© ComNews
19.09.2019

Если законопроект о едином ресурсе сведений о населении примут, то злоумышленники будут готовы бросить на взлом такой базы серьезные ресурсы, считают аналитики. У них вызывает беспокойство уровень безопасности грядущей мега-системы персональных данных. Создание базы такого уровня может обойтись в десятки миллиардов рублей, эти затраты следует сопоставить с перспективной ресурсной экономией. Кроме того, юристы не исключают, что отдельные положения закона, в случае его принятия, будут оспариваться в Конституционном суде. 

В первом чтении принят законопроект "О едином федеральном информационном ресурсе, содержащем сведения о населении Российской Федерации".  

Законопроектом предусматривается создание федерального информационного ресурса, содержащего сведения о населении (Ф.И.О., дата и место рождения, гражданство, пол, СНИЛС, ИНН и семейное положение граждан). Ресурс будет создан на основе данных МВД, Минобороны, Минобрнауки, Росморречфлота, государственных внебюджетных фондов, а также Федеральной налоговой службы (ФНС). Депутаты ГосДумы предлагают вести федеральный ресурс о населении в федеральной информационной системе. В проекте ФЗ оператором информационной системы определяется ФНС России. Она будет формировать и вести ресурс и обеспечивать защиту  сведений.

К законопроекту принимаются поправки до 16 октября 2019 г. В случае принятия в третьем чтении закон начнет работать с 1 января 2022 г. Некоторые нормы вступят в силу с 1 января 2024 г. и с 1 января 2025 г. Документом предусмотрен переходный период до 31 декабря 2025 г.

"Создание федерального ресурса о населении позволит повысить оперативность и качество принимаемых решений в сфере государственного и муниципального управления, обеспечить достоверность и актуальность информации о населении, сократить сроки оказания государственных и муниципальных услуг и исполнения государственных и муниципальных функций, обеспечить переход на качественно новый уровень расчета и начисления налогов на доходы физических лиц, повысить эффективность реализации государственной политики, решения вопросов социально-экономического развития, составления и реализации государственных и муниципальных программ, бюджетов бюджетной системы РФ", - сказано в пояснительной записке к проекту. Также ресурс обеспечит повышение эффективности борьбы с правонарушениями, сокращение числа мошеннических действий при получении мер социальной поддержки и уплаты налогов, сборов и других обязательных платежей, повышение собираемости платежей в бюджеты бюджетной системы РФ.

"Появление единого федерального ресурса упростит межведомственное взаимодействие, различным органам и ведомствам будет проще запрашивать необходимую информацию. В конечном счете, принятие законопроекта поможет эффективно реализовать государственную политику по переводу всех госуслуг в онлайн", — считает член Комитета по безопасности и противодействию коррупции Анатолий Выборный. 

Руководитель отдела аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отметил, что в случае утечки данных из системы может быть украдена личная информация каждого гражданина России. "То есть речь идет о компрометации подробных данных 145 млн. человек, и теоретически все мы можем оказаться объектами для мошенничества, а огласку могут получить многие факты нашей частной жизни (адрес, семейное положение, доходы и т.д.). Здесь можно вспомнить индийскую единую систему идентификации AADHAR, в которой хранятся данные более миллиарда человек. Хотя власти заявляют о её полной надежности, уже не раз происходили утечки данных по различным каналам. Также за последнее время была скомпрометирована информация миллионов граждан таких государств как Эквадор, Чили, Панама, Болгария. Причём ряд утечек из государственных баз носили случайный характер, то есть были вызваны влиянием человеческого фактора, а не хакерскими атаками. Единая база данных призвана обеспечить удобство передачи информации, ускорить предоставление многих услуг, оптимизировать налоговый процесс, облегчить жизнь людям. Однако вызывает беспокойство уровень безопасности грядущей мега-системы персональных данных. На 100% нельзя гарантировать безопасность ни одной системы, можно лишь говорить о максимальном снижении рисков. Нужно учитывать, что чем больше ликвидной информации будет содержать хранилище, тем сложнее его будет защитить. Злоумышленники будут готовы бросить на взлом такой базы очень серьезные ресурсы. При этом, как правило, "стоимость" этих ресурсов намного ниже бюджета киберзащиты системы. Единая система персональных данных потребует создания защитных барьеров как от внешних атак, так и от внутренних нарушителей, ведь информационный ресурс такого уровня не может не привлечь злоумышленников из числа сотрудников. Отдельный набор средств необходим для предупреждения случайных утечек. Создание базы данных  такого уровня, включая системы защиты, может обойтись в десятки миллиардов рублей", - рассказал Андрей Арсентьев корреспонденту ComNews.

