Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите бесплатную демоверсию и консультацию

+7(495) 221-24-31

Прикосновенность личности

Уже в этом году должен вступить в силу закон о защите персональных данных. Поможет ли он в борьбе с кражами информации?

Госдума приняла в первом чтении закон «О персональных данных». Собственно, сделать это надо было уже давно. Ведь статья 24 Конституции гласит: «...сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». А кроме того, в 2005 году Россия добралась до ратификации «Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 1981 года. Конвенция эта требует для физического лица «уважения... прав и основных свобод (включая право на неприкосновенность частной жизни) в отношении автоматизированной обработки его персональных данных». Однако злые языки говорят, что вовсе не Конституция и не Конвенция подвигли депутатов к тому, чтобы взяться наконец за упомянутый законопроект. Дело в том, что в прошлом году в налоговой службе случилось ЧП: неизвестные злоумышленники умыкнули базу данных по налогоплательщикам Москвы и Московской области (физическим лицам). Достоянием гласности стали сведения о доходах не только рядовых граждан, но и весьма известных людей, включая депутатов и высокопоставленных чиновников. Скандал вышел громкий, и законотворческий процесс пошел...

Хочешь, я скажу, как тебя зовут?

На сегодняшний день эксперты выделяют порядка двадцати основных баз данных (БД), содержащих конфиденциальную информацию о жизни частных лиц. Взять, к примеру, БД «Пенсионный фонд», где содержатся данные о зарплатах и о том, кто их платит. По данным специалистов, эта БД «утекла» в 2002 году и продавалась по 10 тысяч долларов США. Сегодня цена ее адаптированной для бытового использования версии составляет примерно 50 долларов. По официально не подтвержденной информации, с этой БД связана такая история. Рассказывают, что одним из первых покупателей этой базы стала контрразведывательная служба одной из стран Балтии. Получив ее, контрразведчики «пробили» всех сотрудников посольства РФ и выяснили, что один из дипломатов почему-то получает зарплату в Министерстве обороны. Естественно, дипломату после этого пришлось уехать... Существенно нажились на этой БД и рейдерские компании, которые узнавали, сколько получают акционеры компании, намеченной для банкротства и захвата.

Популярна база данных ГИБДД, включающая список владельцев транспортных средств с полными данными о месте жительства, а также информацию о выданных водительских удостоверениях и совершенных ДТП. В момент первой утечки цена этой базы составляла 2 тысячи долларов, сегодня – 20 долларов. Спросом пользуются еще несколько БД. Например, так называемый «Зеленый проспект» – база данных, содержащая информацию из реестра собственников жилья Московской городской регистрационной палаты, а также «полное собрание сочинений» о владельцах земельных участков в Московской области.

Интересуются покупатели и информацией Московской городской телефонной сети (МГТС) – это едва ли не первая база данных, появившаяся на теневом рынке еще в начале 90х годов. Примерно в 2002 году она «утекла» вместе со всеми «закрытыми» телефонами, включая ссылки на то, какое ведомство номер «закрыло».

Или вот еще. Специалисты по сбору компромата обязательно стремятся заполучить специализированную БД о проданных железнодорожных и авиабилетах. Кроме ФИО и паспортных данных пассажира, в этой базе обозначено, когда и где были куплены проездные документы. Известны случаи, когда билеты, приобретенные в одной и той же кассе с интервалом в несколько минут, становились неопровержимым доказательством супружеской неверности. А ведь есть еще базы данных «Должники-физлица (Лица, не выполнившие обязательства перед кредиторами)», «Таможня», «Прописка: Москва и область», «Регистрационная палата: Москва и область», «Анализ деловой активности предприятий», «База данных ГНИ (ФИО, место работы, доход, паспорт, ИНН)». Это далеко не полный список.

Что называется, для чистоты эксперимента корреспонденты «Итогов» попросили одного из игроков информационного рынка подглядеть «что-нибудь на кого-нибудь» из VIP-персон, например политиков. Буквально через считанные минуты нам стало известно, что один очень известный в нашей стране человек проживает в квартире площадью 160,5 метра в доме N... по 2й Тверской-Ямской улице. В 2004 году он получил официальный доход в сумме 612 386 рублей 94 копейки. В начале ноября 2000 года летал в Санкт-Петербург, а летом 2003 года посетил Минводы. Кроме того, нам без особых усилий стали известны имена его родственников: супруги, матери и детей. А также ИНН, номер российского и заграничного паспортов, служебный, домашний и несколько мобильных телефонов. И все это не заняло и получаса! Разумеется, сама по себе эта информация вполне безобидна, но в умелых руках и она может стать по-настоящему опасным оружием.

