понедельник, 25 июля 2011 г.

Крылья, ноги и хвосты


По всей видимости в "Яндексе", после не совсем удачного "пробного шара", провели работу над ошибками, и сегодня вечером представили миру новую порцию персональных данных, на сей раз несколько более скандальных и приближенных к термину "ПДн способные идентифицировать субъекта", и даже косвенно относящихся к высшей категории - "интимной жизни": в поиске «Яндекса» стали доступны статусы заказов из различных интернет-магазинов, включая секс-шопы. В публичном доступе оказались имена, фамилии и контактная информация клиентов.




В "Яндексе" по прежнему утверждают, что причиной утечки стал некорректно составленный файл robots.txt, благодаря которому персональные данные покупателей можно увидеть и в выдаче Google. И здесь опять возникает интересная ситуация.

По закону, субъекты должны подавать жалобы на операторов (т.е. интернет-магазины), допустивших утечки ПДн, которые, в свою очередь, автоматически становятся виноватыми, так как не смогут доказать наличие согласия на обработку ПДн собственных клиентов (по мнению регуляторов согласие, как мы помним, должно быть письменное и содержать определенные законом сведения о субъекте). С другой стороны, магазины могут возразить, что далеко не всегда данные получателя, указанные в заказе, соответствуют реальным данным гражданина РФ, а потому являются обезличенными и не требуют ни согласия, ни защиты. Поэтому Роскомнадзору придется попотеть, доказывая обратное: ведь идентификация для достижения цели (доставка товара) происходит, а значит, собранный через интернет объем данных достаточен для идентификации субъекта в рамках конкретной бизнес-процедуры.

Второй момент заключается в том, что даже если интернет-магазин докажет наличие согласия, напирая на конклюдентные действия или публичную оферту (что само по себе будет прецедентом), и покажет, что он удалил данные из собственной ИСПДн после достижения целей обработки - он опять сможет попытаться уйти от ответственности: ну кто ж знал, что есть какой-то Яндекс с его роботом. Здесь вступает в силу другой аргумент: отсутствие технической защиты ПДн, позволяющих идентифицировать субъекта и передаваемых по сети общего пользования фактически в открытом виде. Аргумент весомый и трудно оспоримый. Но как и в предыдущем случае с "Мегафоном", SSL "прикрутить" нельзя в силу "забугорности", да и от утечки он не спасает: нужно разрабатывать специальное клиентское ПО и ставить КриптоПРО, и вместе с ним - крест на деятельности интернет-магазина.

Ну и наконец, если в ходе разбирательств все же будет установлена вина оператора, не получившего согласие, не обеспечившего защиту и неправильно настроившего файл robots.txt - в случае, если это действительно так, и к утечкам не причастно программное обеспечение Яндекс.Бар, самому Яндексу по-прежнему ничего не грозит - ведь субъекты должны подавать жалобы на тех операторов, чьими услугами они воспользовались для заказа товаров.

Если же будет установлено, что утечку спровоцировал Яндекс.Бар или (в меньшей степени) Яндекс.Метрика - вот это будет действительно круто, так как получается, что пользователь поставил свободное, бесплатное, официально распространяемое НО непроверенное (несертифицированное) регуляторами ПО, и тем самым попал под удар. Именно такой вариант развития событий на руку всем "толкателям" законопроекта, но не на руку самому "Яндексу", чьи акции с недавних пор торгуются на Nasdaq. На графике видно, как после первой утечки, случившейся 18 июля, после достижения "критической информационной массы" рынок "отыгрывает" данные: небольшой "бабах" в полтора доллара на акцию 20 июля весьма существенно сказывается на объеме размещения. Хотя эксперты биржевой торговли склонны полагать, что бумага "шла в тренде" с рынком, и связывать падение с сообщением об утечке не стоит, да и восстановилась она достаточно быстро (если бы не "тренд" то, возможно, от отсутствия претензий со стороны регуляторов).


