Утечки данных в Интернете: все случилось в нужное время

utechki-dannyx-v-internete-vse-sluchilos-v-nuzhnoe-vremya

Поисковые системы продолжают индексировать данные, которые вовсе не предназначены для общего доступа. По «странному стечению обстоятельств» все это происходит на фоне вступления в силу закона «О персональных данных»

Тема внезапно «всплывающих» в Сети секретных данных вызвала настоящую панику среди интернет-пользователей. Очередные «открытия», обнаруженные в кэше поисковиков, обсуждаются во всех популярных социальных сетях. Сообщениями об утечках пестрят ленты сервиса микроблогов Twitter.

Напомним, вслед за сообщениями с сайта «МегаФона», за короткое время в Сеть «утекли» данные покупателей приблизительно 80 интернет-магазинов, электронные железнодорожные билеты с датами, номерами рейсов, именами пассажиров, купленные через сайт RailwayTicket.ru, фотографии пользователей популярного мессенджера QIP. Причем в некоторых случаях персональные данные смогли проиндексировать несколько поисковых систем: «Яндекс», Google, Bing, поиск Mail.ru.

До вчерашнего дня речь шла об утечке персональной информации обычных интернет-пользователей. Но ситуация получила весьма неожиданное продолжение — в поисковую выдачу крупнейшего мирового поисковика Google попали документы российских государственных ведомств. Причем случилось это явно не вчера, просто информация об этом раньше не распространялась. Среди обнаруженных в выдаче Google файлов можно найти документы Федеральной антимонопольной службы, Федеральной миграционной службы, Счетной палаты, Минэкономразвития, портала Госзакупок и другие. Более того, некоторые из попавших в открытый доступ файлов — документы под грифом «секретно» и «для служебного пользования».

Чтобы найти все эти файлы нужно ввести в поисковую строку определенный запрос. Впрочем, не такой сложный, как может показаться: title:для служебного пользования site:gov.ru. При вводе этой же строки в поиске Google и «Яндекса» открываются служебные документы (на момент написания материала ошибка все еще не была устранена).

Госведомства уже поспешили развенчать слухи о якобы секретных документах, попавших в открытый доступ. «Результаты поисковых запросов, обнаруживающих т.н. служебные документы СП РФ якобы под грифом ДСП — это материалы официальных Бюллетеней СП РФ», сообщается в Twitter-блоге Счетной палаты. В Федеральной антимонопольной службе с юмором отнеслись к ситуации. «Развенчиваем утку: поисковики не индексировали наши секретные материалы. Все, что ими индексируется, — информация с открытым доступом», сообщается в Twitter rus_fas. «Найдете хоть один секретный документ — мы пожмем вам с чувством руку», — предлагает ведомство.

Внимание к случившемуся проявили Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и Следственный комитет России. К тому же Генпрокуратура сегодня поручила прокурору Москвы проверить данные об индексации интернет-поисковиками служебных документов российских госструктур. По сообщению Генпрокуратуры, проведенный мониторинг информации в Интернете свидетельствует об имеющихся нарушениях законодательства в сфере защиты персональных данных.

Представители операторов персональных данных, со своей стороны, пытаются погасить панику. Так, глава Ассоциации российских банков Гарегин Тосунян уже заявил, что данные заемщиков и вкладчиков российских банков «более чем защищены, в первую очередь потому, что по новому закону на держателей этой информации накладывается слишком серьезное наказание». Однако от хакерских атак никто не застрахован, уточнил Тосунян.

Позиция же представителей поисковиков выглядит практически одинаково: они утверждают, что поисковые системы индексируют только открытые страницы Интернета, и если владелец сайта хочет скрыть от поисковика какие-то страницы или сайт целиком, то это очень просто сделать, поставив запрет на индексацию страниц содержащих конфиденциальную информацию.

Шумиха вокруг «утечек» поднялась не случайно

Блогеры, СМИ и эксперты также постоянно вспоминают закон «О персональных данных» в обсуждении историй с утечками информации в Сеть. Причем многие отмечают, что на самом деле индексация незащищенных от поисковых роботов страниц была возможна всегда и в этом нет ничего удивительного. Просто именно сейчас кому-то понадобилось напомнить об этой проблеме.

«Поисковые сервисы всегда были мощным инструментом получения информации. Благодаря знанию модификаторов поиска пользователь может получить доступ ко всему, что не было спрятано администраторами интернет-ресурсов от поисковых роботов файлом «robot.txt», — пояснил BFM.ru генеральный директор Group-IB Илья Сачков. — Способ получения якобы закрытой информации с помощью того же Google стал известен специалистам достаточно давно, уже лет 10 назад. В экспертной среде даже существует определенный термин — google hacking. Не стоит скрывать, что google hacking широко используется при коммерческом и иных видах шпионажа».

