.
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
Причина — пробелы в законодательстве и безграмотность разработчиков сайтов, заявил председатель Ассоциации участников рынков данных Иван Бегтин, который обнаружил утечку: «Каждый человек может при желании это найти. Там есть несколько видов утечек данных. Одни из них — это всякие отсканированные документы вроде решения о крупных сделках удостоверяющих центров. Там могут содержаться паспортные данные учредителей и директора. Другой тип данных — это электронные подписи. Там содержатся ФИО, e-mail, сведения о трудоустройстве и СНИЛС.
Я бы сказал, это такое инициированное государством раскрытие персональных данных граждан. Так получилось в основном из-за идиотства законодателей.
Вот конкретный пример: решение о крупной сделке — это документ, который требует соответствия 44-ФЗ и подзаконным актам для размещения на электронных торговых площадках, для того,чтобы убедиться, что те люди, которые публикуют информацию о закупках, имеют на это право. Но при этом требования по раскрытию этого общедоступного документа никогда не учитывалось в бизнес-практике в России. Она заключается в том, что у нас везде, где можно и нельзя, нотариус, юристы требуют предоставление полных паспортных данных на каждом документе. Если учредитель дает разрешение, то, скорее всего, в этом документе будет написано, что он, учредитель такой-то, подтверждает разрешение директору такому-то на то-то, то-то. Законодатель не учел этой ситуации. Вторая история с электронными подписями. Опять же, это глупость законодателей. Они, с одной стороны, требуют общедоступности электронной подписи по запросу. А с другой стороны набивают эти самые подписи огромным количеством информации, которой там не должно было бы быть».
Персональные данные были найдены на порталах ZakazRF, «РТС-тендер», «Национальной электронной площадки», «Сбербанк АСТ» и других. Представители этих систем заявили РБК, что действуют в рамках закона. Они обязаны требовать у участников аукционов определенные документы и затем публиковать их. Все, что попадает в интернет, было предоставлено самими гражданами. Тем не менее, если подобная информация окажется в руках злоумышленников, то использована она может быть в преступных целях, рассказал консультант по интернет-безопасности компании Cisco Алексей Лукацкий: «В принципе, зависит от схем. Можно как минимум создавать двойников людей, в том числе в социальных сетях, для того чтобы заманивать каких-то иных пользователей. И вариант №2: если у злоумышленников есть подельники в каких-то организациях, то там этих данных в принципе достаточно, даже без сканированной копии паспорта, уже при наличии всех выходных данных можно осуществлять какие-то юридические действия: заключать договора, брать, возможно, кредиты и так далее».
Участники аукционов, которые обнаружат свои личные данные в интернете, могут обратиться в суд. Однако гораздо эффективнее связаться напрямую с представителями торговой площадки, отметил учредитель «Московского правозащитного центра» Михаил Салкин: «Основания, конечно, для обращения в суд есть, потому что идет разглашение персональных данных без согласия самого гражданина. Но очень важно установить, кто именно это разгласил. У нас сейчас люди предоставляют свои персональные данные в такое огромное количество мест, что выяснить, от кого же именно была произведена утечка, крайне сложно. А в суде это все придется доказывать. Я сам жертва утечки персональных данных. Мой паспорт продается в сетях даркнета, потому что я однажды зарегистрировался на каршеринге, сфотографировался с паспортом. И, собственно, даже выяснить, какой же из каршерингов это сделал, я просто не могу, потому что их много. Теоретически в суд подать можно, на практике, наверное, нет».
В начале апреля в интернет попала база данных скорой помощи. В файле содержались имена, телефоны и адреса, а также жалобы пациентов пяти подмосковных городов. Следственный комитет проводит проверку.