Как и почему МФЦ стали дырой для утечки личных данных граждан
Проблема с утечкой личных данных жителей России оказалась гораздо масштабнее, чем предполагалось. Новым источником сведений неожиданно стали органы госуслуг. Как и почему это происходит?
Не успел еще отгреметь скандал с утечкой данных клиентов Сбербанка, как в Аналитическом центре при правительстве России снова озаботились конфиденциальностью данных документов граждан и проблемой защиты таких сведений. Также актуальность набирает проблема регулирования сфер, в которых так или иначе вращаются персональные данные. Все чаще отмечаются случаи попадания этой информации в руки третьих лиц – злоумышленников, хакеров, мошенников.
Недавний случай с утечкой адресной книги Сбербанка обнажил важную проблему: никто никогда не дает никаких гарантий, что ваши личные сведения будут надежно оберегаться и не попадут к злоумышленникам. Утечки при этом стали неким универсально-опасным явлением, так как происходят не только в банках и финансовых учреждениях.
Выясняется, что свой вклад неожиданно внесли и государственные структуры, в которых, по идее, персональные данные должны охраняться наиболее тщательно. Почему подобное становится новой реальностью и как уберечься от утечки, передавая сведения о себе различным организациям?
Минюст дает гражданам шанс отказаться от слежки и прослушки
Власть аватаров
Жизнь в современном информационном и правовом обществе вообще невозможна без трансляции своих личных данных буквально всем социальным институтам, субъектам экономической, правовой и юридической деятельности. Паспорт нужно предъявить на входе в большинство государственных и коммерческих учреждений, необходимо передавать свои данные в Федеральную налоговую службу (ФНС), паспортные столы, учреждения здравоохранения и так далее.
При этом современная форма бытования документов окончательно обретает цифровую основу. В пространствах всемирной паутины и внутри сетей государственных органов бродят десятки миллионов личных профилей граждан, включая данные паспорта, загранпаспорта, СНИЛС, ИНН, автомобильных прав и СТС транспортных средств, документы о правах собственности и многое другое.
Кроме этого, у большинства граждан сегодня есть цифровые аватары. Так, например, Сбербанк через свой онлайн-банкинг запоминает все данные, которыми пользуется клиент. Это помогает быстро оплачивать штрафы, ЖКХ. Системы искусственного интеллекта, столь яро продвигаемые Германом Грефом, становятся все более агрессивными и, уже не спрашивая у клиента, проводят анализ его доходов и расходов, ведут личную бухгалтерию (так называемый Цифровой помощник Сбербанка).
Фото: Diego Fiore / Shutterstock.com
Из этого следует только один вывод: о вас знают все. На какой вы ездите машине и куда, где ее заправляете, на какие суммы и в каких магазинах делаете покупки, любимые категории товаров, количество детей, где они учатся и в какой детский сад ходят. А также где вы лечитесь, где живут ваши родственники и как часто вы у них бываете, каков ваш уровень дохода и уровень вашего «необоснованного дохода», если вы, к примеру, помимо зарплаты кладете на карту еще какие-то суммы или получаете переводы. Словом, это огромный массив информации.
Личное публично: Как соцсети в России собирают данные о пользователях
Печально, но всем этим сегодня могут воспользоваться злоумышленники, а иногда для них получение таких данных и вовсе не составляет труда. Кто в этом виноват – сами граждане, государство, компании или конкретные госучреждения?
Госучреждения не отстают
Новую дыру для утечки личных данных выявил «КоммерсантЪ» после заявлений, прозвучавших на заседании Аналитического центра при правительстве России. На нем был поднят вопрос о том, какую компенсацию могут требовать граждане за использование их персональных данных, и могут ли вообще.
Как заявил в ходе мероприятия заместитель главы департамента государственного управления Минэкономики Антон Лебедев, сегодня большое количество данных граждан оказывается в обороте у различных органов и структур, тогда как социальные последствия этого непредсказуемы.
Очередной дырой для утечки данных оказались российские Многофункциональные центры (МФЦ). Было бы неверным при этом обвинять сами центры во всех грехах. Дело в том, что в МФЦ стоят компьютеры для свободного доступа граждан. Посетители часто пользуются ими, например, для отправки копий своих отсканированных на местном сканере документов на портал госуслуг. Но при этом документы оседают на этих компьютерах и становятся доступными всем желающим.
