Открываю уже
четвертый эпизод э-реалистического сериала – «Э-Бардак» (смысл названия, думаю,
объяснять не нужно? :) ). И чтобы было понятно - это не я такой плодовитиый графоман,
это жизнь непрерывно сюжет за сюжетом подбрасывает. Сегодня вот, например - новость
про то, как в ПФР с утечкой данных в интернет налажали. Ну то есть, с
утечкой-то у них как раз все и получилось, а вот с защитой от – не очень.
Как
пишут в романах - ничто не предвещало. Я тихо-мирно сочинял очередной пасквиль
про ГЭПС, периодически мониторя фейсбучную ленту. И вот примерно около 14:00 в
ленте проскочило сообщение «Ведомостей» - «Данные
Пенсионного фонда утекли в интернет». Естественно, я пошел читать. Я
позволю себе процитировать здесь два абзаца заметки, потому что мне нужно будет
откомментировать там кое-какие моменты.
Файл
с данными о клиентах Пенсионного фонда России (ПФР) был опубликован на сайте
фонда — фамилию, имя, отчество, ИНН,
информацию о страховых и накопительных взносах можно найти через поиск
«Яндекса», сообщила «Русская служба
новостей» со ссылкой на одного из клиентов фонда. Сейчас доступ к файлу на
сайте Пенсионного фонда закрыт, однако файл,
содержащий более 1000 записей, сохранился в кэше «Яндекса».
А.Б.:
Забегая несколько вперед, скажу, что «более 1000 записей» - это правда, но не
вся правда (по моей собственной классификации – это наглая статистика).
Поскольку я тоже успел найти и скачать данный файл (и об этом я тоже напишу),
то смог увидеть, сколько там записей на самом деле – 8 799 по 40 подразделениям ПФР в Тверской области (включая
г.Тверь).
Появление
данной информации в открытом доступе — следствие технической ошибки, сообщила
«Ведомостям» представитель ПФР Марита
Нагога. По ее словам, общедоступной
стала информация об индивидуальных предпринимателях, имеющих задолженность по
страховым взносам. Утечка носит локальный характер — в интернете появилась информация примерно о 600 должниках в нескольких
районах Тверской области, подчеркивает она. Доступ к файлу был закрыт
примерно через час после обнаружения ошибки, но «Яндекс» успел проиндексировать
его — сегодня к 15.00 поисковик обещает
закрыть доступ к этой информации, говорит Нагога. Содержащаяся в файле информация не относится к персональным данным,
подчеркивает она. Файл с данными ПФР проиндексировал не только «Яндекс» —
ссылки на информацию из него присутствуют также в поиске Mail.ru и Bing.
А.Б.:
Вот смотрите, какая фигня получается.
1.
Раньше всех об утечке сообщила «Русская
Служба Новостей» (сообщение на их сайте вывешено в 10:11 – это важно!). Я еще
буду цитировать и их тоже, но сразу хочу подчеркнуть, что в том сообщении не
было уточнения о том, что именно представляют собой утекшие данные – ну да,
ФИО, ИНН, какие-то суммы. Информация о
том, что эти суммы являются задолженностями индивидуальных предпринимателей по
страховым пенсионным взносам, была обнародована именно представителем ПФР
М.Нагогой. И не просто представителем, а официальным спикером в должности
директора департамента, т.е., вообще говоря, занимающей позицию, на которой
неплохо бы отдавать себе отчет в том, что можно говорить публике и СМИ, а о чем
лучше умолчать.
2.
В сообщении «Ведомостей» (которое было
опубликовано примерно в 14:00) говорится, что из кэша «Яндекса» файл исчезнет
после 15:00 (не знаю, как насчет 15:00, но в 15:20 его уже точно не было).
Совесть «Ведомостей» чиста – они не дали ссылку на файл. Но зато эта ссылка
была (и есть – только теперь уже бесполезная) в сообщении «РСН». Я, прочтя «Ведомости»,
уже через минуту был на сайте «РСН», нашел ссылку и спокойно скачал файл – это случилось
примерно в 14:10. Сколько еще людей
скачали файл-утечку именно благодаря СМИ, стремящимся сообщить «горячую» новость
как можно раньше, - наверное, известно только «Яндексу».
3.
Теперь об откровенной лжи. «В
интернете появилась информация примерно о 600 должниках в нескольких районах
Тверской области» - слова Мариты Нагоги. Я уже выше писал – в файле 8 799 записей
по 40 подразделениям ПФР в Тверской области. Это полный список ИП-должников по пенсионному страхованию в Тверской
области. Зачем было врать? Не понимаю...
4.
Утверждать, что совокупность ФИО, ИНН
и задолженностей не является персональными данными (по 152-ФЗ, «персональные
данные - любая информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту персональных данных)», по-моему, явное
проявление непрофессионализма. Я не буду сейчас приводить здесь варианты
возможного использования утекшей информации, но они есть, и их не так уж и мало.
