Утечки информации в «Яндексе» инициированы ФСБ? Под гром скандала президент подписал закон, открывающий доступ спецслужбам к данным частных фирм
Утечка в поисковые системы личных SMS и паспортных данных покупателей ж/д билетов и секс-товаров сыграла в пользу спецслужб и технических контролеров. На другой день после ЧП с данными президент РФ подписал закон «О персональных данных», в 19 статье которого прописаны «Меры по обеспечению безопасности персональных данных при их обработке». Новая редакция закона обязывает все организации в стране, которые имеют дело с личной информацией, закупить и установить большое количество софта, лицензированного и одобренного ФСБ и ФСТЭК (Федеральной службой технического и экспортного контроля). Как отмечают специалисты, это, во-первых, даст дополнительный доход ФСБ и ФСТЭК от сертификации программного обеспечения. Во-вторых, «одобренные» силовиками производители антивирусов, фаерволов и систем обработки и хранения баз данных, фактически, станут монополистами на внутреннем рынке. И, наконец, спецслужбы, которые не раз жаловались на недоступность для них систем шифрования в зарубежном софте, получат возможность доступа к внутренней информации многих российских компаний и приватным данным граждан.
Напомним, в последние дни российские и поисковые системы, в частности, «Яндекс», трижды «отличились», открыв доступ всем желающим к конфиденциальной информации. Сначала таковой оказались SMS, отправленные абонентам «Мегафона» через сайт оператора. По определенному поисковому запросу можно было прочесть содержимое более чем восьми тысяч последних сообщений и получить номера телефонов, на которые отправлялись эти послания. Накануне случилось сразу два «эпических прокола» в информационной безопасности. В «Яндекс», Google, Mail.ru и Bing попала база данных клиентов российских и украинских онлайн-магазинов, в том числе секс-шопов. В открытом доступе оказались данные покупателей более 80 интернет-магазинов: их фамилии, контактные данные, IP-адреса и списки покупок.
Следом данные пользователей раскрыли онлайн-сервисы TuTu.ru и Railwayticket.ru, продающие удаленно ж/д билеты. В поисковиках можно было увидеть ФИО пассажира, купившего билет, и лиц, следующих с ним, пункт отправления и пункт назначения, номер поезда и номер места, дату поездки и последние цифры номера паспорта пассажира (в покупках через один из сервисов был виден полный номер паспорта).
В минувший четверг иск в Замоскворецкий суд Москвы к «МегаФону» подал Союз потребителей России. В пятницу Роскомнадзор направил в арбитражный суд Москвы протокол об административном правонарушении «МегаФона». Относительно вчерашних утечек, глава Союза потребителей России Петр Шелищ сообщил, что его организация готовит общий иск ко всем интернет-сервисам, данные с которых попали в открытый доступ. Иск будет касаться неопределенного круга потребителей, которые потом смогут предъявить иски по компенсации морального вреда. Затем Роскомнадзор направил в «Яндекс» письмо с просьбой рассмотреть техническую возможность запрета обработки поисковых запросов, позволяющих получить доступ к персональным данным граждан.
Интереснее всего на скандал с данными отреагировали президент и законодатели. В день, когда случились последние нашумевшие скандалы, президент Медведев подписал, а «Российская газета» опубликовала новую редакцию закона «О персональных данных». Закон, как отмечалось ранее, дает ФСБ и ФСТЭК весьма широкие возможности заработка и контроля личной информации граждан. Фактически, новый закон лишает значительное число коммерческих организаций (сотовых операторов, интернет-провайдеров, интернет-магазинов, банков, страховых компаний, медицинских учреждений, гостиниц и проч.), права выбирать самим меры по защите информационных систем.
Эти правовые нормы были приняты еще в 2006 году, но тогда была введена отсрочка статьи о защите информации до 1 января 2010 года. Впоследствии Госдума продлевала этот срок дважды, в последний раз до июля 2011 года. Этим летом, ко второму чтению, депутаты Госдумы одобрили поправку главы комитета по конституционному законодательству и государственному строительству Владимира Плигина, предложившего такую редакцию статьи о мерах по защите информации, которая дает максимально широкие полномочия и возможности ФСБ и ФСТЭК. Эта поправка была утверждена Госдумой и президентом и сегодня обнародована в правительственной газете.
Теперь правительство будет классифицировать уровни защиты информации, а требования к защите установят ФСБ и ФСТЭК. То есть, компании будут обязаны устанавливать подсистемы разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования, которые получили одобрение в виде сертификата от ФСБ и ФСТЭК. Эти ведомства будут еще и контролировать исполнение всех мер сотнями тысяч компаний.
Кроме того, всем операторам необходимо пройти сертификацию уже имеющихся средств защиты информации и изменить архитектуру корпоративной информационной системы для реализации функций защиты.
В результате расходы на установку системы обработки персональных данных для разных компаний могут составлять от 10 до 200% годового оборота плюс операционные затраты на техническую поддержку системы защиты составят 10-15% от стоимости самих систем, сообщает SecurityLab.ru.