Какого-либо особенного контроля за пользователями компьютеров в МФЦ нет, документы можно скопировать на флешку или отправить себе по почте. Происходит все это по двум причинам. Во-первых, из-за забывчивости и невнимательности самих клиентов, которые либо слишком доверяют технике, установленной в МФЦ, либо не задумываются о доступности своих скан-копий. Во-вторых, сотрудники МФЦ также не всегда заботятся об удалении файлов с общественного компьютера.
Новый шаг к цифровизации: «За» и «против» электронной переписи населения
Среди данных, которые могут быть доступны всем желающим, могут оказаться паспортные данные, данные банковских карт, СНИЛС, анкеты с номерами мобильных телефонов, адресами, пропиской, иные банковские реквизиты.
Незаметная угроза и человеческий фактор
Спектр применения «краденых» документов крайне велик. Не секрет, что в интернете сейчас все еще можно купить базы данных различных ведомств. Таким же образом на черном интернет-рынке могут продаваться и данные граждан, отсортированные по какому-либо признаку.
Например, паспорта лиц с хорошей кредитной историей или граждан, подходящих, чтобы заочно сделать их подставными лицами, оформив на них ИП, кредиты или фиктивные активы. Злоумышленники также могут собирать персональные данные для рекламных рассылок, наконец, фишинга, то есть отправки гражданам электронных писем с целью хищения логинов и паролей, когда жертва сама посылает необходимые данные злоумышленнику.
Примеры дыр в информационной безопасности нередки для того же Сбербанка. Выше говорилось об утечке адресной книги сотрудников, тогда как ранее сотрудники службы безопасности проглядели и вовсе простой пример – попадание в выдачу поисковиков личных данных клиентов.
Фото: Валерий Шарифулин/ТАСС
Система работала очень просто. В Сбербанке решили, что не стоит затруднять клиентов лишними паролями, и сделали возможным доступ в аккаунт по очень длинной ссылке. С точки зрения теории информационной безопасности все выглядело идеально: инженеры заявляли, что ссылка является уникальной и настолько длинной, что злоумышленникам почти невозможно ее подобрать, в отличие от пароля. Однако они не учли самого главного – человеческого фактора.
Центробанк начнёт штрафовать банки за медленный сбор биометрии
Выяснилось, что пользователи начали друг другу пересылать эти ссылки, не понимая, что они персональные и ведут напрямую в аккаунт. В интернете сразу появилось новое доменное имя, которое начало индексироваться поисковыми машинами. В этом есть и вина сотрудников Сбербанка, которые забыли добавить в простейший файл robots.txt запрет на индексацию домена.
А что же МФЦ? Как госучреждения центры обязаны соблюдать закон «О персональных данных», а также, в отличие от Сбербанка, методологические указания Минэкономразвития по деятельности МФЦ. В этих рекомендациях есть правила по информационной безопасности, которые должны неукоснительно соблюдаться. Среди них – регулярная очистка рабочего стола и корзины компьютеров общественного доступа.
В то же время, если проблема с доступностью личных данных в МФЦ существует, значит, рекомендации эти нарушаются на местах, где в общедоступных компьютерах хранится множество личных данных, на которые как бы никто не обращает внимания.
Закон «О персональных данных» требует от МФЦ обеспечить конфиденциальность персональных данных клиентов и доступа к ним только с разрешения гражданина. О каком разрешении может идти речь, когда эти документы, можно сказать, просто лежат на виду у всех и каждого?
Биометрическое рабство: В какое будущее нас тащит «прогресс»
Специалисты уверены, что решать проблему необходимо с двух сторон сразу. Во-первых, МФЦ и аналогичные учреждения, где могут накапливаться персональные данные, должны соблюдать закон. Для профилактики нарушений необходим контроль – удаляются ли личные данные и насколько хорошо оберегаются.
Во-вторых, сами граждане должны быть внимательнее. Не следует оставлять на общественных компьютерах ничего, что могло бы хоть как-то указывать на то, что вы им пользовались. Это значит, что необходимо отказываться от предложения браузера запомнить пароль, а также отмечать пункт «чужой компьютер» при авторизации где-либо. Кроме этого, необходимо не оставлять на компьютере общего пользования никаких копий своих документов, как вы не стали бы разбрасывать свои личные вещи в общественном месте. Удаляйте их «с шифтом» (сочетание Shift-Delete помогает миновать этап «корзины») или очищайте «корзину» после удаления.
Цифровая глобализация работает на максимальную идентификацию человека. Уследить за движением данных достаточно сложно, но ответственность за это должна ложиться на ответственных государственных служащих, а не на пришедших в МФЦ пенсионеров и рядовых граждан, которые способны «наследить» скорее по неосторожности и незнанию, чем по злому умыслу, и не должны нести ответственность за утечки их данных.