МОСКВА, 27 июл - РИА Новости, Алина Гайнуллина. Большинство случаев утечки конфиденциальных данных и секретных документов происходят из-за беспечности людей, имеющих к ней доступ, считают опрошенные РИА Новости эксперты.
В среду СМИ сообщили, что поисковик Google проиндексировал несколько сотен документов российских ведомств, в частности, ФАС, Счетной палаты, Минэкономразвития РФ. Некоторые из документов якобы имели грифы "ДСП" и "секретно".
Представители ведомств уже назвали эту информацию "уткой" и заявили, что проиндексированные документы не содержат секретных сведений.
Эксперты, опрошенные РИА Новости, отмечают, что документы под грифами "для служебного пользования" и "секретно" вообще не должны находиться в открытых компьютерных сетях - это запрещено регламентом их обработки.
"Хранятся подобные документы на отдельных электронных носителях, к которым нельзя подключиться через интернет", - сказал советник председателя Национального антитеррористического комитета (НАК) Андрей Пржездомский.
В интернет такие документы могут попасть исключительно по халатности работающих с ними сотрудников.
Статистика чужих ошибок
Случаи халатности госслужащих не единичны, они происходят постоянно и во многих странах.
По данным общественной организации Privacy Rights Clearinghouse, в США с 2005 года зафиксированы более 2,5 тысячи случаев утечки частных или секретных данных в открытый доступ.
Общее количество потерянных за этот период данных составило 535,3 миллиона записей. Чаще других утечки данных допускали коммерческие фирмы (22,6%), образовательные (21,3%) и медицинские учреждения (20,2%). Много таких случаев происходило в правительственных и военных структурах, документация которых зачастую засекречена (18,5%), а также в финансовых компаниях (15%).
При этом только 35% утечек была связана с хакерскими взломами, мошенничеством или намеренным раскрытием инсайдерской информации.
Остальные 65% были вызваны небрежным обращением с данными. Документы попадали "не в те руки" в результате случайной публикации в сети, из-за ошибок в адресах и номерах факсов при пересылке, электронные носители или бумаги были украдены или потеряны.
Как пишет Privacy Rights Clearinghouse, в двух третях случаев раскрытие информации по небрежности в США происходило в правительственных органах, военных структурах, вузах и больницах, хранящих большие объемы конфиденциальных личных данных.
По данным компании-разработчика систем информационной безопасности SecurIT, в мире в 2010 году было зафиксировано 1014 крупных утечек закрытой информации, из них почти пятая часть - из государственных учреждений.
Поскольку законодательство большинства стран (за исключением США и нескольких других) не обязывает сообщать о фактах утечки конфиденциальной информации, данные, учтенные исследованием, в реальности составляет примерно 0,1% от общего объема инцидентов такого рода, произошедших в прошлом году.
Самый "популярный" метод компрометации конфиденциальной информации - потеря или кража ноутбуков (22,5%). За украденными ноутбуками следует электронная почта (17,8%). Примерно 12,7% утечек произошло через бумажные документы, 12,6% - через носимые накопители (чаще всего флэш-карты), 11,1% - через интернет. На хакерские нападения и случаи мошенничества приходится лишь около десятой части общего числа инцидентов.
Юридическая сторона вопроса
"Действующее российское законодательство разграничивает три вида информации, в отношении которой устанавливаются особые защитные режимы - государственная тайна, коммерческая тайна, а также персональные данные", - пояснил РИА Новости старший юрист компании Lidings Сергей Патракеев.
С 1 июля в России вступил в силу закон, который обязывает всех операторов персональных данных обеспечить защиту своих систем обработки данных, запущенных до 1 января.
Гриф "секретно" устанавливается на носителях с информацией, отнесенной к государственной тайне. Произвольное использование грифа "секретно" для сведений, которые не относятся к гостайне, прямо запрещено законом, говорит эксперт.
Разглашение гостайны может повлечь за собой как административное, так и уголовное наказание. Причем к ответственности может быть привлечено только лицо, которому разглашенная информация была доверена по службе, тогда как граждан, распространяющих гостайны в интернете уже после утечки, привлечь к ответственности практически невозможно, поясняет Патракеев.
В этом состоит принципиальное отличие утечки государственных документов от предыдущих инцидентов последних дней, например, как в случае распространения SMS-сообщений, отправленные с сайта компании "МегаФон", и номеров их получателей, о чем стало известно 18 июля.
В понедельник в поисковой выдаче оказались веб-страницы со статусами заказов в интернет-магазинах, содержащие электронные адреса покупателей, перечень заказанных товаров, сумма покупки, адрес доставки и IP-адрес устройства, с которого был сделан заказ.
Во вторник таким же образом стала доступной информация о купленных онлайн билетах на поезда, также содержащая персональные данные.
По словам юриста, в случае нарушения тайны переписки (массовое чтение чужих SMS-сообщений с помощью поисковой системы) либо неприкосновенности частной жизни (получение несанкционированного доступа к заказам граждан в интернет-магазинах) к ответственности можно привлечь как лицо, допустившее утечку персональных данных, так и лицо, способствующее распространению информации.
