Разделы

Интернет Безопасность Бизнес Веб-сервисы Госрегулирование Стратегия безопасности Пользователю

Виновникам утечки «секретных» документов в «Яндекс» и Google ничего не угрожает

Новый закон 152-ФЗ нагружает бизнес тяжелыми обязанностями по защите персональных данных, однако, санкций за их нарушение не существует. Поэтому виновникам публикации в поисковиках персональных данных и документов ДСП грозит только некрупный штраф.

Виновникам публикации документов под грифом «Для служебного пользования» в выдачах поисковиков не угрожают серьезные неприятности. В этом оказались солидарны юристы, опрошенные CNews.

Гриф «Для служебного пользования» - это очень расплывчатая категория, не определенная в современном законодательстве. Конечно, этот гриф может быть упомянут во внутренних документах ведомств, но даже в таком случае виновнику «утечки» этих документов не грозит ничего страшнее дисциплинарного взыскания, - полагает юрист Марина Краснобаева из компании «Юков, Хренов и партнеры».

У нас давно предпринимались попытки определить понятие служебной тайны, но пока они безрезультатны. Соответственно, если в каждом конкретном случае в соответствии с тем или иным федеральным законом информация относится к охраняемой, то, например, лица, виновные в разглашении могут быть привлечены к административной ответственности по статье 13.14 КоАП, - согласен с ней партнер юридической фирмы Salans Виктор Наумов. Санкция по этой статье состоит в штрафе от 500 до 1 тыс. руб. для граждан, и от 4 тыс. до 5 тыс. руб. для должностных лиц.

Напомним, что публикация документов с сайтов различных российских ведомств с пометкой «Для служебного использования» в выдачах поисковиков прооизошла 27 июля 2011 г. Это был четвертый за последнюю неделю скандал вокруг темы поисковых выдач. Помеченные грифом ДСП документы ФАС, ФМС, Счетной палаты, Минэкономразвития, Главного управления спецпрограмм президента России и ряда других ведомств оказалось возможным найти во всех крупнейших поисковиках: «Яндекс», Google, Mail.ru и Bing.

Представитель «Яндекса» Очир Манджиков заявил CNews, что информация с сайтов госорганов находится в публичном доступе, например, через поисковые формы на их собственных сайтах, а поэтому ее можно найти в поисковиках. «Что касается этих файлов, то, похоже, они никакой секретности не имеют - просто слова «для служебного пользования» остались где-то в шаблоне, по которому они сделаны. Это же подтвердили, например, ФАС и Счетная палата», - говорит Манджиков.

«Крайне маловероятно, что тем, кто будет назван виновным в этих «утечках» грозит уголовная ответственность», - полагает юрист Марина Краснобаева из компании «Юков, Хренов и партнеры»: «Говоря об ответственности «Мегафона» за публикацию SMS, или об ответственности онлайн-магазинов за публикацию персональных данных, сейчас вспоминают статью 138 УК, в которой предусматривается ответственность за нарушение тайны переписки и телефонных переговоров. Однако такая ответственность наступает только в случае прямого умысла нарушителя, который в этом случае вряд ли имел место. Кажется, уже всем понятно, что речь шла о техническом сбое».

Наличие в сети документов ДСП четвертым поводом для скандала вокруг поисковиков за последнюю неделю. Напомним, что ранее в сеть утекли свыше 8 тыс. SMS-сообщений, отправленных с сайта оператора «Мегафон».

Следующими поводами для скандала стало появление на этой неделе в поисковиках статусов заказов интернет-магазинов, включая секс-шопы, а также данных о пассажирах РЖД с сайтов Tutu.ru и Railwayticket.ru. В первом случае в публичный доступ попали персональные данные покупателей магазинов: их ФИО, наименование товаров, которые были заказаны, адрес доставки, электронная почта. Во втором – не только имена и данные о билетах, но и несколько цифр номеров паспортов пассажиров.

Виновникам появления персональных данных покупателей в выдаче также не следует опасаться санкций, полагает Виктор Наумов из Salans: «В УК РФ отсутствует отдельный состав преступления, связанный с нарушением режима конфиденциальности персональных данных, говорит партнер юридической фирмы Salans Виктор Наумов. Ответственность за утечку персональных данных описывается в 13 главе КоАП, ст. 13.11., которая предусматривает штраф в размере до 1 тыс. руб. для физических лиц и до 10 тыс. руб. для юридических лиц».