Источник в крупной телекоммуникационной компании объясняет произошедшее лоббистскими усилиями ФСБ и ФСТЭК, поскольку аккредитованные при них структуры будут получать доход от сертификации систем обработки персональных данных. После вступления закона в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты.
Экспертное сообщество ИБ-специалистов в начале лета выражало свое недовольство принятым вариантом поправок в открытом письме президенту Дмитрию Медведеву. «Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных», – говорилось в письме.
Участники телекоммуникационного рынка также отметили, что законопроект не проходил антикоррупционную экспертизу.
Как оказалось, пройти целиком все формальности, включая оценку коррупционных возможностей новых норм, закону помешала экстренная ситуация с так вовремя случившимися утечками данных. В результате можно будет наблюдать уже привычные в других отраслях процессы: как контролеры от ФСБ и ФСТЭК, опираясь на ими же разработанные критерии, выбирают производителей программного обеспечения, которым предназначено стать, фактически, монополистами на российском рынке. Тут, как говорится, озолотятся все – кроме потребителей, на которых операторы переложат новые расходы.
Особо счастливыми должны оказаться силовики. ФСБ ранее неоднократно жаловалась на недоступность для нее многочисленных сервисов и программ, разработанных за рубежом, автоматически подтверждая свое незримое присутствие в российских сервисах. Получив возможность выбирать системы защиты для частных фирм, логично, что ФСБ будет отбирать устанавливаемое ПО, в том числе, по критерию возможности доступа к этим системам для самих контролеров. При этом не факт, что избранные спецслужбами системы смогут в достаточной степени осуществлять защиту информации. Например, как сообщили «Новому Региону» представители одного из операторов «Большой тройки», базы данных проштрафившегося на днях «Мегафона» обрабатываются как раз с помощью российского ПО. В то время как у компаний, в подобных проколах не замеченных, используется израильское и американское программное обеспечение.
Характерно, как отреагировали некоторые эксперты IT-бизнеса на скандал с утечкой информации. Практически все утверждают, что вины поисковых систем в произошедшем нет ни в техническом, ни в правовом смысле. «Это очень громкий сигнал к тому, чтобы повышать безопасность в интернете», – заявил «Газете.Ru» председатель Регионального общественного центра интернет-технологий Марк Твердынин. «Виноват тот, кто допустил распространение этой информации в открытый доступ, после чего она была доступна для поиска», – отметил представитель Роскомнадзора Михаил Воробьев. «Интернет-магазины для обработки персональных данных использовали дефектное программное обеспечение, которое не было сертифицировано ФСТЭК. Так, сайт railwayticket.ru обрабатывает персональные данные без сертификата ФСТЭК», – еще более откровенно заявил журналистам эксперт в области телекоммуникационного права Антон Богатов.
«Сконструированность» скандала с утечками информации подтверждается данными пресс-службы Google. Как отметили представители компании, у них в открытом доступе находится еще большая «крамола»: документы Федеральной антимонопольной службы, Счетной палаты, Федеральной миграционной службы, Минэкономразвития, Главного управления спецпрограмм президента, и другие материалы с 2002 по 2011 годы. Однако к ним никаких претензий не поступало ни от пользователей, ни от спецслужб или следственных органов.
То, что недавний «слив» приватной информации произошел совсем не случайно, не сомневаются даже в Следственном комитете, озадачившимся найти персонажей, на которых можно будет завести дело по статье 138 УК РФ (нарушение тайны переписки). Рассматриваются и другие статьи, сообщил «Коммерсант». Виновников будут также искать среди администраторов провинившихся интернет-сервисов и «Яндекса». «Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из «Яндекса», – предположили следователи. Возможно, объектами интереса следователей станут те, кто предоставил журналистам определенные формы поисковых запросов, позволяющие увидеть приватные данные в кэше «Яндекса» и других поисковиков. Потому как вряд ли расследование дойдет до инициаторов пиар-кампании для внезапно и так вовремя принятого Госдумой и подписанного президентом РФ закона.
Ссылки по теме:
Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных» >>>
Поисковики раскрыли клиентов секс-шопов и их заказы (ФОТО) / В «Яндекс» и Google попали данные покупателей десятков онлайн-магазинов >>>
СМИ: Google и «Яндекс» раскрыли личные данные пассажиров РЖД >>>
ФСБ хочет запретить Skype и зарубежные почтовики (ВИДЕО ПО ТЕМЕ) / Спецслужбы не могут контролировать общение и переписку в популярных сервисах >>>
Москва, Алексей Усов
© 2011, NR2.Ru, «Новый Регион», 2.0
Публикации, размещенные на сайте newdaynews.ru до 5 марта 2015 года, являются частью архива и были выпущены другим СМИ. Редакция и учредитель РИА «Новый День» не несут ответственности за публикации других СМИ в соответствии с Законом РФ от 27.12.1991 № 2124-1 «О Средствах массовой информации».