Безопасность, государство и базы данных

Наше государство аккумулировало огромный объем информации о своих гражданах. Все эти сведения распределены по многочисленным базам данных, за хранение и сопровождение которых отвечают различные министерства, ведомства и организации.

Наше государство аккумулировало огромный объем информации о своих гражданах. Все эти сведения распределены по многочисленным базам данных, за хранение и сопровождение которых отвечают различные министерства, ведомства и организации. Однако безопасность персональных данных граждан обеспечивается на крайне низком уровне.

Безопасность персональных данных — это серьезная проблема, с которой сталкиваются даже самые развитые страны мира. В Internet можно найти не один десяток случаев утечки конфиденциальной информации. Правда, инциденты, например, в США значительно отличаются от тех, с которыми мы сталкиваемся в России.

Во-первых, в США данные утекают из коммерческих компаний (ChoicePoint, Bank of America, Ameritrade, Time Warner, CitiFinancial и т. д.). В России же пиратская база данных коммерческой компании — скорее исключение, чем правило. Действительно, на рынке появлялись базы данных нескольких операторов мобильной связи, но эти компании сразу же сделали правильные выводы и приняли самые жесткие административные и технические меры. На черном рынке остался лишь «стандартный ассортимент продуктов»: базы данных «ГИБДД по Москве», «Московская прописка», «Жилой фонд Москвы», «Земельные участки Московской области», ЦБ РФ, Налоговой инспекции, Пенсионного фонда, результаты проверок Счетной палаты и др.

Во-вторых, масштаб кражи персональных данных в России просто поражает. Читая хронику инцидентов в Северной Америке, можно заметить, что речь идет о краже не базы данных, а «такого-то количества приватных записей». Предлагавшаяся в конце 2004 года база данных Налоговой инспекции по подоходному налогу (иногда ее еще называли базой Пенсионного фонда) содержала 36 млн. деклараций жителей Москвы и Подмосковья за 1999-2002 годы. Всего за 1000 рублей любой желающий мог узнать не только паспортные данные, но и доходы чиновников, бизнесменов и рядовых граждан. Даже недавний «рекордный» для западных стран случай утечки номеров кредитных карт из компании CardSystems Solutions по своему масштабу остался далеко позади. Напомним, что вследствие этой утечки оказались скомпрометированными 40 млн. номеров кредитных карт всех мировых брэндов (из них почти 14 млн. записей пришлись на долю MasterCard). Однако достоверно удалось установить, что преступники выкачали лишь 70 тыс. номеров MasterCard, а к остальным десяткам миллионов они лишь потенциально могли получить доступ. Наши же 36 млн. деклараций мог «пощупать и попробовать на вкус» любой житель страны.

В-третьих, любая, даже самая незначительная утечка приватных данных в США вызывает огромный общественный резонанс. Инцидент с CardSystems Solutions вызвал такую бурю негодования, что конгресс, вероятно, примет новый федеральный закон по этому поводу. В результате два самых крупных клиента, Visa и American Express, отказались от услуг CardSystems, и если ни один из них в ближайшее время не передумает, то CardSystems Solutions просто обанкротится. Сравнивая реакцию американского и российского общества, можно, к сожалению, констатировать, что наличие в свободной продаже пиратских баз данных стало у нас обычным явлением.

Система персонального учета населения

С 9 июня 2005 года, когда Правительство РФ одобрило концепцию создания системы персонального учета населения РФ, проблема защиты персональных сведений в государственных базах данных приобрела особую важность.

Система представляет собой общую надстройку над уже существующими отдельными автоматизированными системами учета, сопровождение которых ведется различными органами государственной власти, органами местного самоуправления, государственными и муниципальными учреждениями. Она будет иметь децентрализованный характер, не потребует кардинального изменения действующих процедур сбора и обработки персональных данных в различных государственных институтах, а также не приведет к созданию единого банка персональных сведений.

В качестве предпосылок к созданию системы-надстройки выдвигается целый ряд официальных причин: «обеспечение адресности и эффективности государственной социальной поддержки, собираемости налогов в бюджеты всех уровней и их рационального распределения, проведения основных структурных реформ, обеспечение общественной безопасности и охраны порядка, контроля миграционных процессов, противодействия терроризму, повышения эффективности работы органов государственной власти в чрезвычайных ситуациях, а также обеспечение и защита конституционных прав и свобод граждан». Однако, по словам заместителя министра экономического развития Андрея Шаронова, новая система просто позволит снизить бюрократические издержки и ускорить реакцию властей на запросы граждан.