«Рассуждая об ответственности «Мегафона» за публикацию SMS, или об ответственности онлайн-магазинов за публикацию персональных данных вспоминают статью 138 УК, в которой предусматривается ответственность за нарушение тайны переписки и телефонных переговоров. Однако такая ответственность наступает только в случае прямого умысла нарушителя, который в этом случае вряд ли имел место. Кажется, уже всем понятно, что речь шла о техническом сбое», - говорит Марина Краснобаева из фирмы «Юков, Хренов и партнеры».

Рассуждая о вступившем в силу новом «Законе о защите персональных данных», Виктор Наумов из Salans говорит, что законодатель мог бы либерализовать правила защиты персональных данных для коммерческих компаний (не связанных в своей деятельности с государством), но при этом установить существенную ответственность за нарушения.

Владимир Арлазаров, Smart Engines: С персональными данными надо обращаться, как с государственной тайной
ПО

Однако, замечает юрист, в России пошли другим путем, предельно зарегулировав меры защиты персональных данных, и при этом сохранив минимальную ответственность. Что означает, что для бизнеса может стать приоритетным решить вопрос с государством, а если будут проблемы при защите персональных данных, значительных осложнений из-за этого не возникнет.

По этому поводу Роскомнадзор, в чьи обязанности входит защита персональных данных, обратился в арбитражный суд с требование привлечь оператора к ответственности за нарушение правил лицензирования. Иск будет рассмотрен 24 августа. «Мегафон», в свою очередь, заявил, что готов компенсировать своим абонентам моральный ущерб от обнародования их SMS бесплатными пакетами текстовых сообщений или разговоров на выбор.

Роскомнадзор выявил 80 интернет-магазинов, данные о чьих клиентов оказались в сети. Сейчас ведомство устанавливает данные об их владельцах, чтобы впоследствии передать их в прокуратуру, и изучает данные об утечке личной информации пассажиров РЖД. Также Роскомнадзор направил письма крупнейшим поисковикам, в которых попросил «рассмотреть техническую возможность предоставления пользователям отказа в обработке запросов, позволяющих получить доступ к персональным данным граждан».

Единственным поисковиком, в котором готовы последовать просьбе Роскомнадзора пока оказался Bing, принадrhfлежащий Microsoft. В Microsoft заявили CNews, что собираются «работать в полном соответствии с российским законодательством, как это делается во всех странах, где компания ведет свой бизнес, и требует того же от своих партнеров». По словам представителя корпорации, несмотря на то, что поисковые системы сканируют информацию, находящуюся в публичном доступе, только с целью ее индексации и ограниченного отображения в результатах поиска, а не для хранения и публикации, Microsoft тщательно изучает ситуацию и прорабатывает техническую возможность ограничения доступа к опубликованным где бы то ни было персональным данным граждан.

Мобильное приложение как главная точка формирования клиентского опыта
ПО

Бизнес-консультант Cisco по безопасности Алексей Лукацкий прокомментировал обязанности сайтов в связи с вступившей в силу новой редакцией закона о персональных данных. «Онлайн-магазин должен, во-первых, составить модель угроз по документам ФСТЭК. - С большой вероятностью это потребует привлечения внешних консультантов. Затем должны быть сертифицированы установленные на веб-сервере средства защиты, такие как программный файрвол. В-третьих, должна быть проведена оценка решения на соответствие требованиям по безопасности до начала эксплуатации (ранее называлось аттестацией). Эти два пункта магазинам, в основном пользующимся сторонним хостингом, реализовать сложно. Наконец, если магазин специально для клиентов разработал агентское ПО, которое запускается на машине конечного пользователя, то в нем необходимо пользоваться только сертифицированными средствами шифрования, SSL не подойдет».

Тему поиска конфиденциальных документов в интернете CNews поднимал неоднократно. Так, например, в феврале 2011 г. издание писало, что на тот момент в Google можно было найти 127 документов под грифом «Для служебного использования» на сервере органов государственной власти gov.ru.

Тогда же руководитель направления конкурентной разведки «Диалог Наука» Андрей Масалович рассказывал CNews о найденных в сети закрытых документах безопасности аэропортов.

Проблема появления служебных документов в сети касается не только российских ведомств. Так, в июне 2009 г. в интернете можно было найти 256-страничный документ с сайта Управления печати США, в котором содержались сведения о крупнейшем в стране хранилище обогащенного урана, о так называемом «объекте Y-12» около города Оак Ридж в штате Теннеси. В сети оказывались и документы с пометкой «для внутреннего использования», например, и с сайтов Министерства энергетики США, Федерации американских ученых, Бюро научно-технической информации Минэнергетики.

Денис Легезо