2 910
Завтра, в четверг, Совет Думы должен рассмотреть среди прочего поправки к антиконституционному законопроекту премьера Мишустина «О едином регистре населения». Граждане уже завалили Думу протестными письмами, направив депутатам более 30 тысяч писем. Против законопроекта также выступила большая группа ученых (в частности, под открытым письмом против регистра подписались 257 человек), известные юристы и специалисты в области безопасности, в частности, Наталья Касперская и Игорь Ашманов. Одновременно в прессу просочилась переписка ФСБ, представители которой напомнили некоторым забывшимся московским чиновникам о необходимости согласования с силовиками внедряемых ими информационных систем, в частности, разворачиваемых в регионах систем мониторинга граждан в период «самоизоляции». С «регистром», который превращает ФНС в ключевой инструмент цифрового управления населением, ситуация гораздо опаснее – хотелось бы надеяться, что правоохранители найдут возможность донести эту информацию до Президента, чтобы завернуть этот опасный эксперимент и не подрывать и так крайне низкое доверие к власти.
Итак, народная битва против антиконституционного законопроекта № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» подходит к кульминации. На сегодняшнее утро только из группы ОУЗС отправлено более 32 000 официальных обращений граждан с требованиями снять данный законопроект с рассмотрения. Такого никогда не было в истории Госдумы.
Петиция на сайте citizengo набрала более 125 000 подписей россиян, что является рекордом для этой платформы. Наконец, 257 ученых и целый ряд видных общественных деятелей подписали открытое письмо против данного законопроекта.
Среди прочих экспертных заключений стоит обратить внимание на заключение ведущих в России специалистов по информационной безопасности, руководителей компании «Инфовотч» Натальи Касперской и Игоря Ашманова. По сведениям РИА Катюша, документ уже направлен в администрацию Президента и в Думу.
Вот несколько цитат из этого заключения:
«Значение этого законопроекта – огромное. Он вторгается в частную жизнь, создаёт множество рисков. С созданием ЕФИР, с размещением на улицах наших городов и на дорогах областей сотен тысяч камер высокого разрешения с распознаванием лиц возникает новый вид власти – цифровой власти над гражданами. При этом: эту власть получают некие неустановленные и неизвестные населению гражданские лица, граждане РФ не делегировали им эту власть над собой, есть обоснованные опасения, что на этом процесс не остановится, в базу постепенно будут добавлены и биометрия, и переписка, и география перемещений, и медицинские данные (каковое пополнение Регистра внешними ведомствами предусмотрено в Законопроекте). Можно предполагать, что в итоге может возникнуть и социальный рейтинг по китайскому образцу, и разные виды дискриминации граждан на основе персональных данных.
Проект несёт очевидные технические риски. Сбор данных в одном месте, кроме удобства для оператора (ФНС), несёт риски утечек, компрометации и использования служебного положения.
Обоснование законопроекта очень слабое. В Пояснительной записке в качестве основания для создания нового закона даётся ссылка на Указ Президента РФ от 2016 об усилении платёжной дисциплины. То есть по сути, закон нужен для собирания большего количества денег с населения. Упоминаемые в записке "борьба с мошенниками" или "помощь неимущим" плохо сочетаются с целями повышения собираемости налогов и с ведомством ФНС. Сбор данных Налоговой службой делает-ся в целях помощи неимущим? В глазах населения это будет воспринято, как насмешка, поскольку ФНС занимается сбором денег, а не раздачей.
Такой подход несёт в том числе большие политические риски для власти в РФ. Непонятно, почему не были проведены общественные слушания?
Присвоение номерного идентификатора человеку вступает в противоречие с позицией РПЦ. Можно ожидать дальнейшего возрастания недовольства как верующих, так и религиозных организаций.
Вывод: принятие законопроекта будет медийным аналогом пенсионной реформы. С точки зрения медийного и политического воздействия на умы граждан РФ создаётся ещё один сильный повод для разжигания ненависти к власти и чиновникам, к дальнейшему "расторжению общественного договора" между властью и народом».