Утечки по небрежности
Проблемы из-за небрежного отношения к документам усугубляются пропорционально росту объема данных в интернете.
В августе 2006 года стало известно, что американский интернет-провайдер AOL по ошибке раскрыл базу данных со статистикой по 20 миллионам запросов, которые в течение трех месяцев сделали 658 тысяч его зарегистрированных пользователей.
Имена пользователей AOL не раскрыла, однако опубликовала их ID-номера, под которыми они учитывались в системе, и сгруппировала запросы и адреса просмотренных сайтов по каждому пользователю с указанием даты и времени поиска.
В октябре 2007 года департамент правительства Великобритании, ответственный за сбор налогов и выплату государственных пособий, потерял два CD-диска с данными о всех семьях в стране, получающих материальное пособие на детей.
В 2008 году GE Money - финансовое подразделение General Electric - потеряло записи с информацией о кредитных картах более 650 тысяч клиентов и 150 тысячами номеров социального страхования.
Одной из крупнейших утечек 2010 года стала потеря американской компанией ECMC Group персональных данных более чем 3,3 миллиона человек в результате хищения некоего портативного устройства.
В сентябре 2010 года в издании Advertising Age был опубликован внутренний документ компании Google, в котором содержалась информация о расходах крупнейших рекламодателей AdWords (системы контекстной рекламы Google) за июнь 2010 года.
Тогда выяснилось, в частности, что 47 компаний ежемесячно тратят на контекстную рекламу в AdWords более 1 миллиона долларов.
В 2010 году компания Shell потеряла персональные данные более чем 170 тысяч своих работников, а Honda - персональные данные о 2,2 миллионах американских покупателей автомобилей этой марки.
В ноябре 2010 года интернет-компания Google согласилась выплатить 8,5 миллиона долларов по иску, связанному с утечкой персональных данных пользователей через сервис Google Buzz.
Наконец, в марте 2011 года сотрудник британской нефтегазовой корпорации British Petroleum потерял ноутбук с личными данными 13 тысяч жителей штата Луизиана, которые подавали жалобы с требованием компенсации ущерба от разлива нефти в Мексиканском заливе. Данные включали список имен жителей Луизианы, потребовавших компенсацию от ВР, номера полисов социального страхования, адреса и номера телефонов.
Опасны ли соцсети
Около 22% россиян старше 18 лет боятся утечек персональных данных в сети, свидетельствует исследование, проведенное аналитическим агентством YouGov.
При этом 38% опрошенных считают, что социальные сети "знают слишком много" об их онлайн-жизни. Государства как источника потенциальной утечки граждане боятся намного меньше (таких всего 14%).
Поводы для опасений действительно есть - среди крупнейших инцидентов с раскрытием информации в интернете прошлого года стала утечка персональных данных из социальной сети Facebook, случившаяся в сентябре.
Популярные приложения для этой социальной сети, имеющие доступ к персональным данным ее пользователей, без их ведома передавали их как минимум 25 рекламным агентствам и компаниям, ведущим маркетинговые исследования.
По данным на апрель 2011 года, почти 100 тысяч популярных игр и приложений Facebook непреднамеренно раскрывали личные данные пользователей третьим лицам.
Для усиления информационной защиты пользователей от несанкционированного доступа за последний год крупнейшая в мире социальная сеть ввела ряд новых функций - от одноразовых паролей для использования на общедоступных компьютерах до возможности извлекать единым ZIP-архивом всю загруженную пользовательскую информацию, включая данные профиля и фотографии - это позволяет сохранить свои данные в случае потери доверия к ресурсу.
Пользователи социальной сети Facebook получили возможность включить шифрование всего интернет-трафика между своим компьютером и сайтом Facebook, что уменьшает вероятность перехвата информации злоумышленниками.
Однако во многих случаях инциденты соцсети связаны не со взломом аккаунтов, а со сбором данных, открытых их владельцами - например, сайт знакомств Lovely-Faces.com скопировал данные четверти миллиона открытых профайлов в Facebook и разместил их как информацию о собственных пользователях.
Как предохраняться
Поисковый интернет-сервис "Яндекс" ранее рекомендовал администраторам сайтов закрывать личную информацию пользователей паролями и запрещать индексирование конфиденциальных страниц с помощью файла robots.txt, чтобы избежать попадания персональных данных в выдачу поисковой машины.
Относительно универсальным советом для предотвращения попадания собственных данных в сеть может стать рекомендация администрации Facebook внимательнее относиться к настройкам конфиденциальности сайтов и заранее подумать, какие именно данные пользователь считает возможным выложить в открытый доступ.
В случае компрометации персональных данных клиента по вине компаний гражданин имеет право подать в суд, говорит руководитель комиссии по законотворчеству РАЭК, один из разработчиков закона о персональных данных Михаил Якушев. Однако прецеденты рассмотрения таких исков ему неизвестны.
