В информационных системах госорганов — от реестра НКО Минюста до московского портала госзакупок — в открытом доступе размещены 360 тыс. записей с личными данными, в том числе сведения о бывших вице-премьерах правительства.
Около 360 тыс. записей с личной информацией обнаружил в открытом доступе председатель Ассоциации участников рынков данных Иван Бегтин. Об этом говорится в его исследовании «Утечки персональных данных из открытых источников. Государственные информационные системы» (есть у РБК).
Бегтин проанализировал данные с сайтов восьми информационных госсистем — реестра субсидий федерального бюджета Минфина (50 тыс. записей), реестра отчетов некоммерческих организаций Минюста (10 тыс.), реестра обращений граждан на портале «Онлайн Инспектор» Роструда (1 тыс.), информационной системы «Правовые акты ФАС России» (2 тыс.) и портала торгов по госимуществу ФАС (2 тыс.), портала управления многоквартирными домами Москвы (1–2 тыс.), столичного портала закупок (2,5 тыс.) и портала государственного и муниципального заказа федерального казначейства (300 тыс.). Бегтин сказал РБК, что речь идет о примерной оценке утечек персональных данных, потому что в одной записи могут содержаться сведения о нескольких людях.
РБК направил запросы в Минфин, Минюст, Роструд, ФАС России, Федеральное казначейство и мэрию Москвы. В пресс-службе Федерального казначейства заявили, что проведут проверку и «при необходимости примут меры по недопущению подобного впредь».
Исследование состоит из трех частей. В первой, посвященной утечкам на сайтах удостоверяющих центров, занимающихся подтверждением электронной подписи, Бегтин сообщает об утечке 63 тыс. записей с раскрытием персональных данных в виде Ф.И.О., места работы, e-mail и СНИЛС. Во второй части — об утечке 2,24 млн записей с паспортными данными, СНИЛС и сведениями о трудоустройстве с сайтов электронных торговых площадок.
Чьи данные оказались доступны
Среди людей, информация о которых оказалась в открытом доступе, — бывшие вице-премьеры и вице-спикер Госдумы, утверждает Бегтин. На момент публикации, как убедился РБК, в реестре отчетов некоммерческих организаций Минюста среди отчетов «о деятельности некоммерческой организации и персональном составе ее руководящих органов» можно было найти документ фонда поддержки социальных, образовательных, инновационных и спортивных проектов «Ладья». В его президиум входят первый заместитель председателя Госдумы Александр Жуков (в 2004–2011 годах вице-премьер), сопредседатель фонда «Сколково», бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский. Их паспортные данные содержались в отчете фонда.
На сайте есть аналогичный отчет Фонда инфраструктурных и образовательных программ. В нем указаны паспортные данные председателя правления госкорпорации «Роснано», в прошлом вице-премьера Анатолия Чубайса и топ-менеджеров корпорации Андрея Свинаренко, Алексея Качая, Дмитрия Колесникова, Андрея Трапезникова и Юрия Удальцова.
В пресс-службе фонда заявили РБК, что в соответствии с разъяснениями Минюста не указывают паспортные данные своего руководства. «На практике, если отчеты содержат персональные данные, Минюст при обработке и размещении отчетов такие данные скрывает... Если такие данные все же доступны на информационном портале, то к такой ситуации мы относимся крайне негативно, так как, насколько нам известно, субъекты персональных данных не давали согласия Минюсту на размещения их персональных данных», — подчеркнули в фонде.
РБК направил запросы Дворковичу и Жукову.
Соловьев заявил РБК, что не давал согласия на публикацию своих персональных данных. Телеведущий сказал, что попытается решить проблему с размещением своей личной информации, потому что ее могут «найти либералы типа [Алексея] Навального».
Как данные оказались в открытом доступе
Для каждого из упомянутых порталов Бегтин описал алгоритм получения личных данных. РБК, следуя его инструкциям, смог найти персональную информацию на шести из восьми ресурсов. Реестр субсидий федерального бюджета Минфина и база правовых решений на портале ФАС России убрали со своих сайтов документы с личными данными. Бегтин пояснил РБК, что до публикации направил свое исследование в некоторые ведомства и Роскомнадзор.
В ответе Роскомнадзора (есть у РБК) исследователю сообщили, что его обращение «не является основанием для проведения внеплановых проверок в отношении организаций, упомянутых в письме». В документе, однако, подтверждается, что некоторые порталы допускают утечку персональных данных. В отношении них ведомство пообещало принять соответствующие меры.
Почему утекла личная информация
Утечки возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов, считает Бегтин. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — говорит исследователь.
В утечках каждой площадки есть и свои особенности. Например, в реестре соглашений о предоставлении субсидий Минфина до недавнего времени было много договоров Минкульта с творческими коллективами. К ним приложены договоры с режиссерами, сценаристами и другими членами таких объединений как физическими лицами (у РБК есть скачанные документы с личными данными). В реестре Минюста паспортные данные появляются из-за того, что предоставление субсидий требует специальной формы отчета — ОН001 («Отчет о деятельности некоммерческой организации и персональном составе ее руководящих органов»). Там предусмотрены следующие графы: Ф.И.О., дата рождения, гражданство, данные документа, удостоверяющего личность, адрес и должность, наименование и реквизиты акта о назначении.
Как закон наказывает за утечку информации
Раскрытие персональных данных противоречит законодательству, говорит старший юрист практики по интеллектуальной собственности Bryan Cave Leighton Paisner Ирина Шурмина, прежде всего федеральному закону «О персональных данных». «Вряд ли субъект предполагал, что эти персональные данные, в частности паспортные, будут раскрываться кому-то еще», — уточнила она.
Ответственность за подобные утечки предусмотрена в Кодексе об административных правонарушениях. «Там есть несколько составов, например обработка персональных данных без согласия субъекта персональных данных наказывается штрафом в размере до 75 тыс. руб., — пояснила Шурмина. — Штраф может взиматься за каждого человека, чьи персональные данные были раскрыты, иными словами, закон не мешает умножить 75 тыс. руб. на количество человек, чья персональная информация утекла».
В случае административной ответственности штраф взыскивается в пользу государства, уточнила Шурмина. Однако если субъект персональных данных сможет доказать, что столкнулся со значительными негативными последствиями из-за утечки, то, возможно, он добьется компенсации морального вреда. «Однако на практике причинение морального вреда доказать довольно затруднительно», — отметила эксперт.
Когда в последний раз случались крупные утечки
Публикация второй части исследования Бегтина, в которой говорится об утечке 2,24 млн записей с личной информацией, произошла в конце апреля. После нее Роскомнадзор потребовал у электронных маркетплейсов ответить за утечку.
А в начале апреля в Сети появилась база данных пациентов скорой помощи нескольких подмосковных городов. В ней содержались Ф.И.О., адреса и телефоны больных, а также сведения о состоянии здоровья. Тогда Следственный комитет начал проверку по факту утечки.
Несколько раз в масштабных утечках персональной информации обвиняли Facebook. В последний раз это произошло месяц назад. Тогда данные оказались в открытом доступе других платформ и в облачном хранилище Amazon. До этого представители социальной сети обнаружили, что пароли ряда пользователей Facebook хранились на ее серверах в незашифрованном виде — в виде обычного текста. Ненадлежащее хранение информации было выявлено в ходе плановой проверки безопасности в январе. Сообщалось, что оно затронуло «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram».