22 апреля 2016

Угроза информационной безопасности: СПЧ выступил против «антиэкстремистского» законопроекта Яровой-Озерова

Эксперты из Совета по правам человека (СПЧ) раскритиковали антитеррористический пакет законопроектов, обязывающий операторов связи три года хранить записи звонков и переписку граждан, в т.ч. в интернет-пространстве. Предложения депутата Ирины Яровой и сенатора Виктора Озерова, в частности, угрожают информационной безопасности и представляют собой «беспрецедентное покушение на неприкосновенность личной жизни», уверены правозащитники. Операторы связи, в свою очередь, оценивают свои потенциальные потери в десятки миллиардов долларов, не говоря уже о том, что в копеечку эта инициатива слежки за гражданами влетит в итоге самим же гражданам.

В СПЧ считают инициативу необоснованной. Предложенные изменения касаются «не только противодействия терроризму и экстремизму, но и расследования любых других преступлений, и представляют собой беспрецедентное покушение на неприкосновенность личной жизни граждан», отмечается в отзыве. Там также указывают на трудность реализации идеи. Так, например, обязанность сервиса электронной почты хранить содержание коммуникации предполагает, что это должно осуществляться вне зависимости от воли пользователя, в том числе от его намерения удалить письмо с сервера.

Наконец, требование угрожает информационной безопасности. «Накопление и хранение огромных массивов информации о каждом случае коммуникации в течение трех лет означает, что они не смогут быть надежно защищены от похищения разного рода злоумышленниками.

Об опасности утечки персональных данных россиян с последующим попаданием их на «чёрный рынок» в интернет мы уже писали в одной из своих недавних публикаций. Как показывают факты, случаи «слива» в сеть баз ФСКН, Центробанка, ГИБДД, МВД и других госведомств повторяются год от года, и виноват здесь бывает не только «человеческий фактор», когда кто-то из сотрудников решает воспользоваться своим служебным положением из меркантильных или каких-то других целей, но и недостаточная защита от кибератак. Случаи, показывающие крайнюю уязвимость государственных служб и предприятий в интернете, происходят уже чуть ли не каждую неделю.

21 апреля южноуральские СМИ получили рассылку ФСКН. В сообщении говорилось о задержании высокопоставленного полицейского с крупной партией наркотиков. Но почти сразу выяснилось, что указанный пресс-релиз – фейк, а почту ведомства просто взломали. Уже тогда появилась версия, что хакеры пытались просто отомстить работникам ведомства. По мнению руководителя ведомства, таким образом неизвестные хотят помешать интеграции ФСКН в систему ГУ МВД.

19 апреля в сеть попали документы с личными данными пассажиров РЖД и «Аэрофлота». Об этом сообщила хакерская группа Hello Kitty. В открытом доступе на сайте traveladmin.ru было размещено около 3500 документов с личными данными клиентов. Через какое-то время документы по указанной хакерами ссылке стали уже недоступны. Среди доступных в онлайне файлов можно было найти билеты РЖД и «Аэрофлота», данные бронирования отелей по России, билеты «Уральских авиалиний», S7, UTair и др. В документах указаны имена, даты отправления и прибытия, адреса проживания, личные телефоны и другие персональные данные клиентов.

Житель Ленинградской области Павел Семенов нашел брешь в работе сайта управления МЧС по Карелии. При попытке зарегистрироваться на экскурсию по республике пользователям сайта МЧС открывается возможность делать SMS-рассылки за счет ведомства. Кроме того, становится доступна информация о других людях, которые зарегистрировались на экскурсии, в том числе контактные данные. Семёнов рассказывает:

«К сожалению, раздолбайство на местах иногда может привести к трагическим последствиям. Например, туристы идущие в поход по Карелии регистрируют свой выход на маршрут согласно рекомендациям МЧС на сайте главного управления, и при этом любой недобросовестный пользователь может вычистить базу туристов находящихся на маршруте, затруднив тем самым поиск и обнаружение их при ЧС, а также извещение о ЧС посредством СМС. Проблеме уже два года, но «сотрудники ГУ МЧС по Республике Карелия упорно её не видят».

.

А возможность отправлять письма или sms от имени госведомства, напомним, порой чревата не только потерями репутационными, но и финансовыми. Так, в прошлом году, рассылая десяткам российских банков письма от имени ЦБ РФ, хакеры опустошили их почти на два миллиарда рублей.

Справедливости ради стоит заметить, что проблема утечки конфиденциальных данных — общемировая. Аналитически центр компании InfoWatch за 2015 год зарегистрировал 1505 случаев утечки конфиденциальной информации — на 7,8% больше, чем в предыдущем году. Между тем, количество «российских» инцидентов по сравнению с 2014 г. сократилось на 28%, однако Россия по-прежнему занимает второе место по числу утечек.

Президент Владимир Путин в начале года называл поразительную цифру — 24 миллионах кибератак на госсайты только за 2015-ый год, в связи с чем потребовал от ФСБ усилить уровень защиты информационно-коммуникационных ресурсов госорганов. Правда, как мы видим, силовые ведомства за своими-то данными не в силах уследить, что уж говорить о том, чтобы взять кураторство над киберпространством в целом по стране.

Также манифесты о «внешней угрозе», косвенно появляющиеся и в риторике Президента, и напрямую — в устах представителей полицейских структур, сильно преувеличены. По крайней мере, касаемо безопасности персональных данных. Все «слитые» базы данных граждан, как правило, появлялись исключительно на внутрироссийском «чёрном рынке», дальше рунета никуда не попадая. Поэтому если в руках вполне себе доморощенных злоумышленников появится такой лакомый кусок, как трёхгодичный массив с фотографиями, перепиской, разговорами и т.п., который планирует хранить на ещё несуществующих центрах обработки данных господа Яровая и Озеров, сложно себе представить масштабы роста вышеупомянутого «чёрного рынка данных» и всех проблем, с которыми столкнутся миллионы попавших со всей своей поднаготной помимо своей воли в сеть россиян.

В СПЧ предполагают, что конечными выгодоприобретателями от предлагаемой нормы станут интернет-компании, сделавшие избыточные инвестиции в центры обработки данных (ЦОД). В начале марта мы тоже писали о том, что желающих воспользоваться услугами российских дата-центров не так уж и много, но в беседе с «Ъ» некий источник на рынке дата-центров высказывает сомнения по этому вопросу:

«Индустрия ЦОД в России маленькая и незаметная, лоббистскими возможностями в ней обладает только “Ростелеком”. Но “Ростелеком” сам подпадает под действие поправок и потратит на их выполнение больше, чем мог бы заработать, тем более что “большая тройка” в его ЦОД хранить данные не будет».

.

По его мнению, по-настоящему выгодны поправки производителям серверного оборудования: аренда стойки в дата-центре обойдется примерно в $1–1,5 тыс. в месяц, а заполнить ее оборудованием стоит несколько миллионов долларов.

В общем, как ни подойди к этому законопроекту, плюсов найти в нём пока невозможно — одни только траты и очередное откусывание наших с вами прав и свобод.

Читайте также:
Новый «антиэкстремистский» законопроект, вводящий тотальную слежку, готовится к первому чтению в Госдуме
«Антиэкстремистский» законопроект Яровой-Озерова по трёхлетней слежке за интернет-пользователями взвинтит цены на услуги связи
Противоречащий Конституции РФ новый законопроект Яровой-Озерова несет риск утечки баз данных россиян на черный рынок
Мы заложили дата-центр… Для кого? Для чего?

_____

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.