А что же силовые структуры, призванные защищать нас от незаконного вторжения в личную жизнь? Они, как на манну небесную, уповают на новый закон «О персональных данных». В беседе с корреспондентом «Итогов» руководитель пресс-службы Главного управления специальных технических мероприятий (ГУСТМ) МВД России Анатолий Платонов заявил: «Пока не принято законодательство, все будет по старинке. Мое мнение: лучший способ обезопаситься – это защитить себя законом. Например, банковская и коммерческая тайны защищены законом, а база данных по телефонам МГТС формально совершенно беззащитна. Вот здесь и проявляются те самые белые пятна, которыми пользуются различного рода мошенники, прекрасно знающие механизмы ухода от уголовной ответственности».

Дыры в защите

Суть законопроекта «О персональных данных», который сегодня доводят до ума депутаты, проста: он запрещает сбор и обработку персональных данных без согласия физических лиц. То есть никто не вправе без спроса интересоваться вашим вероисповеданием, национальной принадлежностью, политическими убеждениями, состоянием здоровья, сексуальными склонностями, судимостями и так далее. И в телефонную книгу можно вносить человека только с его разрешения.

Систему сбора данных предполагается выстроить по следующему принципу. Появится такое понятие, как «операторы» – это организации, которые будут собирать информацию и создавать базы данных. К «подвиду» операторов относится любая организация, аккумулирующая те или иные данные, например, банк или супермаркет, выдающий дисконтные карты. Директор департамента правового обеспечения Мининформсвязи Михаил Якушев поясняет: государство и оператор обязательно заключат договор, в котором будет четко прописано, какую информацию имеет право собирать эта организация. Также по новому закону на сбор и обработку данных должно быть получено разрешение гражданина. «Согласны ли вы сообщить свои координаты при условии, что эти данные не будут разглашены?» – спросит вас кассир магазина и покажет заверенный уполномоченным госорганом список вопросов.

Тут сразу возникает множество проблем. Ладно супермаркеты, а вот как быть с государственными учреждениями, в которые гражданин обязан предоставлять данные по закону, например с налоговой инспекцией? Если вы откажетесь отвечать на вопросы супермаркета, то рискуете лишь остаться без дисконтной карты, а с ГИБДД так не поговоришь: вашу машину просто не зарегистрируют. А что делать с информационными ресурсами силовых структур и спецслужб? Неужто ФСБ будет собирать информацию исключительно с согласия граждан? Разработчики говорят, что для силовиков сделают исключения: например, разрешается сбор личных данных в интересах следствия. Но так в принципе можно вывести из-под закона базы данных многих ведомств. А ведь часто крадут именно их.

Можно возразить: мол, не важно, как формируется база данных – добровольно или принудительно, главное, чтобы она «не утекала» куда не надо. Разработчики законопроекта говорят: тот, кто собирает данные, будет обязан предварительно пообещать гражданину, что никому информацию не передаст. А если обещание не сдержал? Тогда в полный рост встает вопрос об ответственности – кто и как должен отвечать за утечку информации? Тут тумана еще больше. «В настоящее время кого-то можно привлечь к ответственности лишь после доказательства в суде факта ущерба тому лицу, чьими персональными данными торгуют. Это, разумеется, нелегко», – признает Михаил Якушев. Особенно если судиться с такими монстрами, как налоговая служба или МВД. Что изменится с принятием закона? По новому закону единственное, что придется доказывать, – это то, что вы не давали согласия на предоставление данных о вас в открытый доступ. Допустим, доказали, а дальше что? Снова обоснование размера ущерба, или штраф в МРОТах, или тюремное заключение? И кого наказывать – организацию-оператора, конкретное должностное лицо или и того, и другого? И не придется ли в каждой организации-операторе завести специальную должность ответственного за информационную безопасность наподобие ответственного за безопасность пожарную? Нет ответов.

Еще одна закавыка. Чтобы обезопасить персональные данные от «нецелевого использования», в законопроекте предлагается зарегистрировать в специальном государственном органе все информационные системы, с помощью которых ведется их сбор и обработка. Там же будет создан общедоступный реестр информационных систем, из которого каждый человек сможет узнать, в каких именно базах он фигурирует, и в 10дневный срок ознакомиться с данными о себе. Авторы закона обещают, что можно будет заглянуть, например, даже в базу данных ФСБ, если «такая информация не подпадает под запрет, связанный с оперативно-разыскной деятельностью». Новый орган также получит полномочия надзирать за соблюдением закона о защите персональных данных.

