Журнал "Information Security/ Информационная безопасность" #5, 2018

Несколько определений из действующей редакции Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональ- ных данных" для выравнива- ния информационного поля. Статья 3. п. 1 Персональные данные – любая информация, относя- щаяся к прямо или косвенно определенному или опреде- ляемому физическому лицу (субъекту персональных данных). Статья 3. п. 2 Оператор – государст- венный орган, муниципаль- ный орган, юридическое или физическое лицо, самостоя- тельно или совместно с дру- гими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяю- щие цели обработки персо- нальных данных, состав пер- сональных данных, подле- жащих обработке, действия (операции), совершаемые с персональными данными. Все, что написано ниже, – это персональ- ное/субъективное (ино- гда провоцирующее задуматься) мнение автора статьи. Редакция не несет ответственно- сти за корректность и актуальность информа- ции, изложенной ниже, а также за доступность указанных автором ссы- лок на первоисточники. Так бы я на месте главного редактора жур- нала начал представле- ние материала, предложенного вам к ознакомлению. Почему? Потому что тема изначально скандальная и разного рода экспертизы огромное количе- ство доступно в открытых источ- никах. Базовому вопросу уже более 12 лет (привет, Феде- ральных закон 152-ФЗ о персо- нальных данных 2006 г.), а решения, удовлетворяющего все стороны, до настоящего времени не найдено, не приду- мано и пока особо никем не ищется. Буду ли я как автор данной статьи претендовать на лавры первопроходца? Это вряд ли. Тогда в чем скандальность темы и собственно проблема- тика? Давайте разбираться. Часть 1 Ежедневно мы читаем сообщения в СМИ о массовых компрометациях в Интернете персональных данных (ПДн) определенных групп субъектов в России и в мире, куда, теоре- тически (или весьма вероятно?) можем входить и мы с вами. Примеры таких сообщений представлены ниже по тексту. Все мы, пользователи Интер- нета, счастливые обладатели электронной почты, как мини- мум раз в жизни регистрирова- лись на каком-либо внешнем хостинге (какие при этом дан- ные указывали и ПДн ли – это вопрос второй). Другой пример неумышленного указания ПДн в Интернете – электронные пла- тежи по реквизитам пластико- вой карты. Удобство и быстрота электронных переводов на сай- тах в сети составляет значимую часть быта держателей банков- ских карт. А ведь совершение платежа предполагает неявную регистрацию в процессе запол- нения форм, указания реквизи- тов карты плательщика и дан- ных получателя. Яркий пример размещения ПДн в Интернете: мобильные приложения, привя- занные к ним сервисы и про- дукты становятся доступными для абонентов только после указания неких реквизитов, в отдельных случаях – ПДн. И если смотреть со стороны бизнеса или обычного интер- нет-пользователя, то в описан- ных выше примерах нет ничего страшного или угрожающего информационной безопасности. Это все базовые современные технологии или, если хотите, обязательное требование вре- мени. Часть 2 Однако с позиции специали- стов по информационной без- опасности (чья профессиональ- ная деятельность часто может сопровождаться вялотекущей паранойей) размещение (умыш- ленное или случайное) субъек- тами собственных ПДн в Интер- нете не только повышает риски совершения атак на субъекта ПДн с причинением ему мате- риального или имиджевого ущерба, но и своими растущими масштабом, простотой и доступ- ностью способствует повыше- нию мотивации злоумышленни- ков к совершению все новых и новых преступлений в Интерне- те. Уязвимости портальных Web- интерфейсов, некорректная настройка типовой базы данных, слабые пароли администрато- ров, социальная инженерия в отношении привилегированных пользователей, подмена рекви- зитов по схеме "человек посе- редине", удаленный доступ к рабочему месту и серверу, на котором обрабатываются ПДн – злоумышленники и в 2018 г. (как и много лет до этого момен- та) продолжают использовать не слишком широкий, но пока- зательно эффективный спектр инструментов для атак на инте- ресующие их хранилища или персонально в отношении субъ- ектов ПДн на просторах Все- мирной паутины. Но чаще всего именно недобросовестное отно- шение оператора к обработке ПДн является основной причи- ной нарушения конфиденциаль- ности или массовой утечки ПДн через Интернет. При подготовке данной статьи я постарался найти и проана- лизировать ранее неизвестные случаи утечки или некорректной обработки ПДн в Интернете. И нашел их, как это ни странно, в практике работы Националь- ного центра по защите персо- нальных данных Республики Молдова (далее по тексту – НЦЗПД РМ). Для иллюстрации масштаба проблемы некоррект- ной обработки ПДн в Интернете реальные случаи из повседнев- ной практики регулятора из так или иначе близкого нам госу- дарства подходят как нельзя лучше. 2014 год НЦЗПД РМ выявил незакон- ное размещение на портале Центральной избирательной комиссии в Интернете ПДн граждан РМ. После громкого судебного разбирательства, связанного в том числе с неза- конным коммерческим исполь- зованием размещенных в общем доступе ПДн граждан РМ, во втором квартале 2015 г. НЦЗПД РМ вынудил в судебном порядке Центральную избира- тельную комиссию и Государст- венную регистрационную палату Молдовы, которые много лет до этого выкладывали в общий доступ на своих сайтах в Интер- нете ПДн, прекратить подобную практику. 2015 год Вызвал широкий резонанс беспрецедентный случай, свя- занный с раскрытием иденти- фикационных данных детей, подвергшихся сексуальному 48 • ПРАВО И НОРМАТИВЫ Проблемы обработки персональных данных в Интернете Алексей Плешков, эксперт по информационной безопасности