Кстати,
не знаю, уж в чей огород этот камень бросить, но в первом абзаце говорится про «более
1000 записей», а во втором – «примерно о 600 должниках». Это-то хоть кто-то
должен был сопоставить! Или – думать некогда, трясти надо?!
Посмотрим
теперь на самое первое сообщение об утечке – на сайте «РСН».
Об
этом «Русской службе новостей» сообщил генеральный директор ООО
"Лавнард" Николай Игошев. По его словам, на сайте Пенсионного фонда
России появились ссылки на
конфиденциальную информацию клиентов по Твери и Тверской области.
«Этот
файл доступен для скачивания для
любого пользователя интернет. “Яндекс” выпускает конфиденциальные данные в
поиск. Я стал проверять свои данные и случайно нашёл этот файл, в котором
содержатся данные о плательщиках. Заходим на сайт и там находятся его фамилия,
имя и отчество, ИНН, сумма платежа, страховой, накопительной части и ещё много
всего», - сказал он.
А.Б.:
Ну вот до чего же наш народ охоч даже не до 15-ти минут, а до 15-ти секунд
славы! Вот этот самый Н.Игошев – он что, не мог сначала все-таки с ПФР
связаться, а не с РСН? Я вот полагаю, что любой разумный человек, обнаружив
утечку и понимая ее значение, все-таки должен сперва известить владельца данных
или людей в «Яндексе», а потом трубить о своей заслуге во все сливные трубы. Я
понимаю – сам-то Н.Игошев ничем не рисковал. Он, таки да, нашел этот файл по
своей фамилии, но в файле – совсем другой Игошев, с другими именем и отчеством.
Ну и чтоб еще важности нагнать, он перечисляет: «... там находятся его фамилия,
имя и отчество ... и еще много всего». Ответственно заявляю – «много всего» там
нет. Есть все перечисленное выше да плюс одна колонка – регистрационный номер
ИП, выдаваемый ПФР. Больше ничего.
ЖурнализДы
«РСН» тоже хороши – им обязательно нужно было своей информированностью
покичиться, вот живые ссылки в текст заметки и вставили, аж два раза. Я не стал
в цитате ссылки оставлять, только болдом отметил, где они были. Да и все равно
они уже дохлые.
Ну
и просто, чтобы читатели получили удовольствие, еще одна цитата из другой
заметки «РСН». Без комментариев, sapienti, как говорится, sat:
«На
сайте Пенсионного фонда действительно был размещён файл с данными
пользователей, которые проиндексировали основные поисковые системы, в том числе
Yandex, Google и Mail.ru. Указанный файл
с данными не был защищен специальным роботом txt. Администраторы сайта
удалили файл, и в скором времени он исчезнет из поиска», - сказал представитель
Yandex.
Вообще,
я не стал бы про все это писать – инцидент-то ерундовый по сути. Но первое, о
чем я подумал, прочитав сообщение на Фейсбуке: «Это СМЭВ!» Моя гипотеза была
такой – при отладке МВ-сервиса ПФР файл с результатами отработки запроса или
положили не туда, или не закрыли, как надо, или просто перебрасывали кодеры какой-то
рабочий материал через имевшиеся под руками веб ресурсы. Типа: «Мы файлик
положим по тихому, вам ссылку бросим. Вы файл снимете, нам свистнете – мы ссылку
удалим». А дальше – все как обычно. Одни не свистнули, другие отвлеклись – и вуаля.
Теките данные, теките...
Я
даже не поленился сходить и посмотреть, какие у ПФР сейчас МВ-сервисы должны
работать, и какие данные они отдают потребителям. Прямого сходства с утекшими
данными я не обнаружил, но определенные вопросы по архитектуре реализации веб-сервисов
ведомств у меня появились. Пока покопаюсь во всем этом в фоновом режиме. Если
ничего не нарою – это даже и неплохо будет. Ну а нарою – дам знать.
PS. Уже закончив писать этот пост (вот
же – даже PS поставил, чтобы эти строчки дописать), я обнаружил, что на
происшедшее сегодня днем с достойной оперативностью отреагировал Синус. Заметка
«Пенсионный
фонд слил в Сеть личные данные граждан» опубликована в 18:38 (ну да, я свой
пост еще позже публикую, но у меня вообще-то и другие дела были – работа, в
конце концов). Желая продемонстрировать свою информированность, Синус в заметке
поместил скриншот кусочка таблицы, покоцав колонки с конфиденциальными данными.
Но при этом начинается заметка все той же лажовой фразой про «данные о примерно
600 пользователей». Т.е., имея в руках файл, журнализДы больше доверяют
пресс-службе ПФР, чем своим собственным мозгам. Или это просто корпоративная
этика?
Комментариев нет:
Отправить комментарий