You are hereМасштаб цифрового потопа в Рунете / Ответить на комментарий
Ответить на комментарий
Масштаб цифрового потопа в Рунете
По частоте случаев утечки данных России пока далеко до развитых стран. Так, в США по итогам 2010г. было зафиксировано 580 подобных инцидентов, в Великобритании - 69, а в нашей стране - лишь 28.
Однако аналитики считают, что такой расклад показывает не столько неуязвимость российских систем, сколько латентность фактов утечки. Так, в США и Великобритании закон требует обязательного уведомления граждан об утечке или утрате их персональных данных. И это требование обычно выполняется, после чего информация, как правило, попадает в прессу и к аналитикам.
В России такое положение тоже есть. Однако, как часто это бывает в нашей стране, строгость законов компенсируется необязательностью их исполнения. До сих пор ни одного случая подобного уведомления не зафиксировано. Все же выявленные в 2010г. факты утечки данных относились к категории умышленных, а не случайных, и были связаны с персональными данными граждан России, просочившихся из банковских и государственных структур.
Немалая часть украденных данных была использована для совершения мошеннических действий. Некоторую часть утечек выявил Роскомнадзор, но для организаций это вылилось лишь во взыскания.
Вот и 18 июля 2011г. Рунет "прорвало" только вследствие активности рядовых пользователей. В блогах появилась информация, что "Яндекс" при определенном запросе дает список из нескольких тысяч SMS, отправленных с сайта "МегаФона". В целом в открытый доступ попало порядка 8 тыс. поисковых объектов, которые содержали информацию о 2,5 тыс. телефонных номеров.
В "Яндексе" инцидент объяснили отсутствием на сайте "МегаФона" специального файла robots.txt, в котором администратором сайта прописывается запрет на индексацию. Мобильный оператор, в свою очередь, заявил, что к инциденту может быть причастен "Яндекс", поскольку сообщения проиндексировались только в этой поисковой системе.
Посыпались взаимные обвинения, но тут история потонула в новой волне: спустя неделю в открытый доступ попали данные клиентов 80 интернет-магазинов, в том числе секс-шопов. А 26 июля все пользователи Интернета могли видеть электронные железнодорожные билеты, купленные через RailwayTicket.ru, с датами, номерами рейсов, именами пассажиров.
На следующий же день в поисковой выдаче оказались документы (в том числе "для служебного пользования") Федеральной антимонопольной службы (ФАС), Федеральной миграционной службы (ФМС) РФ, Счетной палаты, Минэкономразвития, портала госзакупок и другие. Впрочем, последний случай оказался "хорошо забытым старым": позже выяснилось, что об этой "как бы уязвимости" было известно еще с зимы, а документы не представляли собой никакой секретности.
В некоторых случаях персональные данные смогли проиндексировать несколько ресурсов: помимо "Яндекса", также Google, Bing, Mail.ru. Масштаб июльских событий показался достойным внимания даже высшим органам власти - обстоятельства утечки SMS-сообщений заинтересовали Следственный комитет (СК) РФ, Роскомнадзор и Генпрокуратуру.
Примечательно, но самому "МегаФону" пожаловалось только несколько десятков пользователей. Компания поторопилась предоставить им возможность смены номера, бонусные минуты и SMS. Однако Союз потребителей России посчитал это замыливанием реального масштаба проблемы и подал судебный иск о защите неопределенного круга потребителей. В союзе уверены, что "МегаФон" нарушил положения Конституции РФ (тайна переписки), закона "О связи" (тайна связи), а также закон о персональных данных.
И хотя "МегаФон" отверг эти претензии и предложил урегулировать ситуацию во внесудебном порядке, Союз потребителей по-прежнему требует компенсации. Решение этого дела будет беспрецедентным и впервые покажет, можно ли компенсировать нанесенный ущерб и как работает обновленное законодательство о персональных данных.
В разгар этих скандалов, 26 июля, президент Дмитрий Медведев подписал новую редакцию закона "О персональных данных". Несмотря на некоторое смягчение требований к сбору и работе с персональными данными, новый закон требует больших усилий для обеспечения защиты обрабатываемых данных. Оператор персональных данных, которым теперь становится каждая государственная и муниципальная организация, юридическое и даже физическое лицо, должен быть готов к увеличению затрат на организацию защиты своих информсистем.
© rbc.ru