Иван Бегтин, председатель Ассоциации участников рынков данных, и Ашот Оганесян, технический директор DeviceLock DLP, показали массовую информационную дырявость, как сайтов государственных структур, так и частного бизнеса. Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.
Основных вариантов утечек два:
- Тупость разработчиков, оставляющих дефолтные пароли на базы MongoDB и Elastic. При этом MongoDB открывается ещё и на запись, таких баз более половины. DeviceLock исследовал 1900 серверов на платформах MongoDB, Elasticsearch и Yandex ClickHouse — 52% предоставляли возможность неавторизованного доступа.
- "Добросовестность" разработчиков, выполняющих законы, но лишь формально. "Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем", — говорит Иван Бегтин. Особенности регулирования описаны законодателем не исчерпывающе. В результате, формально не нарушая закон, госструктуры могут раскрывать огромные реестры с персональными данными россиян.
После совершения утечек их устранению мешает, как нежелание лечить проблемы с безопасностью у самих разработчиков, так и пассивность госорганов. По идее регуляторы, должны контролировать распространение персональных данных россиян. Но ни Роскомнадзор, ни сами разработчики чаще всего не реагируют на частные сигналы о том, что у них есть проблемы с безопасностью. Видимая активность возможна лишь после освещение проблем в прессе.
Среди самых шумных утечек:
- 2,24 млн записей с паспортными данными, СНИЛС и сведениями о трудоустройстве россиян, утекшие с электронных торговых площадок.
- База данных пациентов подмосковной скорой помощи
- 360 000 записей из государственных систем, подконтрольных Минфину, Минюсту, Роструду, ФАС России, Федеральному казначейству и мэрии Москвы.
В упомянутых выше базах РБК прочёл персональные данные российских знаменитостей и чиновников: Дворковича, Чубайса, первого зама председателя Госдумы Жукова, топ-менеджеров "Роснано", персональные данные банкиров, губернаторов, телеведущих.
В начале мая выяснилось, что хакеры группировки Unistellar уничтожили данные нескольких тысяч "открытых" баз MongoDB и потребовали выкуп за восстановление данных, оставив запись "hacked_by_unistellar" и сообщение "Restore? Contact". В России находится более 230 серверов с MongoDB, подвергшихся "нападению", а всего по миру их более 12,5 тысяч, рассказал Ашот Оганесян. "Для поиска "открытых" баз данных используются автоматизированные сканеры. Вопрос уже стоит не в форме "найти и устранить уязвимость", а в форме "сделать это до того, как ее найдут хакеры", — подчеркнул технический директор.
Роскомнадзор, на исследование об утечках из госсистем, ответил Ивану Бегтину отдельным пресс-релизом. Регулятор подтвердил, что раскрытие персональных данных допустимо в рамках действующего законодательства:
В связи с публикациями в СМИ специалистами Роскомнадзора проведена оценка правомерности нахождения в открытом интернет-доступе порядка 360 тысяч записей с личными данными россиян, размещенных в информационных государственных системах. Анализ ситуации показал, что такое опубликование персональных данных подпадает под правовые основания, предусмотренные статьей 6 Федерального закона «О персональных данных».
Добавить 9 комментариев
Бегтин на «Коммерсантъ FM»:
Удручающе, но факт: мой паспорт находится через поисковик, паспорта друзей тоже.
да не нужны ваши паспорта злодеям, нет им особого толка от них, так, только повод журналистам на денек-другой понагнетать
тут бы найти и наказать виновных, но нет, система научилась прощать.
Наша государственная идеология — Православие!
Она учит прощать, ударили по одной щеке, подставь вторую!
Правда прощает пока только своих, надо же на ком-то все отработать. На банках уже отработали прощение экономической «неэффективности»
>ЦБ напечатал для спасения банков 6 триллионов рублей за 4 года
https://www.finanz.ru/novosti/aktsii/cb-napechatal-dlya-spaseniya-bankov-6-trillionov-rubley-za-4-goda-1026706506
о, а вот и штатные пропагандисты включились.
зубилу виднее, конечно
Это издержки цифровой глобализации, как автомобили, что приносят ущерб людям больше , чем войны и ночные разбойники !
Потому спасет лишь переход на интегральные электронные паспорта(ID), с чипом многомерной биометрической идентификации. Плюс привязка Сим-карт операторов сотовой связи и Имей-номеров смартфонов (и др. интернет-гаджетов) к паспорту и Реестру граждан. Плюс видеофиксация, защищенная внутренняя сеть для финопераций , госуслуг, медицины, образования и других серьезных дел и многое другое. А большой Интернет для развлекухи. Отсюда — https://www.litlib.net/bk/102854/read Страшее, то что во многих авторитарных странах это приведет к резкому ущемлению свобод.
Дело не в кривых руках, а в количестве денег, выделяемых на разработчиков. Будет вам хороший специалист делать нормальный сервис за 20 тыр? Ну или за 60, но один? Не, легче взять студента. Одного. А потом на него всю вину и повесить.