В Татарстане власти заявили, что полностью удалили базу данных системы цифровых пропусков, которые были обязательны для передвижения граждан в период самоизоляции. Почти за полтора месяца — до отмены контроля 12 мая — персональными данными с сервисом поделились 1,7 млн жителей республики. Объем базы составил 200 Гб, было создано 80 резервных копий. Процесс их уничтожения контролировали сами чиновники, а также представители подконтрольного властям республики «Ак барс» банка, который был разработчиком сервиса. В качестве «независимых наблюдателей» выступили сотрудники Роскомнадзора и ФСБ. Журналистам разрешили смотреть за процедурой по видеосвязи.
Фото: tatarstan.ru
Министерство цифрового развития Татарстана сообщило об удалении базы данных цифровых пропусков, которые действовали в республике в период самоизоляции для предотвращения распространения коронавируса COVID-19. Удаление данных с информационных систем происходило в здании «Ак барс» банка при участии специальной комиссии, куда также вошли представители министерства цифрового развития Татарстана, управлений Роскомнадзора и ФСБ по республике.
Напомним, цифровые пропуска были введены в Татарстане в период самоизоляции с 1 апреля. Разрешения необходимо было получать в том числе для посещения суда, почты, банка, больницы или ветеринарной клиники. Для этого нужно было отправить СМС на короткий номер 2590 либо зарегистрироваться в личном кабине на специальном сайте (в настоящее время также удален). На этих условиях также позволено было отвести детей в образовательную организацию или уехать на дачу, получить паспорт, доставить лекарства, продукты и предметы первой необходимости больным родственникам. Впоследствии в список «целей» также попали посещение парикмахерской, военкомата, кладбища, занятие физкультурой по утрам. Отдельные пропуска действовали для работы самозанятых. Изначально для регистрации необходимо было указывать имя, фамилию, отчество, адрес фактического проживания и номер паспорта. Однако затем перечень представляемых для регистрации данных сократили до номера паспорта или приравненного к нему документа.
Фото: Кирилл Антонов
Система цифровых пропусков была отменена 12 мая. Менее чем за полтора месяца работы сервис собрал персональные данные свыше 1,7 млн жителей (всего в республике проживают 3,9 млн человек). Было выдано 14 млн разрешений на выход.
Как сообщал “Ъ-Казань”, разработкой ресурса занимались специалисты самого министерства, а также государственного Центра цифровой трансформации и подконтрольного правительству региона «Ак барс» банка. Под пропускную систему было задействовано принадлежащее кредитному учреждению, созданное в кооперации с «Татнефтью» приватное облако ABCloud. Сервис был запущен менее чем за двое суток по поручению президента Татарстана Рустама Минниханова.
Власти Татарстана не затратили средств из бюджета на содержание системы. Как сообщил заместитель министра цифрового развития Татарстана Альберт Яковлев, работа сервиса была обеспечена за счет средств «Ак барс» банка. Также кредитная организация сама оплачивала услуги сотовых операторов (для жителей отправка СМС была бесплатной). Объем расходов банка не раскрывается.
В процессе уничтожения, согласно пресс-релизу министерства, также были удалены программные продукты и операционные системы, обеспечивавшие работу сервиса, и 80 резервных копий базы. Ее объем составил 200 Гб. В ведомстве подчеркнули, что дисковое пространство было не только очищено, но и перезаписано, что исключает в дальнейшем восстановление базы.
Журналистов пригласили наблюдать за процессом в удаленном режиме — по видеотрансляции из помещения в министерстве. На небольшом экране можно было увидеть членов комиссии, а также работника банка, который запустил процесс удаления. Рассмотреть, что происходит на его компьютере и в чем заключается процесс удаления, было проблематично. Некоторые журналисты вынуждены были констатировать, что им приходится «верить на слово» членам комиссии.
В состав комиссии не были включены представители независимых общественных организаций. Господин Яковлев объяснил это тем, что в республике продолжает действовать «режим ограничений» и необходимо было минимизировать число участников комиссии. А пресс-секретарь министерства Вероника Доронина в качестве «независимых незаинтересованных наблюдателей» назвала представителей ФСБ и Роскомнадзора.
Процедура уничтожения в интернете не транслировалась, то есть не была доступна для наблюдения жителями. Господин Яковлев сказал, что об этом чиновники «не подумали», но обещал предусмотреть такую возможность «на будущее». Члены комиссии выразили надежду, что новых поводов вводить систему пропусков не возникнет, но добавили, что в случае необходимости специалисты будут готовы запустить сервис в течение суток. Тогда жителям придется регистрироваться заново.
Как выяснил “Ъ-Казань”, данные жителей республики не были защищены с помощью алгоритмов хеширования (позволяют хранить данные в нечитаемом виде так, что даже при доступе злоумышленников к базе те не смогут получить чувствительную информацию, такую как номера паспортов). Представитель «Ак барс» банка пояснил, что в этом не было необходимости, поскольку «данные в базе никуда не передавались». Аудитором сервиса выступило непосредственно Минцифры.
В то же время с персональными данными жителей работали сотовые операторы, а также сотрудники МВД, которые проверяли достоверность пропусков граждан с помощью приложения «Цифровой гвардеец». Альберт Яковлев заверил, что сотовые операторы обязаны сохранять тайну связи согласно федеральному законодательству.
Процесс удаления занял около двух часов. По его итогам члены комиссии составили «четырехсторонний акт». По словам господина Яковлева, доступ к документу можно будет получить по запросу.
Ранее эксперты “Ъ-Казань” не исключали вероятности того, что «эпидемия закончится, а эти данные начнут гулять и утекать, как другие базы данных, на рынок». «Это влечет огромные риски»,— предупреждал адвокат, партнер Центра цифровых прав Саркис Дарбинян. Он выражал опасения, что лица, имеющие доступ к этой базе, могут сделать ее копии.