По мнению эксперта, шумиха связана с первым случаем — громкой утечкой SMS «МегаФона». «Этот случай был широко растиражирован российскими СМИ. В итоге, каждый рядовой пользователь Интернета узнал, что, оказывается, так можно. А дальше — наиболее сообразительные и менее ленивые стали сочинять разнообразные поисковые запросы, которые показали масштабные ошибки в администрировании интернет-сайтов, в том числе государственных органов», — рассказал Илья Сачков.

«Разумеется, утечки данных произошли не вчера, — согласился управляющий продажами в корпоративном сегменте G Data Software в России и СНГ Алексей Демин. Однако по его мнению, проблема здесь не в индексации и не в поисковиках. «Она вообще лежит вне плоскости технических вопросов. То, что широкую общественность решено было проинформировать об этом именно сейчас, конечно, не является случайностью. Кому-то надо было показать, что защита информационных ресурсов, в том числе персональных данных, никуда не годится. И единственный способ решить эту проблему — выполнить требования закона «О персональных данных». Это как с туристическим бизнесом. Как только приходит время отправиться в отпуск, всем дают понять, что опасно отдыхать везде, кроме курортов одного из субъектов России».

По мнению Алексея Демина, шум вокруг данной темы, вызванный всплеском публикаций, быстро стихнет и особых последствий иметь не будет. «Он нужен только для того, чтобы оправдать в глазах общественности принятие и подписание закона именно в такой редакции, в которой он был принят и подписан», — считает эксперт.

Что касается поисковиков, то они, по мнению представителя G Data Software, просто вскрыли слабые места в защите операторов данных. «Все теоретические шишки достанутся нерадивым операторам. Сейчас все будут пытаться переложить ответственность за произошедшее на соседа. За это время общественность усвоит, что их персональными данными никто не занимается с надлежащим усердием, что за всем этим нужен глаз да глаз, поэтому все правильно сделано и вообще давно надо было уже принять меры. А платить за все это будет сама общественность, для которой и была написана эта пьеса», — предположил Алексей Демин.

Гендиректор Group-IB также отмечает, что скандал с индексированием закрытых страниц возник на фоне очередных поправок к ФЗ-152, который накладывает на операторов персональных данных обязанность обеспечивать их конфиденциальность. А это значит, не допускать их распространения без согласия клиентов и принимать необходимые организационные и технические меры для защиты данных от неправомерного или случайного доступа. «С учетом того, что, например, те же интернет-магазины попадают под категорию операторов персональных данных, можно ожидать незамедлительную реакцию правоохранительных органов. Вместе с тем, необходимо отметить, что в настоящий момент в России не существует практики применения положений законодательства по защите персональных данных именно к интернет-магазинам, форумам и тому подобным сетевым ресурсам, требующим при регистрации обязательного указания своих данных», — пояснил Илья Сачков.

До недавнего времени в России утечки данных широко не обсуждались, но это не значит, что их не было, отметил руководитель проектов отдела информационной безопасности Oberon Александр Богомолов. «Очевидно, что принятие поправок к ФЗ «О персональных данных» породило новую волну интереса к теме информационной безопасности. Думаю, можно вполне определенно утверждать, что эта волна искусственного происхождения. Чем больше шума вокруг темы сейчас, тем больше понимания в обществе найдут инициативы по ужесточению требований к системам защиты. Не будем забывать, что новый комплекс подзаконных актов для исправленного 152-ФЗ еще только предстоит разработать. И именно сейчас решается, насколько серьезным бременем для операторов персональных данных станет новый закон, как далеко будет позволено зайти госорганам в регулировании отрасли», — пояснил эксперт.

Руководитель направления информационной безопасности компании КРОК Михаил Башлыков, в свою очередь, отметил, что поисковые системы всегда использовались на первом этапе сбора информации в рамках бизнес-разведки, подготовки хакерских атак на интернет-ресурсы и т.д. «Утечки информации происходили и раньше. Однако широкий резонанс подобные инциденты не получали. Сейчас ощущается целенаправленный интерес к содержимому поисковиков. Возможно, это будет способствовать большему вниманию со стороны организаций к выполнению законодательства», — предположил Михаил Башлыков.

По его мнению, к поисковым системам в данном случае вряд ли будут применены санкции, ведь они не несут ответственность за утечку информации, которая находится в открытом доступе на сайтах других компаний.

По данным экспертов, пока лишь 5-10% операторов выполняют все требования законодательства при работе с персональными данными. «То есть проблема не в законе, а в том, что до недавнего времени он просто не работал. Как заставить оператора исполнять закон? Можно либо ужесточить санкции, либо ввести своеобразный «народный контроль» — законодательно обязать операторов, допустивших утечку, информировать об этом общественность. Сейчас мы стали свидетелями того, насколько эффективен этот инструмент — общество (по большей части ради развлечения) пытается контролировать степень защиты персональных данных», — подытожил Александр Богомолов.