Посмотрим, как завтра отыграет рынок эту информацию. В любом случае, до компенсации ущерба субъектам дело вряд ли дойдет: в отличие от "Мегафона", готовящегося выплатить от 30 до 40 тысяч рублей государству за нарушение лицензионных требований, определяемых  федеральным законом "О связи", и добровольно согласившегося компенсировать моральный ущерб абонентам в виде бесплатных пакетов СМС и минут разговора (на этом фоне совершенно забавными выглядят начальные оценки ущерба в размере до 1 млрд долларов - это ж сколько можно СМС отправить), небольшие компании гораздо меньше пекутся о своей репутации, а взыскать с них ущерб в судебном порядке будет, увы, практически невозможно.

И самое главное - ни у кого нет ответа на вопрос: если бы интернет-магазин выполнил ВСЕ требования законодательства, включая оргмеры и техсредства (которые совершенно "глухи" к такого рода вещам как robots.txt), признал бы его суд виновным и присудил компенсацию ущерба, или дело ограничилось бы наказанием системного администратора за ненадлежащее исполнение своих обязанностей (которые не факт, что где-то надлежащим образом прописаны)? Лично я очень сильно сомневаюсь.

Именно поэтому вторая утечка еще раз показывает ущербность подхода "требования превыше всего", заложенного как в действующем, так и (в большей степени) предполагаемом законодательстве о персональных данных, но это видно только специалистам; основная масса граждан, по замыслу режиссера, снова должна впасть в истерику. Тем же, кто истерить не собирается, должно быть давно понятно: в Интернете нет и не может быть никакого прайвэси, и потому никакими мерами и средствами нельзя защитить то, чего нет по определению.

Следим за реакцией и ждем новых утечек.

UPD: И в преддверии подписания поправок президентом они не заставили себя долго ждать :)

14 комментариев :

  1. Гарант закон подписал

    ОтветитьУдалить
  2. "Поэтому Роскомнадзору придется попотеть, доказывая обратное..."

    А в этом случае РКН уже не нужно ничего доказывать:
    http://www.securitylab.ru/news/406491.php

    На месте Тындекса поудалял бы форматы паспартов из кеша билетных операторов, хоть проблема не с его стороны.

    Удобный способ продемонстрировать свою заботу о ни в чем неповинных субъектах...

    Правда и РКН можно оповестить о нарушении, чтоб владельцев сайтов как-то мотивировать...

    ОтветитьУдалить
  3. А кто сказал, что этих данных достаточно для идентификации субъекта? Вот выстроится перед вами 5 девушек - сможете опознать, кто из них Иванова Ольга Петровна 1906 178265 1975 г.р. ?

    ОтветитьУдалить
  4. Алексей, насчет идентификации субъекта - это же демагогия. Играть словами можно бесконечно. А делаться будет так, как сможешь договориться с контролирующим органом.

    Григорий, еще Яндексу можно искать шаблоны перс. данных и автоматически отсылать их в Роскомнадзор. Мол, смотрите, на что мы тут наткнулись.

    Возникает вопрос - а база данных индексации Яндекса (хранилище теневых копий DLP, система резервного копирования, и др.) - являются ли они ИСПДн?

    С одной стороны - в них по факту обрабатываются перс. данные. Поэтому надо проводить весь комплекс процедур (модель угроз, перечень лиц допущенных - что в случае с Яндексом смотрится вообще великолепно)

    С другой стороны - они не предназначены для обработки перс. данных. Все, что туда попадает - случайно, декларируется общедоступным, потому что перс.данные НЕ ДОЛЖНЫ находиться там, откуда система берет информацию. Хотя никаких технических мер, чтобы избежать попадания туда перс. данных не предпринимается...

    Это же касается любой конфиденциальной информации.

