Председатель Ассоциации участников рынка данных Иван Бегтин обнаружил в сети около 360 тысяч записей личной информацией россиян. Об этом он рассказал в исследовании «Утечки персональных данных из открытых источников. Государственные информационные системы».
Бегтин проанализировал данные с сайтов восьми информационных государственных систем, включая реестр субсидий федерального бюджета Минфина (50 тыс. записей), реестра отчетов некоммерческих организаций Минюста (10 тыс.), реестра обращений граждан на портале «Онлайн Инспектор» Роструда (1 тыс.), информационной системы «Правовые акты ФАС России» (2 тыс.) и портала торгов по госимуществу ФАС (2 тыс.) с порталом управления ногоквартирными домами Москвы (1-2 тыс.), столичного портала закупок (2,5 тыс.), портала государственного и муниципального заказа федерального казначейства (300 тыс.). В одной записи могут содержаться сведения о нескольких людях.
Исследование состоит из трех частей. Первая посвящена утечкам на сайтах удостоверяющих центров, которые занимаются подтверждением электронной подписи. В ней говорится об утечке 63 тыс. записей с раскрытием персональных данных в виде Ф.И.О., места работы, e-mail и СНИЛС. Во второй части говорится об утечке 2,24 млн записей с паспортными данными СНИЛС и сведениями о трудоустройстве с сайтов электронных торговых площадок.
Среди российских граждан, чьи данные оказались в открытом доступе — бывшие вице-премьеры и вице-спикер Госдумы. Данные автора исследования подтверждает РБК, в реестре отчетов некоммерческих организаций Минюста среди «о деятельности некоммерческой организации и персональном составе ее руководящих органов» можно было найти документ фонда поддержки социальных, образовательных, инновационных и спортивных проектов «Ладья». В а президиум организации входят первый заместитель председателя Госдумы Александр Жуков (в 2004–2011 годах вице-премьер), сопредседатель фонда «Сколково», бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский. Их паспортные данные содержались в отчете фонда.
В пресс-службе фонда заявили, что паспортные данные руководства не указываются: «На практике, если отчеты содержат персональные данные, Минюст при обработке и размещении отчетов такие данные скрывает… Если такие данные все же доступны на информационном портале, то к такой ситуации мы относимся крайне негативно, так как, насколько нам известно, субъекты персональных данных не давали согласия Минюсту на размещения их персональных данных».
Бегтин в исследовании описал алгоритм получения личных данных. Журналисты РБК проверили эти способы, получив с их помощью персональную информацию россиян на шести из восьми ресурсов. Реестр субсидий федерального бюджета Минфина и база правовых решений на портале ФАС России уже убрали со своих сайтов документы с личными данными.
Бегтин, после обнаружения утечки данных, отправил запросы в разные ведомства и Роскомнадзор. Представители последнего ответили, что обращение «не является основанием для проведения внеплановых проверок в отношении организаций, упомянутых в письме». Тем не менее, ведомство пообещало принять меры в отношении порталов, которые допускают утечку персональных данных.
Что касается утечек, то они возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — заявил Бегтин.
В каждой из обнаруженных утечек есть свои особенности. Так, например, в реестре соглашений о предоставлении субсидий Минфина до недавнего времени было много договоров Минкульта с творческими коллективами. К ним приложены договоры с режиссерами, сценаристами и другими членами таких объединений, включая физические лица. В реестре Минюста паспортные данные появляются из-за того, что предоставление субсидий требует специальной формы отчета. В ней предусмотрены графы, которые раскрывают личные данные аппликанта, включая Ф.И.О., дата рождения, гражданство, данные документа, удостоверяющего личность, адрес и должность, наименование и реквизиты акта о назначении.
Что касается наказаний относительно раскрытия персональных данных, то они предусмотрены в Кодексе об административных правонарушениях. «Там есть несколько составов, например обработка персональных данных без согласия субъекта персональных данных наказывается штрафом в размере до 75 тыс. руб. Штраф может взиматься за каждого человека, чьи персональные данные были раскрыты, иными словами, закон не мешает умножить 75 тыс. руб. на количество человек, чья персональная информация утекла», прокомментировала ситуацию старший юрист практики по интеллектуальной собственности Bryan Cave Leighton Paisner Ирина Шурмина.
В случае административной ответственности штраф взыскивается в пользу государства. Но если субъект персональных данных сможет доказать, что столкнулся со значительными негативными последствиями из-за утечек, возможно, у него получится добиться компенсации за моральный ущерб. Но на практике сделать это довольно сложно.
В апреле этого года произошла крупная утечка — тогда в интернете оказались 2,24 млн записей с личной информацией клиентов интернет-магазинов. После случившегося Роскомнадзор потребовал у электронных маркетплейсов ответить за утечку.
Кроме того, в начале апреля этого года в Сети появилась база данных пациентов скорой помощи нескольких подмосковных городов. В ней содержались Ф.И.О., адреса и телефоны больных, а также сведения о состоянии здоровья. Тогда Следственный комитет начал проверку по факту утечки.
