Журнал "Information Security/ Информационная безопасность" #5, 2018

В политике конфиденци- альности Google в действую- щей редакции от 25.05.2018 (кстати сказать, она меня- лась 28 раз за прошедшие двадцать с небольшим лет), с которой пользователи могут в любой момент озна- комиться в своем личном кабинете, термин ПДн встречается только один раз в разделе, посвященном обработке ПДн третьими сторонами по поручению Google. Дословно это выгля- дит так: "Google может пре- доставлять ПДн аффилиро- ванным лицам Google и иным доверенным компа- ниям и лицам для обработки от имении Google". C этим тезисом пользователи Google формально согла- шаются, проставляя галочку в нужной строчке в процес- се регистрации учетной записи. совместно с операторами связи практически сразу начал пла- номерно блокировать доступ с территории РФ к порталу LinkedIn. Ближе к зиме 2016 г. появились официальные отчеты регулятора об успешном завер- шении блокировок. А что же другие импортные социальные сети? Характерны ли для них, продолжающих по состоянию на октябрь 2018 г. быть доступными для отечествен- ных пользователей, описанные выше нарушения? Вероятнее всего ответ на этот вопрос – да. Проводили ли организаторы иностранных медиапроектов, работающих в России, разборы полетов по кейсу с LinkedIN – уверен (как минимум в двух известных мне случаях), что проводили. Завершены ли рабо- ты по минимизации подобных комплаенс-рисков для них? А вот тут большой вопрос, учиты- вая что основные ЦОД для под- держки крупнейших интернет- проектов продолжают разме- щаться вне территории РФ. Вопрос открытый, но для пони- мания сути проблемы № 2 более писать ничего не будем. 3. Вторжение в личное про- странство внутри социальной сети, выраженное в получе- нии несанкционированного субъектом ПДн доступа к пер- сональной переписке и вло- жениям. Первое, что приходит на ум при прочтении третьей актуаль- ной проблемы, – это слово "хакеры". Однако при дальней- шем рассмотрении модель нарушителя постепенно расши- ряется. В нее целесообразно включить нелояльных админи- страторов серверов и баз дан- ных, маркетинговых аналитиков и аналитиков специальных служб и многих других, кто потенциально (официально или случайно) способствует утечке ПДн в Интернет и совершению атак на субъекта, оставившего свои ПДн на целевом портале. При подготовке материала для статьи я вспомнил, что не так давно получил электронное сообщение на один из своих почтовых ящиков, используемых для регистрации неосновных учетных записей в социальных сетях и интересных мне новых медиапроектах. Текст сообще- ния передаю вниманию читателя дословно: "Let's get straight to the point. I know that 1qaz1QAZ is your pass word. Moreover, I know your secret and I've proof of it. You do not know me and nobody paid me to examine you. It is just your hard luck that I stum- bled across your misadventures...". И далее в том же духе. Сообще- ние содержит угрозу разглаше- ния моих (размещенных мною в профиле при регистрации на взломанном портале) ПДн вследствие их компрометации третьим лицом и предложение выкупить свои ПДн за неболь- шое (по меркам автора рассыл- ки) вознаграждение. Понятно, что этот обезличен- ный текст скорее всего рассы- лался его авторами вслепую, полагаясь на авось, и, по теории больших цифр, чем шире область рассылки, тем больше вероятность, что она сработает хотя бы раз. Получив доступ к базе электронных адресов поль- зователей уязвимого портала, злоумышленники используют эту информацию в том числе для проведения атак класса "социальная инженерия". 4. Отсутствие у интернет- оператора письменного согласия субъекта ПДн на обработку им ПДн данного субъекта. Форма письменного согласия субъекта на обработку его ПДн, основные ее позиции, последо- вательность и примеры заполне- ния размещены на портале Рос- комнадзора уже более 10 лет. При этом организаторы интер- нет-порталов и социальных сетей при регистрации новых учетных записей продолжают использо- вать свои собственные формы, терминологию и аргументы, не предлагающие соблюдение уста- новленных норм. Большинство специалистов по информационной безопас- ности сходятся во мнении, что постановка галочки в Web- форме при регистрации, без использования электронной подписи или другого аналога собственноручной подписи субъекта, является существен- ным нарушением требований ФЗ-152 о получении операто- ром письменного согласия субъ- екта ПДн. Так или иначе, этот вопрос до сих пор окончательно не решен. 5. Нарушение требований об использовании для защиты ПДн субъектов – граждан РФ только сертифицированных ФСТЭК средств защиты инфор- мации и криптографических средств защиты с действую- щими аттестатами соответ- ствия, подтвержденными ФСБ. Для иллюстрации данной про- блемы можно воспользоваться выдержкой из политики конфи- денциальности компании Google (в действующей редакции). Вот о чем Google любезно информи- рует пользователей: "Поскольку наши серверы расположены в разных регионах по всему миру, информация конкретного поль- зователя может обрабатываться не в той стране, в которой он проживает. Уровень защиты информации и законодательные нормы в этой сфере могут раз- личаться в разных странах. Вне зависимости от того, где именно осуществляется обработка Ваших данных, компания Google использует одни и те же меры обеспечения их безопасности, описанные в этой Политике кон- фиденциальности. Google также придерживается ряда законода- тельных норм в сфере передачи данных, среди которых рамочное соглашение между США и ЕС в отношении конфиденциальности EU-US Privacy Shield Framework, а также аналогичное соглашение между США и Швейцарией Swiss-US Privacy Shield Frame- work". Понято, что при таком подходе к защите информации вопрос об использовании серти- фицированных и аттестованных средств защиты ПДн становится для интернет-оператора ПДн вто- ростепенным. И таких вопросов остается незакрытыми еще очень много! Профилирование в аналитиче- ских системах хостера, таргетинг и персональные предложения, нарушение требования закона о забвении… "И что дальше?!" – спросите вы. Подумайте, так ли вам и вашим близким нужно рас- крывать всего себя и указывать реальные данные при регистра- ции в формах интернет-операто- ров ПДн? Неужели степень при- тягательности сыра настолько велика, что риски компрометации и вероятность использования третьими лицами против вас ваших реальных ПДн забывается и не берется во внимание... Не забывайте читать политики кон- фиденциальности и условия экс- плуатации сервисов интернет- операторов ПДн. В них (в любой доступной редакции) всегда можно найти много любопытного, в том числе нарушающего тре- бования действующего на терри- тории РФ законодательства. l 50 • ПРАВО И НОРМАТИВЫ Ваше мнение и вопросы присылайте по адресу is@groteck.ru