• 18.11.2024 18:39

    Общественники или ФСБ: кто должен следить за удалением персональных данных?

    Общественники или ФСБ: кто должен следить за удалением персональных данных?

    Московские власти пообещали «публично» удалить данные, полученные в результате введения системы пропусков и приложения «Социальный мониторинг». Однако сделают это, как сообщил ТАСС со ссылкой на заявление первого заместителя руководителя аппарата мэра и правительства Москвы, главы департамента торговли и услуг Алексея Немерюка, по завершении судебных тяжб, касающихся работы системы. Логично, что пока идут судебные разбирательства, инициированные москвичами из-за введения системы как таковой, а также из-за выписанных штрафов, удаление данных невозможно, так же как и логично, что по закону о персональных данных, собранная личная информация должна была удаляться по истечении 30 дней. Напомним, пропускной режим в Москве был введен с 15 апреля. Соответственно, данные, полученные системой 15 апреля, должны были быть удалены 15 мая, кроме, конечно, тех, по которым за это время возникли судебные иски. И так далее: полученные данные 16 апреля должны были удалиться 16 мая. Но, увы и ах. Вероятно, мэрии предстоит еще много работы для усовершенствования системы в случае ее применения в будущем во время повышенного режима готовности либо чрезвычайных ситуаций. Да и не только с системой, возможно, и в законодательстве необходимо уточнять сроки обжалования принятых системой штрафов, то есть предусмотреть момент, в какие именно сроки нужно уложиться, пока данные не удалены.

    Между тем о возможных рисках появления такой системы высказывалось много опасений еще до её введения. И если не брать во внимание те из них, которые касались в принципе предоставления личных данных или, так или иначе, объединения баз, которое тем не менее происходило в рамках закона, допускающего такое слияние, если это соответствует решению одной задачи, то основным из опасений была утечка данных и возможность их использования с мошеннической целью, а также сомнения в том, что собранный массив информации будет удален, не оставив от себя и следа, ведь данные можно и скопировать.

    Наши с вами рядовые человеческие опасения оказались далеко не предубеждениями. В интервью изданию «Известия» сооснователь «Лаборатории Касперского», президент ГК InfoWatch Наталья Касперская, как профессионал высокого уровня в IT-индустрии, по сути, подтвердила наши опасения. Касперская отметила, что, конечно, в рамках пандемии приходилось действовать быстро, времени на отладку всех дистанционных сервисов не хватало, поскольку их надо было сразу запускать в использование, что сказалось на качестве их работы. Потому сбои работы сервисов были ожидаемыми. Сказалась также и высокая нагрузка на них, ведь в Москве многомиллионная численность населения. Одновременное использование только-только запустившейся в жизнь системы стало испытанием на ее выносливость. Но самое интересное состоит в том, как говорит Касперская, что из-за такой высокой скорости введения в жизнь сервисов страдает не только плановость разработки и ее аккуратность. «В условиях эпидемии приходится жертвовать безопасностью. Отсюда взломы, доступы хакеров, мошенничество с пропусками. Но их было не так много, как могло бы быть. В имеющихся условиях, я думаю, это не очень плохой результат, — сказала глава ГК InfoWatch, подчеркнув также, что никакая информационная система не может быть защищена на 100%, это теоретически недостижимо. — При этом надо понимать, что стоимость атаки на порядки ниже, чем стоимость защиты: защиту вы должны делать по всем направлениям, а атакующему достаточно найти одну брешь, одну маленькую дырочку и туда пролезть. Если вы защитите восемь направлений, а девятое не сможете или забудете, этого будет достаточно для атаки. В условиях очень высокой скорости разработки, как правило, нет возможности сильно увеличивать защищенность сервисов. Это делают настолько, насколько успевают. Но, повторюсь, в нынешней ситуации могло быть хуже».

    БУДЬТЕ В КУРСЕ

    И наконец, говоря о том, что больше всего сегодня нас всех беспокоит — это удаление наших личных данных, то возникает вопрос, что это за такая публичная процедура их удаления и не останется ли копий информации или каких-либо других следов. По словам Касперской, видимо, «должно быть какое-то независимое ведомство, которому это поручат, например Федеральная служба по техническому и экспортному контролю (ФСТЭК) или Федеральная служба безопасности, или группа общественников, которая проведет аудит, оценит, где эти данные хранились, каким образом были удалены, насколько удаление полное, не осталось ли там «хвостов». Очевидно, нужно привлекать и внешних экспертов. Проведение аудита может дать если не стопроцентную гарантию, то, по крайней мере, значительно снизит риск. Так, например, 15 мая уже был прецедент в Татарстане: уничтожение персональных данных жителей республики после отмены цифровых пропусков было публичным, с аудитом и комиссией, включающей силовиков».

    В свою очередь, заметим, чем больше будет круг лиц, допущенных к информации, тем более с возможностью проведения аудита, думается, все знают о том, что аудит практически вытряхивает наружу все данные, что значительно повышает риски, то привлечение каких-либо общественных институтов к процессу контроля удаления данных может быть опасным для всех нас. Представьте, если завтра появится какой-нибудь новый господин Навальный, обличающий каждого из нас, поди докажи, что сведения для оглашения были переданы ему не одним из подобных общественников, получивших доступ к нашим с вами данным. Чем шире круг доступа к нашим данным, тем выше риски, и к тому же не исключают возможности переложить вину за утечку данных не на общественников, а на мэрию, почему бы и нет?! Опять же — поди найди и докажи, кто виноват.

    Удивительно, что вообще возникают вопросы подобного рода и обсуждается возможность привлечения к нашим данным третьих лиц для контроля над их удалением и предоставления нам доказательств о качественно проделанной работе, в то время, когда органы госбезопасности, в частности — ФСБ, всячески вытесняются из процесса цифровизации государства, хотя именно в этой сфере может и образоваться главная брешь для безопасности страны. Хорошо, можно подумать, что участие этого ведомства в процессе цифровизации исключается ради снижения зарегулированности, которая традиционно мешает развитию всего нового, но ведь речь-то идет сейчас о нашей с вами безопасности, а в данной ситуации еще и о необходимости проследить за удалением наших данных. Согласитесь, ФСБ и так по определению может заполучить информацию о нас, если это будет необходимо, поэтому логично, что большого интереса к данным этой системы данное ведомство не испытывает, чего нельзя сказать об общественниках, которым недоступны базы данных в принципе и, более того, — могут представлять для них коммерческий интерес. Кроме того, система пропусков действовала и в других регионах России, кроме Москвы. Получается, что в каждом регионе будут свои общественники? Не слишком ли много людей могут оказаться в курсе личных данных россиян? Разве это не угроза нашей безопасности?

    Будьте всегда в курсе главных событий дня.

    . .

    Источник

    Автор: beron