Персональные данные россиян в эпоху тотальной цифровизации невозможно защитить на 100 процентов даже на ключевом сервисе госуслуг. Свидетельство тому – очередная утечка, произошедшая из-за ошибок в настройке ПО сервера «Госуслуги Югры», в результате чего личные сведения 30 тысяч жителей Ханты-Мансийского АО стали достоянием в т.ч. сомнительной интернет-общественности. Что примечательно – оператор большинства государственных баз ПД «Ростелеком» заявил, что утечки вообще не было, хотя власти региона ранее заявили об обратном. Нулевая ответственность при очень слабой защите – характерная черта эпохи «сквозных идентификаторов» граждан и глобальных информационных реестров.
О том, что персональные данные пользователей портала госуслуг оказались выложены в свободном доступе, сообщил «Коммерсант» со ссылкой на основателя компании DeviceLock Ашот Оганесян. Данные можно скачать с сервера, расположенного на площадке «Ростелекома», который был проиндексирован поисковиком Shodan 3 декабря 2019 года, что указывает на нахождение ПД в открытом доступе как минимум с этой даты. Структура обнародованных данных граждан разнится – среди них, например, есть ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и много других сведений из личного кабинета на портале госуслуг.
«В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису госуслуг для Ханты-Мансийского автономного округа. В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования», – сообщил Оганесян.
«Действительно, 28 декабря выявлена утечка данных. По итогам предварительного расследования, проведенного центром информационной безопасности ЮНИИТ, это была утечка технических данных, так называемых «логов» прокси-сервера. В данных, к которым был получен доступ, содержится информация технического характера, необходимая для отладки взаимодействия информационных систем», – сообщили ТАСС в департаменте информационных технологий и цифрового развития Югры.
Действительно, «логи» сервера являются легкой мишенью для различных алгоритмов хакеров – о том, как взламывать логины и пароли через доступы к логам, можно узнать очень много через простой поиск видеороликов на том же YouTube. При этом в отличие от тех персональных данных пользователей госуслуг, что успели скачать и выложить в свободный доступ, на сервере есть и другие, имеющие существенное значение – например, токены авторизации для доступа в личные кабинеты с мобильных устройств. Пока достоверно не известно, можно ли с помощью этих токенов получить доступ в личные кабинеты граждан, но на сегодняшний момент эта уязвимость закрыта. Если, конечно, верить официальному представителю Минкомсвязи.
А вот реакция «Ростелекома» на произошедшее сильно удивляет. Там не мудрствуя лукаво заявили, что вообще не выявили утечек данных пользователей портала госуслуг, связав все с работой регионального мобильного приложения, которое работает автономно от портала госуслуг, но размещается на технической инфраструктуре, предоставляемой госкорпорацией. Ну да, утечка, непосредственно обнаруженная на сервере «Ростелекома», не имеет к конторе никакого отношения. Кто бы сомневался?
Будет уместно бегло оценить масштабы утечек персональных данных россиян за последнее время – только самые известные громкие случаи, ставшие достоянием СМИ. В июле 2018 г. стало известно, что данные миллионов россиян-клиентов Сбербанка, ВТБ, РЖД ежедневно утекают в сеть по незащищенным интернет-каналам. В конце сентября 2019 г. выяснилось, что сведения 20 млн. налогоплательщиков утекли в сеть перед вторым чтением по законопроекту о едином реестре населения. В октябре 2019 г. была обнародована информация о появлении на черном рынке сведений о десятках миллионов карточек клиентов Сбербанка. Наконец, в ноябре 2019 г. произошла утечка около сведений 6,5 тыс. граждан – клиентов Альфа-банка и «АльфаСтрахования». В подавляющем большинстве подобных историй виновники потери ПД не торопятся признавать свою вину, либо по максимуму принижают масштабы потерь личных сведений населения.
Не важно, человеческий фактор «на местах», либо коварные вездесущие хакеры воруют жизненно важные сведения населения – пора признать одну простую вещь. Для цифровой экономики, т.е. «экономики данных», основным товаром становится непосредственно человек – его «цифровой след», «цифровой профиль» и т.п. Она полностью исключает приватность и стремится к созданию огромных сводных реестров, в рамках которых одним кликом мышки можно увидеть всю подноготную гражданина, все его предпочтения, увлечения, личные характеристики, образование, болячки и т.д. Но на любой товар, особенно такой сверхприбыльный в наше время, всегда найдется свой вор. Так что совершенно очевидно, что из соображений национальной и персональной безопасности, никакие единые реестры населения, «цифровые профили», электронные паспорта и т.д. вводить недопустимо. Что, вероятно, дойдет до нашей компрадорской оцифрованной «элиты» только тогда, когда будет уже слишком поздно.