Также эксперты констатируют, что Федеральная налоговая служба, которая, согласно законопроекту, должна вести Единый регистр, превращается в информационного монстра – при том, что она не в состоянии обеспечить сохранность сведений, составляющих государственную тайну:
«В законе прописан оператор Регистра – ФНС. Он же имеет право пользоваться всеми собранными данными. К данным реестра планируется дать слишком широкий доступ. В записи с личными данными граждан не вносятся данные о том, кто и зачем запрашивал данные из Регистра (даже если речь идёт не о силовиках). То есть слив данных может быть осуществлён любым коррумпированным сотрудником МФЦ.
В аппаратном смысле все ведомства – источники персональных данных – потеряют самостоятельное значение, и будут лишь выполнять сервисные функции в интересах оператора самой главной базы данных – ФНС, что сделает ФНС суперведомством, близким по значению к силовым структурам, а за счёт всеохватности накопленных сведений – даже превосходящим их. При этом в отличие от ФСБ, ФСО, МВД, где с данными работают офицеры, дававшие присягу, ограниченные регламентами, формами секретности, ведомство ФНС – гражданское, что создаёт естественные риски более низкой ответственности и секретности.
Представляется логичным, что Единый регистр граждан должен защищаться на уровне защиты государственной тайны, поскольку данные обо всех гражданах страны являются значительной государственной ценностью. Кроме того, организация системы защиты на уровне гостайны позволит резко поднять уровень защищенности системы от внутреннего и внешнего нарушителя. Правда, в этом случае оператором системы должно быть назначено ведомство, обязанное работать с режимом государственной тайны, а не ФНС».
Особое внимание авторы экспертного заключения уделяют защите информации о детях:
«Нарушаются права и подвергаются риску жизнь и здоровье несовершеннолетних. ЕФИР предполагается использовать для сбора, получения и хранения персональных данных обо всех гражданах РФ, то есть, в том числе, о детях и несовершеннолетних, «по факту», без получения особого разрешения на это от их родителей или опекунов. Это грубое нарушение базовых прав несовершеннолетних. Согласно текущей версии законопроекта, родитель сможет узнать, какие данные о его детях хранятся в ЕФИР, но не сможет удалить их или скрыть по своему усмотрению от посторонних глаз. Это создаёт серьёзные риски для детей и родителей.
Большинство россиян не захотят иметь где-то не зависящую от них базу данных, где довольно управленцы и обслуживающий персонал разных ведомств (клерки, системные администраторы и программисты) смогут посмотреть, кто их дети, как они выглядят, где живут и где учатся (а значит, бывают каждый день). А ведь в едином Регистре всё будет хуже: можно узнать всё про родителей, жену, сестру, её родителей, детей и т.п.»
Ну и, наконец, самый важный момент заключения: ЕФИР гарантированно станет лакомым куском для иностранных разведок и всех видов преступников – при том, что обеспечить его защиту в принципе невозможно:
«Риски единого места хранения. Очевидно, что создание единой базы граждан будет вызывать повышенный интерес любых злоумышленников, поскольку каждая запись данной базы и их общая совокупность содержат больше информации, чем любая узкоспециализированная база в ведомстве или регионе, что кардинально снижает стоимость и сложность несанкционированного доступа к этим данным граждан.
На сегодняшний момент не существует технической возможности на 100% гарантировать безопасность какой-либо информационной системы (ИС), ни один специалист по информационной безопасности никогда не даст полной гарантии защищённости ИС.
Получается, что в одном месте создаётся база, которая будет уязвима, как любая ИС, но при этом будет содержать ВСЕ персональные данные граждан РФ. Что, безусловно, сделает её предметом вожделения многочисленных внешних хакеров, а также инсайдеров, коррупционеров и т.п., так как вместо сложного и дорогого тайного сбора данных о гражданине из разных ведомственных и региональных БД теперь можно будет на порядки дешевле получить эту единую запись из ЕФИР.
Утечки. Вторым аспектом этого вопроса являются возможные утечки данных изнутри. Известно, что большинство утечек совершается именно при помощи внутренних злоумышленников (инсайдеров) .
Даже если не рассматривать угрозу взлома базы Регистра со стороны внешних атакующих, не очень понятно, как защита Единого регистра будет осуществляться сотрудниками гражданского ведомства ФНС.