Бегтин проанализировал данные с сайтов восьми информационных государственных систем, включая реестр субсидий федерального бюджета Минфина (50 тыс. записей), реестра отчетов некоммерческих организаций Минюста (10 тыс.), реестра обращений граждан на портале «Онлайн Инспектор» Роструда (1 тыс.), информационной системы «Правовые акты ФАС России» (2 тыс.) и портала торгов по госимуществу ФАС (2 тыс.) с порталом управления ногоквартирными домами Москвы (1-2 тыс.), столичного портала закупок (2,5 тыс.), портала государственного и муниципального заказа федерального казначейства (300 тыс.). В одной записи могут содержаться сведения о нескольких людях.
Исследование состоит из трех частей. Первая посвящена утечкам на сайтах удостоверяющих центров, которые занимаются подтверждением электронной подписи. В ней говорится об утечке 63 тыс. записей с раскрытием персональных данных в виде Ф.И.О., места работы, e-mail и СНИЛС. Во второй части говорится об утечке 2,24 млн записей с паспортными данными СНИЛС и сведениями о трудоустройстве с сайтов электронных торговых площадок.
Среди российских граждан, чьи данные оказались в открытом доступе — бывшие вице-премьеры и вице-спикер Госдумы. Данные автора исследования подтверждает РБК, в реестре отчетов некоммерческих организаций Минюста среди «о деятельности некоммерческой организации и персональном составе ее руководящих органов» можно было найти документ фонда поддержки социальных, образовательных, инновационных и спортивных проектов «Ладья». В а президиум организации входят первый заместитель председателя Госдумы Александр Жуков (в 2004–2011 годах вице-премьер), сопредседатель фонда «Сколково», бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский. Их паспортные данные содержались в отчете фонда.
В пресс-службе фонда заявили, что паспортные данные руководства не указываются: «На практике, если отчеты содержат персональные данные, Минюст при обработке и размещении отчетов такие данные скрывает… Если такие данные все же доступны на информационном портале, то к такой ситуации мы относимся крайне негативно, так как, насколько нам известно, субъекты персональных данных не давали согласия Минюсту на размещения их персональных данных».
Бегтин в исследовании описал алгоритм получения личных данных. Журналисты РБК проверили эти способы, получив с их помощью персональную информацию россиян на шести из восьми ресурсов. Реестр субсидий федерального бюджета Минфина и база правовых решений на портале ФАС России уже убрали со своих сайтов документы с личными данными.
Бегтин, после обнаружения утечки данных, отправил запросы в разные ведомства и Роскомнадзор. Представители последнего ответили, что обращение «не является основанием для проведения внеплановых проверок в отношении организаций, упомянутых в письме». Тем не менее, ведомство пообещало принять меры в отношении порталов, которые допускают утечку персональных данных.
Что касается утечек, то они возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — заявил Бегтин.
В каждой из обнаруженных утечек есть свои особенности. Так, например, в реестре соглашений о предоставлении субсидий Минфина до недавнего времени было много договоров Минкульта с творческими коллективами. К ним приложены договоры с режиссерами, сценаристами и другими членами таких объединений, включая физические лица. В реестре Минюста паспортные данные появляются из-за того, что предоставление субсидий требует специальной формы отчета. В ней предусмотрены графы, которые раскрывают личные данные аппликанта, включая Ф.И.О., дата рождения, гражданство, данные документа, удостоверяющего личность, адрес и должность, наименование и реквизиты акта о назначении.
Что касается наказаний относительно раскрытия персональных данных, то они предусмотрены в Кодексе об административных правонарушениях. «Там есть несколько составов, например обработка персональных данных без согласия субъекта персональных данных наказывается штрафом в размере до 75 тыс. руб. Штраф может взиматься за каждого человека, чьи персональные данные были раскрыты, иными словами, закон не мешает умножить 75 тыс. руб. на количество человек, чья персональная информация утекла», прокомментировала ситуацию старший юрист практики по интеллектуальной собственности Bryan Cave Leighton Paisner Ирина Шурмина.
В случае административной ответственности штраф взыскивается в пользу государства. Но если субъект персональных данных сможет доказать, что столкнулся со значительными негативными последствиями из-за утечек, возможно, у него получится добиться компенсации за моральный ущерб. Но на практике сделать это довольно сложно.
В апреле этого года произошла крупная утечка — тогда в интернете оказались 2,24 млн записей с личной информацией клиентов интернет-магазинов. После случившегося Роскомнадзор потребовал у электронных маркетплейсов ответить за утечку.
Кроме того, в начале апреля этого года в Сети появилась база данных пациентов скорой помощи нескольких подмосковных городов. В ней содержались Ф.И.О., адреса и телефоны больных, а также сведения о состоянии здоровья. Тогда Следственный комитет начал проверку по факту утечки.