    ОтветитьУдалить
  5. И еще непонятным остается один момент: неужели раньше таких утечек не было? Почему они вдруг появились все и сразу?
    Не может же быть, что сразу несколько магазинов неправильно сконфигурировали robots.txt ОДНОВРЕМЕННО. Или сразу несколько поисковиков вдруг изменили свой алгоритм индексирования.
    Видимо, эту "информационную бомбу" запустили с определенной целью. Я вижу только "классику жанра":
    1. чтобы пролоббировать поправки к закону
    2. чтобы опустить акции Яндекса и заработать на спекуляциях с ними


    Вчера видел в новостях - рассказали про утечку личных данных через яндекс, и тут же сказали - не волнуйтесь, Президент уже подписал поправки к закону о перс. данных.
    Смотревший со мной телевизор человек, далекий от ИБ (а значит, владеющей информацией только из данного репортажа), выразил полную поддержку закона и действий президента.
    В связи с этим у меня возник вопрос - эти событи связаны между собой? Не исключаю, что об этом писалось раньше, но я этого не заменил :-\

    ОтветитьУдалить
  6. > насчет идентификации субъекта - это же демагогия

    На этой демагогии можно неплохо сыграть в суде, оспаривая действия регуляторов ;)

    ОтветитьУдалить
  7. Черный Шершень Зла комментирует...
    И еще непонятным остается один момент: неужели раньше таких утечек не было? Почему они вдруг появились все и сразу?

    Посмотрите этот ЖЖ - http://dobryi-leshii.livejournal.com/
    Эти все "утечки" (в том числе и с документами ДСП) давным давно выявлены и обнародованы. Т.ч. вопрос "ПОЧЕМУ СЕЙЧАС?" встает у очень многих. И параллельно встает вопрос "А какого ... эти утечки ДО СИХ ПОР не устранены?"

    К сожалению ответ дает только "теория заговора" и методики инфовойн...

    ОтветитьУдалить
  8. > А кто сказал, что этих данных достаточно для идентификации субъекта?
    > На этой демагогии можно неплохо сыграть в суде, оспаривая действия регуляторов ;)

    Если речь о выполнении ФЗ, то в интересах субъектов - "дух закона", но если "дух закона" нарушен, о чем оператору скажет РКН, то предлагаете защищаться по "букве"?

    Я за приведения буков к духам -))))

    ОтветитьУдалить
  9. Дух закона - адекватные меры защиты, зависящие от ущерба. Буква - обезличенные данные не подлежат защите. Коннектор - отсутствие ущерба конкретному субъекту. Докажет субъект ущерб в суде - оператор возместить должен. Есть претензии регуляторов, но нет ущерба - оператор бодается. Все справедливо.

    ОтветитьУдалить
  10. Анонимный28.7.11

    Добрый день, скажите, если рассматривать конкретно интернет-магазины, какая связка ПД о клиенте может считаться обезличенными данными и спокойно храниться в базе? Ведь можно хранить email, имя, отчество и телефон (эти данные будут обезличенными?), а все остальное для заказа выяснить по телефону (схема конечно не очень удобная). Или такой вариант, в базе хранятся email, имя, отчество и телефон, при оформлении заказа запрашивается остальная информация, а после смены статуса заказа менеджером, предположим на "в обработке", вся "остальная" информация удаляется из базы. Как такой вариант?

    ОтветитьУдалить
  11. К сожалению, действующий закон не предполагает разницы между обезличенными и необезличенными ПДн. По нему любые сведения - это ПДн, подлежащие защите. Быть может, что-то будет в уровнях защищенности, но пока - так.

    ОтветитьУдалить
  12. Анонимный28.7.11

    То есть даже комментарии в блогах это тоже персональные данные, которые нужно защищать? (имя и email)

    ОтветитьУдалить
  13. Комментарии могут содержать персональные данные, НО сделанные самим субъектом общедоступными. Вы запишитесь на бесплатный вебинар - может, найдете ответы на Ваши вопросы: http://emeliyannikov.blogspot.com/2011/07/152_29.html

    ОтветитьУдалить
  14. Анонимный29.7.11

    какого хрена WhoIS от nic.ru выдаёт все данные владельцев доменов всем желающим? Да ещё требует указывать при регистрации все конфеденциальные данные

    ОтветитьУдалить