В ст. 9, раздел 5, п. 3) законопроекта сказано, что "оператор осуществляет защиту сведений, содержащихся в федеральном регистре, в соответствии с требованиями законодательства РФ". Однако число утечек из баз данных государственных органов составляет миллионы записей в год и растёт год от года.
Все государственные информационные системы, скомпрометированные массовыми утечками в 2019 году, были созданы в соответствии с требованиями законодательства, что не защитило их от взломов и хищений информации. Каким образом база Регистра будет гарантированно защищена от злоупотреблений и краж со стороны внутренних нарушителей – непонятно.
Планируемый оператор Регистра также "отметился" на поле утечек. В 2019 году произошла скандальная утечка налоговых данных граждан РФ. В сентябре 2019 ФНС утечку из её баз опровергла, не приведя, однако, никаких доказательств этого . Этот случай не подвергался подробному разбору, виновные не были найдены и наказаны. Наверное, было бы логично сначала публично разобраться с прошлогодней утечкой данных и способностью ФНС защитить данные граждан.
Использование зарубежного ПО и техники. В законопроекте довольно неясно упоминаются требования к программному и аппаратному обеспечению Регистра – сказано лишь, что эти средства должны быть "сертифицированы". К сожалению, существующая процедура сертификации не защищает от программных и аппаратных закладок со стороны производителя и/или спецслужб страны производителя. Кроме того, сложившаяся в нашей стране практика использования сертифицированных программных и аппаратных средств в госорганах и госкорпорациях не защищает от облачного хранения данных и передачи данных за пределы РФ. В результате даже сертифицированное ФСТЭК зарубежное программное средство на практике всё равно скачивает обновления, которые никем не сертифицируются. Это дает риск построения системы критической инфраструктуры, к которой будет возможен скрытый доступ иностранных производителей и спецслужб.
На наш взгляд, такой Регистр должен строиться и работать исключительно на отечественных средствах».
Некоторые из вопросов, поставленных в заключении Касперской-Ашманова, а равно в заявлениях ОУЗС, КПД, д.ю.н. Игоря Понкина и других экспертов, сегодня задавались в Госдуме во время встречи фракции КПРФ с замглавы ФНС Соловьевым. Как рассказал «Катюше» один из организаторов этой встречи, глава «Родительского отпора» Николай Мишустин, Соловьев явно «плавал» и не смог ответить ни на один из вопросов по существу. Фактически ФНС способна просто констатировать, что единственной целью законопроекта будет ее, ФНС, удобство – чтобы ей было удобнее собирать с нас налоги (остальные вопросы, вроде выплат пособий и т.п., о которых говорят налоговики, к ним не имеют никакого отношения – это компетенция Минтруда и других ведомств, не говоря уж о сведениях, составляющих гостайну).
Между тем, вопросами информационной безопасности россиян наконец-то озадачилась ФСБ: в СМИ прошла информация о том, что Федеральная служба безопасности напомнила о необходимости согласовывать с ней разворачиваемые в регионах системы мониторинга граждан в период самоизоляции. По мнению ведомства, такие системы должны подпадать под закон «О безопасности критической информационной инфраструктуры (КИИ)».
В случае с Единым Регистром это тем более актуально.
Ранее, как уже сообщала «Катюша», именно позиция силовиков стала поводом для снятия с рассмотрения аналога нынешнего законопроекта, который тогда называли законопроектом «О цифровом профиле». Причем это произошло несмотря на одобрение правительства Медведева. Даст Бог, и в этот раз сорвем!
1* Например, в 2019 году на них пришлось около 56% всех утечек информации – см:
https://www.infowatch.ru/sites/default/files/report/analytics/russ/Global_Data_Leaks_Report_2019_half_year.pdf?rel=1
2* Специалисты британской компании Comparitech нашли в открытом доступе открытый кластер Elasticsearch Amazon Web Services, содержащий персональные данные 20 млн россиян, а именно: имена, адреса, номера паспортов, место проживания, номера телефонов, номера ИНН, работодателей, а также информацию об уплаченных налогах. См., например, https://xakep.ru/2019/10/03/tax-records-leak
233
111 055
43 650