Витоку даних в інтернеті: все сталося в потрібний час

Тема раптово "спливаючих" в Мережі секретних даних викликала справжню паніку серед інтернет-користувачів. Чергові "відкриття", виявлені в кеші пошукових систем, обговорюються у всіх популярних соціальних мережах. Повідомленнями про витік рясніють стрічки сервісу мікроблогів Twitter.

Нагадаємо, услід за повідомленнями з сайту "Мегафону", за короткий час в Мережу "витекли" дані покупців приблизно 80 інтернет-магазинів, електронні залізничні квитки з датами, номерами рейсів, іменами пасажирів, куплені через сайт RailwayTicket.ru, фотографії користувачів популярного месенджера QIP. Причому в деяких випадках персональні дані змогли проіндексувати кілька пошукових систем: "Яндекс", Google, Bing, пошук Mail.ru.

До вчорашнього дня мова йшла про витік персональної інформації звичайних інтернет-користувачів. Але ситуація отримала досить несподіване продовження — в пошукову видачу найбільшого світового пошуковика Google потрапили документи російських державних відомств. Причому сталося це явно не вчора, просто інформація про це раніше не поширювалася. Серед виявлених у видачі Google файлів можна знайти документи Федеральної антимонопольної служби, Федеральної міграційної служби, Рахункової палати, Мінекономрозвитку, порталу Держзакупівель та інші. Більш того, деякі з потрапили у відкритий доступ файлів — документи під грифом "таємно" і "для службового користування".

Щоб знайти всі ці файли потрібно ввести в пошукову рядок певний запит. Втім, не такий складний, як може здатися: title: для службового користування site: gov.ru. При введенні цієї ж рядки в пошуку Google і "Яндекса" відкриваються службові документи (на момент написання матеріалу помилка все ще не була усунена).

Держвідомства вже поспішили розвінчати чутки про нібито секретних документах, що потрапили у відкритий доступ. "Результати пошукових запитів, що виявляють т.зв. службові документи СП РФ нібито під грифом ДСК — це матеріали офіційних Бюлетенів СП РФ", повідомляється в Twitter-блозі Рахункової палати. У Федеральній антимонопольній службі з гумором поставилися до ситуації. "Розвінчуємо качку: пошуковики не індексували наші секретні матеріали. Все, що ними індексується, — інформація з відкритим доступом", повідомляється в Twitter rus_fas. "Знайдете хоч один секретний документ — ми потиснемо вам з почуттям руку", — пропонує відомство.

Увага до того, що трапилося проявили Федеральна служба по нагляду у сфері зв'язку, інформаційних технологій і масових комунікацій (Роскомнадзор) і Слідчий комітет Росії. До того ж Генпрокуратура сьогодні доручила прокурору Москви перевірити дані про індексацію інтернет-пошуковиками службових документів російських держструктур. За повідомленням Генпрокуратури, проведений моніторинг інформації в Інтернеті свідчить про наявні порушення законодавства у сфері захисту персональних даних.

Представники операторів персональних даних, зі свого боку, намагаються погасити паніку. Так, глава Асоціації російських банків Гарегін Тосунян вже заявив, що дані позичальників і вкладників російських банків "більш ніж захищені, в першу чергу тому, що за новим законом на власників цієї інформації накладається занадто серйозне покарання". Однак від хакерських атак ніхто не застрахований, уточнив Тосунян.

Позиція ж представників пошукачів виглядає практично однаково: вони стверджують, що пошукові системи індексують тільки відкриті сторінки Інтернету, і якщо власник сайту хоче приховати від пошуковика якісь сторінки або сайт цілком, то це дуже просто зробити, поставивши заборона на індексацію сторінок містять конфіденційну інформацію.

Галас навколо "витоків" піднялася не випадково

Блогери, ЗМІ та експерти також постійно згадують закон "Про персональні дані" в обговоренні історій з витоками інформації в Мережу. Причому багато хто зазначає, що насправді індексація незахищених від пошукових роботів сторінок була можлива завжди і в цьому немає нічого дивного. Просто саме зараз комусь знадобилося нагадати про цю проблему.

"Пошукові сервіси завжди були потужним інструментом отримання інформації. Завдяки знанню модифікаторів пошуку користувач може отримати доступ до всього, що не було заховано адміністраторами інтернет-ресурсів від пошукових роботів файлом" robot.txt ", — пояснив BFM.ru генеральний директор Group-IB Ілля Сачков. — Спосіб отримання нібито закритої інформації за допомогою того ж Google став відомий фахівцям досить давно, вже років 10 тому. В експертному середовищі навіть існує певний термін — google hacking. Не варто приховувати, що google hacking широко використовується при комерційному та інших видах шпигунства ".

На думку експерта, галас пов'язана з першим випадком — гучного витоком SMS "Мегафону". "Цей випадок був широко розтиражований російськими ЗМІ. У підсумку, кожен пересічний користувач Інтернету дізнався, що, виявляється, так можна. А далі — найбільш кмітливі і менш ліниві стали складати різноманітні пошукові запити, які показали масштабні помилки в адмініструванні інтернет-сайтів, в тому числі державних органів ", — розповів Ілля Сачков.

