Вторая половина июля для пользователей российского Интернета проходит под лозунгом «Найдется все»: в центре внимания находятся многочисленные утечки информации через поисковые системы. Что это – совпадение или спланированная акция, приуроченная к внесению поправок в закон «О персональных данных»?
Первый скандал грянул 19 июля, когда в кэш поисковой системы «Яндекс» попали SMS-сообщения, отправленные с сайта оператора связи «Мегафон». В течение нескольких часов пользователи, вводившие определенный запрос, могли прочитать полный текст сообщений, отправленных через форму на сайте, включая номер получателя. Это событие привлекло внимание Госдумы, Следственного комитета РФ, и Роскомнадзора. В частности, глава СК РФ Александр Бастрыкин дал поручение провести доследственную проверку по факту утечки данных.
«Героями» следующего происшествия стали 80 Интернет-магазинов (в числе которых оказались и секс-шопы) и сайтов по продаже железнодорожных билетов, не обеспечившие должной защиты своих баз данных – сведения об их покупателях также были проиндексированы поисковыми системами. 26 июля Роскомнадзор начал проверки ресурсов, допустивших распространение сведений о покупателях.
Вчера утром любители поискать то, что скрыто, обнаружили, что при определенном запросе в поисковой системе Google можно получить доступ к правительственным документам с грифом «для служебного пользования». Поисковиком индексировались около сотни документов в формате word и pdf с сайтов Счетной палаты, Федеральной антимонопольной службы (ФАС), Минэкономразвития, Федеральной миграционной службы и Главного управления спецпрограмм президента РФ. Правда, сенсация оказалось несколько «раздутой» — ничего действительно секретного в страницах под грифом ДСП не обнаружилось.
Как заверили в Счетной палате (именно на ее сайте располагается львиная доля проиндексированных документов), все, что было проиндексировано – информация, которая находится в открытом доступе. Это размещенные на сайте материалы официальных бюллетеней – и убедиться в этом можно, введя в строку поисковика заголовок любого из «особо секретных» документов. В том же ключе прокомментировали ситуацию в ФАС и Минэкономразвития. Кроме того, как сообщил «Московским новостям» источник в Минэкономразвития, «у нас в принципе нет на сайте секретного раздела, ни под паролем и вообще никак. Документы с грифом ДСП не попадают в сеть физически». И даже проект приказа особо секретного Главного управления спецпрограмм президента о снятии отпечатков пальцев у сотрудников службы специальных объектов не стал сенсацией: текст приказа, подготовленного на основе этого проекта, опубликован на сайте «Российской газеты» с 6 июля.
Представители поисковых компаний в один голос утверждают, что их вины в утечке данных нет. Очир Манджиков, пресс-секретарь компании «Яндекс», говорит, что тексты SMS-сообщений и данные покупателей оказались открытыми для индексации потому, что владельцы сайтов не позаботились о безопасности информации и не скрыли эти страницы для поисковых роботов. Пресс-секретарь российского подразделения компании Google Алла Забровская также утверждает, что поисковые роботы Google индексируют только страницы в открытом доступе, а те страницы, вход на которые закрыт паролем, и части сайта, запрещенные для индексации его администраторами в файле robots.txt, роботам недоступны.
Генпрокуратура РФ вчера объявила, что проверит возможные утечки официальной информации и сообщения СМИ о публикации в сети Интернет закрытых ведомственных документов. Проверка коснется и утечек информации, о которых стало известно ранее.
В свою очередь, президент Союза потребителей РФ Петр Шелищ проинформировал, что Союз уже подал в суд на «Мегафон» и сейчас готовит иск к Интернет-магазинам и сайтам бронирования железнодорожных билетов.
Председатель комитета Госдумы по информационной политике, информационным технологиям и связи Сергей Железняк сообщил, что его комитет намерен способствовать ужесточению ответственности за утечку персональных данных. По словам г-на Железняка, парламентарии совместно с правоохранительными органами и Роскомнадзором анализируют причины случившегося. Железняк обратил внимание на то, что эти происшествия совпали с подписанием президентом РФ поправок в закон о персональных данных, усиливающих ответственность за защиту личной информации граждан. И, по мнению председателя комитета, это может быть «спланированной акцией».
Этой же точки зрения придерживается и директор информационно- аналитического агентства Telecom Daily Денис Кусков. «Обычно в таких ситуациях все идет как снежный ком, то есть можно ожидать, что это будут не последние "выбросы" информации», — цитирует его ИТАР-ТАСС.
«То, что за последнюю неделю произошло столько громких происшествий, не означает, что это произошло именно сейчас. Нужно четко понимать, что все эти данные находились в поисковиках уже давно. Просто сейчас все кинулись активно искать и находить эти данные. Однако это не значит, что раньше кто-то не находил и не использовал их в собственных (возможно, криминальных) целях», — отметил в интервью «Вестям.Ru» главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев. По его мнению, после скандала с «Мегафоном» люди, понимающие, как писать поисковые запросы, стали пытаться «состязаться» с поисковыми системами, пытаясь найти что-то «жареное».
С точки зрения Гостева, ситуация показывает, насколько слабы оказываются с технической точки зрения веб-сайты, не способные защитить данные своих пользователей. Хороши и сами пользователи, оставляющие в сети «запредельный» по выражению эксперта объем данных о себе — это и номер паспорта, и домашний адрес, и номер мобильного телефона. По мнению эксперта, конечно, можно вводить какие-то технические ограничения, но люди в первую очередь сами должны осознавать, к чему может привести такая откровенность.
Чисто теоретически порядок в сфере защиты данных должен быть налажен как раз благодаря уже упоминавшимся поправкам к ФЗ «О персональных данных». В соответствии с ними, все компании, работающие с базой данных граждан, обязаны будут установить необходимую техническую защиту и разработать внутренние правила работы с ними. За нарушение требований закона их будут карать не только штрафами, но и отзывом лицензий. А граждане, чьи персональные данные попали в открытый доступ, могут потребовать от компаний возмещения морального ущерба.