Правительство РФ отвело семь лет на создание системы персонального учета населения и обязало Министерство экономического развития и торговли РФ совместно с Министерством информационных технологий и связи РФ подготовить во втором квартале 2005 года документы о внесении соответствующих изменений в федеральную целевую программу «Электронная Россия (2002-2010 годы)». Таким образом, у чиновников есть семь лет на то, чтобы среди прочего подготовить и внедрить механизмы безопасности, которые позволят минимизировать незаконное использование приватных данных и несанкционированный доступ к ним.

Понимает ли государство проблему?

Можно с уверенностью ответить, что понимает. На это указывает целый ряд признаков. Во-первых, концепция создания новой системы-надстройки подразумевает «учет и регистрацию всех действий с персональными данными, производимых пользователями системы персонального учета», а также «защиту персональных данных в соответствии с законодательством РФ и требованиями по обеспечению информационной безопасности». Во-вторых, в разделе нормативно-правового обеспечения системы персонального учета среди прочего указано, что необходимо регламентировать отношения, связанные с определением полномочий пользователей системы персонального учета и защитой персональных данных. Все это должно вылиться в принятие нормативных правовых актов, определяющих «понятие, структуру, виды персональной информации, порядок доступа к ней, права и обязанности пользователей и держателей баз данных персональной информации, порядок и условия сбора, хранения, использования и распространения персональных данных». Более того, указанные акты должны иметь статус федеральных законов и определять все основные термины и понятия системы персонального учета.

Так «должно быть». Однако уже сейчас существует целый ряд государственных баз данных. И хотя защита есть, ее, к сожалению, явно недостаточно.

Правовой основной защиты информации сегодня является целый комплекс российских нормативных актов. Среди них Конституция РФ, «Доктрина информационной безопасности Российской Федерации» (утверждена Президентом РФ 09.09.2000 № Пр1895) и Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации». В соответствии со ст. 21 этого закона режим защиты информации в отношении сведений, отнесенных к государственной тайне, устанавливается уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»; в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом; в отношении персональных данных — федеральным законом.

Состав же конфиденциальных сведений раскрыт в Указе Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные, тайна следствия и судопроизводства, служебная тайна, коммерческая тайна, профессиональная тайна, а также сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Защищать частную информацию Россия также обязалась, подписав в ноябре 2001 года европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных. Собирая сведения о гражданах, правительство обязалось не допускать ущемления их прав и принимать меры против злоупотребления информацией и ее несанкционированного раскрытия.

Тем не менее эффективно бороться с распространителями электронных баз данных милиции не позволяет отсутствие прямых статей в Уголовном кодексе. Более того, российское право в этой области представляет собой запутанный клубок законодательных актов, из которых трудно понять, в чем конкретно заключаются обязательства государства перед гражданами. Например, невозможно определить, какая информация органов государственной власти должна обязательно раскрываться, а какая может составлять личную и семейную тайну. В законодательстве описано 30-40 различных видов тайн, в то же время единообразное понятие тайны отсутствует. В результате существуют многочисленные виды тайн, за разглашение которых не предусматривается вообще никакой ответственности.

К сожалению, принятые законы просто не работают. Например, детали телефонных переговоров защищены законом «О тайне телеграфных и почтовых отправлений», записи налоговой инспекции — законом «О налоговой тайне», банковские проводки — законом «О банковской тайне», информация ГИБДД или таможни — внутренними инструкциями. Вся эта информация так или иначе защищена нормативно, но тем не менее она доступна на черном рынке в своем самом актуальном состоянии, и ни один виновный еще так и не попал на скамью подсудимых.

Рассмотрим, например, недавнюю утечку базы данных ЦБ по проводкам РКЦ. Преступнику, который выкрал информацию, можно предъявить обвинение по ст. 183 УК, а также по ст. 272 УК. Первая предусматривает два года лишения свободы за сбор сведений, составляющих коммерческую или банковскую тайну, а если обвиняемый смог каким-то образом использовать похищенные сведения, то наказание увеличивается до трех лет лишения свободы. Вторая — пять лет лишения свободы за неправомерный доступ к компьютерной информации.

Однако собрать доказательства вины подозреваемого очень сложно: нужно установить лицо, от которого ушла информация, и найти документальные подтверждения того, что именно это лицо было обязано хранить украденные данные в тайне. То есть должен быть очень точно определен режим охраны информации (российские законы и здесь не дают ясности), а также четко документирована ответственность конкретных служащих по охране банковской тайны. Все это необходимо прописать в должностных инструкциях и других внутренних актах. Таким образом, даже при возбуждении уголовного дела следователям, прежде всего, придется доказать, что обязанность охранять украденные данные возложена служебными документами именно на лицо, подозреваемое в утечке. Другими словами, шансов довести дело до суда крайне мало.