"Зрозуміло, витоку даних відбулися не вчора, — погодився керуючий продажами в корпоративному сегменті G Data Software в Росії та СНД Олексій Дьомін. Однак на його думку, проблема тут не в індексації та не в пошукових системах." Вона взагалі лежить поза площині технічних питань. Те, що широку громадськість вирішено було проінформувати про це саме зараз, звичайно, не є випадковістю. Комусь треба було показати, що захист інформаційних ресурсів, у тому числі персональних даних, нікуди не годиться. І єдиний спосіб вирішити цю проблему — виконати вимоги закону "Про персональні дані". Це як з туристичним бізнесом. Як тільки приходить час відправитися у відпустку, всім дають зрозуміти, що небезпечно відпочивати скрізь, крім курортів одного із суб'єктів Росії ".

На думку Олексія Дьоміна, шум навколо даної теми, викликаний сплеском публікацій, швидко стихне і особливих наслідків мати не буде. "Він потрібний тільки для того, щоб виправдати в очах громадськості прийняття і підписання закону саме в такій редакції, в якій він був прийнятий і підписаний", — вважає експерт.

Що стосується пошуковиків, то вони, на думку представника G Data Software, просто розкрили слабкі місця в захисті операторів даних. "Усі теоретичні шишки дістануться недбайливим операторам. Зараз всі будуть намагатися перекласти відповідальність за подію на сусіда. За цей час громадськість засвоїть, що їх персональними даними ніхто не займається з належним запалом, що за всім цим потрібне око та око, тому все правильно зроблено і взагалі давно треба було вже прийняти заходи. А платити за все це буде сама громадськість, для якої і була написана ця п'єса ", — припустив Олексій Дьомін.

Гендиректор Group-IB також зазначає, що скандал з індексуванням закритих сторінок виник на тлі чергових поправок до ФЗ-152, який накладає на операторів персональних даних обов'язок забезпечувати їх конфіденційність. А це значить, не допускати їх поширення без згоди клієнтів і приймати необхідні організаційні та технічні заходи для захисту даних від неправомірного або випадкового доступу. "З урахуванням того, що, наприклад, ті ж інтернет -магазини потрапляють під категорію операторів персональних даних, можна очікувати негайну реакцію правоохоронних органів. Разом з тим, необхідно відзначити, що зараз в Росії не існує практики застосування положень законодавства щодо захисту персональних даних саме до інтернет-магазинам, форумів і тому подібним мережевих ресурсів, що вимагає при реєстрації обов'язкового зазначення своїх даних ", — пояснив Ілля Сачков.

До недавнього часу в Росії витоку даних широко не обговорювалися, але це не означає, що їх не було, зазначив керівник проектів відділу інформаційної безпеки Oberon Олександр Богомолов. "Очевидно, що прийняття поправок до ФЗ" Про персональні дані "породило нову хвилю інтересу до теми інформаційної безпеки. Думаю, можна цілком точно стверджувати, що ця хвиля штучного походження. Чим більше шуму навколо теми зараз, тим більше розуміння в суспільстві знайдуть ініціативи з посилення вимог до систем захисту. Не будемо забувати, що новий комплекс підзаконних актів для виправленого 152-ФЗ ще тільки належить розробити. І саме зараз вирішується, наскільки серйозним тягарем для операторів персональних даних стане новий закон, як далеко буде дозволено зайти держорганам в регулюванні галузі ", — пояснив експерт.

Керівник напрямку інформаційної безпеки компанії КРОК Михайло Башликов, в свою чергу, зазначив, що пошукові системи завжди використовувалися на першому етапі збору інформації в рамках бізнес-розвідки, підготовки хакерських атак на інтернет-ресурси і т.д. "Витоку інформації відбувалися і раніше. Однак широкий резонанс подібні інциденти не отримували. Зараз відчувається цілеспрямований інтерес до вмісту пошукачів. Можливо, це сприятиме більшому увазі з боку організацій до виконання законодавства ", — припустив Михайло Башликов.

На його думку, до пошукових систем в даному випадку навряд чи будуть застосовані санкції, адже вони не несуть відповідальність за витік інформації, яка знаходиться у відкритому доступі на сайтах інших компаній.

За даними експертів, поки що лише 5-10% операторів виконують усі вимоги законодавства при роботі з персональними даними. "Тобто проблема не в законі, а в тому, що до недавнього часу він просто не працював. Як змусити оператора виконувати закон? Можна або посилити санкції, або ввести своєрідний "народний контроль" — законодавчо зобов'язати операторів, які допустили витік, інформувати про це громадськість. Зараз ми стали свідками того, наскільки ефективний цей інструмент — суспільство (здебільшого заради розваги) намагається контролювати ступінь захисту персональних даних ", — підсумував Олександр Богомолов.

Category: наука
You can follow any responses to this entry through the RSS 2.0 feed.Both comments and pings are currently closed.

Comments are closed.