Уже сегодня идут споры по поводу того, кому будет подотчетно учреждение, в котором аккумулируется информация о подавляющем большинстве граждан страны. Правозащитники, ссылаясь на международные нормы, говорят, что это должна быть независимая служба. ФСБ с этим не согласна. «В первую очередь регистрационная служба должна заниматься защитой персональных данных, а с этой задачей лучше ФСБ трудно кому-либо справиться. Информация, к охране которой была причастна ФСБ, ни разу не становилась достоянием всех и каждого», – уверен замначальника отдела информационной безопасности ФСБ Константин Дробаденко. «Но кто защитит персональные сведения от государства?» – вопрошают правозащитники.

Допустим, все вышеупомянутые вопросы решены. Регистрационный орган создан, наказания определены, ответственные назначены. Но решение проблемы информбезопасности потребует серьезного программно-аппаратного обеспечения. А это – деньги. Хорошо, частные структуры будут решать данную проблему за счет собственных средств, а государственные? Просчитан ли законопроект с финансовой точки зрения? Во что обойдется защита личных данных обществу?

С одной стороны, безусловно, надо защищать персональные данные, которые всегда собирали бессистемно. Однако насколько действенна будет такая защита? Ведь зачастую бывает сложно отыскать источник утечки, и все обещания о возможности подать в суд на организацию, из которой произошла утечка, остаются лишь обещаниями. Так, например, по Москве последние месяцы происходит адресная рассылка писем одной благотворительной организации с призывом пожертвовать денег на беспризорников. Дело хорошее, но откуда благотворители взяли адреса для рассылки – вопрос. И на кого подавать в суд – неясно. Остается надеяться только на то, что ко второму чтению ответы хотя бы на некоторые вопросы будут найдены.

МНЕНИЕ

Сыровато будет

Эксперт Российского комитета Программы ЮНЕСКО «Информация для всех» Евгений Альтовский считает, что «сам механизм реализации закона о персональных данных пока в достаточной степени не проработан». По его мнению, на сегодня известны два наиболее распространенных способа доступа к персональным данным: несанкционированное копирование и несанкционированный доступ с удаленного рабочего места. Больше всего страдают компании, подключенные к Интернету (кстати, по законодательству о защите информации компьютеры, содержащие секретные данные, не могут быть подключены к Сети). Как правило, охотники за персональными данными взламывают серверы компаний через так называемый межсетевой шлейф. Для того чтобы обезопасить себя от подобных взломов, в системы защиты данных нужно вложить достаточное количество денег. К тому же следует четко обозначить жесткий регламент доступа к базе данных всех сотрудников, а также создать систему аудита доступа к таким данным. «Что касается данного проекта закона, то, я думаю, речь здесь идет о практике правоприменения, – говорит г-н Альтовский. – А как можно курировать эти вопросы, когда и раньше такая практика отсутствовала? Мне кажется, что предлагаемый закон надерган кусками из других законопроектов и законов, начиная от Конституции и Гражданского кодекса и заканчивая проектами закона «Об электронной цифровой подписи».

ОПРОС

Отложим на завтра?

- В конце прошлого года мы провели опрос представителей 315 государственных и коммерческих организаций России на тему внутренних угроз в области информационных технологий, – рассказывает Александр Антипов, руководитель проекта Securitylab. – Выяснилось, что более 96 процентов респондентов регистрировали случаи утечки информации или допускают их существование. При этом всего 2 процента организаций используют специализированные средства для обнаружения и предотвращения утечек конфиденциальной информации, правда, 83 процента планируют их внедрение в ближайшие три года.

Основными каналами утечки данных (и не только персональных) сегодня являются мобильные накопители, электронная почта, интернет-пейджеры, Интернет (Web-почта, форумы и т. п.). На их счет приходится до 99 процентов случаев утечки приватных данных. Большинство опрошенных специалистов (около 90 процентов) в ответе на вопрос о путях защиты от утечки информации высказались за внедрение комплексных IТ-решений. Этот вариант ответа значительно обогнал другие: организационные меры, ограничение связи с внешними сетями, тренинги сотрудников. Однако на практике оказалось, что самым популярным инструментом пользуются всего лишь 2 процента участников исследования. В то же время 59 процентов вообще не предпринимают никаких шагов в этом направлении!

http://www.itogi.ru/archive/2006/6/46740.html 

Возврат к списку

Ольга Савко

Начальник группы телемаркетинга

Закажите демонстрацию системы
Мы свяжемся с вами, проконсультируем по интересующим вопросам, подготовим персональную демонстрацию в удобное для вас время.

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Календарь мероприятий

26апреля

«Весенний документооборот-2021»: развитие экосистемы ЭОС

Узнать больше

11февраля

Об электронной подписи простым языком: компания ЭОС проведет вебинар для школ

Узнать больше

28января

Новые возможности наглядной визуализации в СЭД «ДЕЛО»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ

^