Адвокат Александр Титов пояснил, что взлом подобной системы квалифицируется по ст.272 УК РФ,  в рамках расследования будут устанавливаться виновные. "Если их установят и осудят, к ним можно будет заявить гражданский иск о возмещении убытков и компенсации морального вреда от имени пострадавших. Маловероятно,  что будет привлечен к ответственности сам оператор такой системы, так как доказать его халатность в организации системы защиты от неправомерного доступа скорее всего не удастся", - сказал он корреспонденту ComNews. На вопрос о вероятности "слива" данных сотрудниками ответил, что вероятность получения массива информации изнутри есть, но сценарий ответственности будет похож описанному выше. "Госуслуги уже могут накапливать подобный объем информации. Но в случае с Госуслугами предполагается согласие физического лица на обработку его персональных данных. В проекте закона ничего подобного нет. То есть сведения из различных баз различных ведомств предлагается объединить и дать возможность их совместного использования.  На мой взгляд, цели и условия ведомственной обработки специфические и определенная информация имеет отдельный правовой статус (как например налоговая тайна). Давать к ней доступ всем пользователям единым информационным ресурсом  было бы не оправдано. Не исключаю, что отдельные положения закона, если он будет принят, будут оспариваться в Конституционном суде", - прокомментировал Александр Титов. 

Владелец юридической фирмы "Катков и Партнеры" Павел Катков заметил, что единая система учета граждан это хорошо, если такая система будет и дальше способствовать упрощению отношений гражданина и государства и повышать качество госуслуг. "Здесь крайне важно соблюдение принципа единоразового предоставления данных. То есть, если ты государству один раз предоставил данные, то его органы сами между собой ими должны обменяться через такой единый реестр, а не гонять гражданина за справками. Безусловно, есть риск взлома такой системы. Однако она будет собрана из других подобных информационных систем МВД, Минобороны, Минобрнауки, государственных внебюджетных фондов, а также Федеральной налоговой службы. Иными словами, этот риск уже есть сейчас. Поэтому полагаю, что создание единой системы его не увеличит и не уменьшит. Если эти риски "сыграют" и данные утекут в сеть, гражданин сможет обратиться с иском - о понуждении к действию, запрете использования, возмещении убытков. Создание единой системы будет стоить немалых денег, и эти затраты следует сопоставить с перспективной ресурсной экономией", - считает Павел Катков.

Директор по работе с государственными органами Group-IB Дмитрий Буянов сказал, что информация, которая будет хранится в реестре, а точнее сказать – сама БД полностью, будет одним из самых лакомых кусков для хакеров. "Полные сведения о гражданах РФ – большое преимущество не только для бизнеса, банков и финансовых институтов, ритейлеров, маркетологов различных отраслей и пр.,  это серьёзный инструмент как для криминала, так и для иностранных спецслужб или кибергруппировок, которые на них работают. Хранить яйца в одной корзине не всегда разумно, но в последнее время нас приучают к мысли, что государство при принятии решений в области интернета, электоральных процессов и защиты информации часто руководствуется иными принципами. Насколько сложно взломать такой ресурс мы узнаем, когда изучим техническое задание на его создание. Могу лишь пока сказать, что в последние месяцы наблюдается всплеск утечек с государственных и около государственных ресурсов. Абсолютно вся утекшая из государственных баз данных информация также якобы охранялась в соответствии с законодательством об информации и персональных данных.  Оговорюсь, что никакая техническая защищённость не отменяет действие человеческого фактора. В этом лично я вижу одну из самых больших проблем в области ИБ любой базы данных. Если не привлекать сторонних независимых аудиторов, причем, сразу, на стадии подготовки ресурса, то взломов и утечек, к сожалению, не избежать", - сообщил корреспонденту ComNews Дмитрий Буянов.

Управляющий партнер юридической фирмы "Axis Pravo" Алексей Сулин отметил, что новый информационный ресурс будет формироваться из сведений, которыми уже располагают государственные органы. "Это означает отсутствие противоречий с законом о персональных данных. ФНС даже не придётся уведомлять граждан о том, что их данные теперь аккумулированы в одну базу, и что ФНС, являясь новым оператором, будет собирать персональные данные. Об этом говорит закон. Проблема в другом. Централизованное хранение данных несёт в себе не только преимущества, связанные с удобством. Конечно, людям не придётся собирать справки и выписки для получения того или иного документа. Однако, есть и обратная сторона. Если раньше случались утечки личных данных, они касались лишь узких сведений о гражданах, тех сведений, которые хранились в ведомстве, из которого произошла утечка. Федеральный информационный ресурс будет содержать сведения о всех сторонах жизни граждан, и утечка таких массивов данных, тем более, если эти данные окажутся в руках злоумышленников, может нанести непоправимый ущерб людям, начиная от репутации и заканчивая материальными потерями. В том, что такие утечки будут происходить, можно не сомневаться. Они были раньше, и нет никаких оснований полагать, что это не случится в будущем", - уверен Алексей Сулин.

"Агрегирование данных в одной системе всех данных, с одной стороны, делает ее важной целью для киберпреступников и инсайдеров. С другой стороны, с точки зрения защиты информации текущий уровень технологий позволяет организовать доступ и логирование таким образом, что сделает кражу данных задачей более сложной, чем когда та же информация хранится в десятке разрозненных баз, защищённых по-разному. Важно учесть, что уже были печальные примеры, когда подобные базы утекали (Филипинны и Индия). Сложность взлома зависит от выбранного подхода к защите. 100% защиту гарантировать, конечно, невозможно, но при этом при правильном разделении прав доступа, логировании, защиты баз данных, компьютеров операторов и т.д. риск существенно снижается. Опять же взломать один хорошо защищенный сложнее, чем найти брешь в одной из десятка баз", - прокомментировал руководитель российского исследовательского центра "Лаборатории Касперского" Юрий Наместников.