Блоги, которые нельзя читать

Коллега сбросил принтскрин с поискового запроса Яндекса. Если сделать запрос «Евгений Царев» в первых строчках выдается ссылка на блог, который мне сделала администрация сайта Cio-world больше года назад. Очень давно не писал в этот блог, но он почему-то весит в первых строках при выдаче. Все бы ничего, да только надпись под этой ссылкой неприятная:

Проверил в Google, тоже самое:

Потом вспомнил, что там же были заведены блоги коллег — Алексея Лукацкого и Михаила Емельянникова и при запросах с их именем высвечивается тоже самое:

Видимо проект закрыли, сайт уже не работает, но странички продолжает светиться в сети, причем в зараженном состоянии.

Вроде все понимаешь и ресурс не твой, но все равно неприятная штука.

Спекуляции на тему утечек персональных данных за последние сутки

Очень грустно, что СМИ распространяют информацию с искажением. Смотрел Вести 24, так там в бегущей строке целый день появлялся заголовок «Утечкой данных с «Яндекса» и Google займется прокуратура».

Постойте, причем здесь поисковые системы?

Они индексируют только то, что им разрешено.

Неужели кто-то всерьез полагает, что Google в автоматическим режиме взламывает российские сайты по продаже интимных игрушек?

Вина за утечку целиком и полностью лежит на владельцах ресурсов. Вот например, Роскомнадзор подготовил вполне адекватную новость, акцентируя внимание на проблемах интернет-магазинов. Другой вопрос, почему сразу аж 80 ресурсов допустили утечку. Общий баг или что-то другое? Интересная версия есть на сайте Андрея Петухова:

Дано:

  1. Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.
  2. Есть форум B, на который мальчик Петя постит ссылку, при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.
  3. Есть поисковик С, который радостно индексирует форум B и, переходя по ссылке, наносит ущерб сайту А.

Вопросы:

  1. Виноват ли поисковик в том, что на сайте А пропали данные?
  2. Если не виноват поисковик, то кто же виноват?

Может быть схема такая, может и нет, но в любом случае вопросы мне кажутся странными. Поисковые машины не могут быть виноваты в утечке. Поисковые системы — это роботы, которые ходят по сайтам и смотрят только то, что им разрешили веб-мастера. Эти роботы, успешно работаю во всем мире. Нигде не возникает претензий к поисковым системам, что они переходят по ссылкам «как-то не так». Вина напрямую лежит на мальчике Пете (что-бы он не сделал) и сайте, который, по каким-то причинам, содержит уязвимости.

Вот в чем действительно необходимо разобраться, так это в том, кто такой этот мальчик Петя? Не взрослый ли это дядя, который работает в интересах тех, кому выгодно заявить, что подписанный Президентом закон о персональных данных спасет от подобных утечек?

Беда в том, что существующий закон не защищает граждан, чьи данные оказались в сети. И даже в случае успешного расследования прокуратуры и привлечения Пети к уголовной ответственности (вероятность этого 0,0000…1%), пострадавшие граждане не получат компенсации за безобразия Пети и интернет-магазинов. Ведь закон писали не для них.

Дорогу осилит идущий или что мы плинируем делать с 152-ФЗ

Уже не секрет, что своими действиями (начиная с письма президенту), мы с вами, уважаемые коллеги, сумели привлечь внимание к проблеме чиновников из Минкомсвязи. Нас  (Пять экспертов) на прошлой неделе пригласили на встречу, на которой сообщили, что закон подписан и ничего изменить мы не можем, с ним придется жить. Однако, работа над законом будет продолжена и нам предложили присоединиться этой работе. Понятное дело, дорога будет долгой и непростой. Однако, формальные общественные организации так и не проявили интерес к происходящему. Чтож, если они не желают заниматься ключевой проблемой современного ИБ в России, придется нам вести эту работу самим.

Viam supervadet vadens – дорогу осилит идущий.

Глубоко убежден, что для работы должна быть привлечена общественность, в прямом смысле этого слова. Очевидно, что проводить совещания с привлечением всех желающих мы не сможем, но вот информировать вас о наших активностях в направлении 152-ФЗ и прислушиваться к вашему мнению мы сможем. Поэтому сегодня во всех блогах «пяти экспертов» будет опубликована информация по текущему положению дел.

Итак, коллеги из Минкомсвязи попросили нас дать конструктивные предложения. Мы выработали 5 пунктов:

1. Внести в КоАП и УК РФ ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.

2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».

3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР, РСС и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.

4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.

5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие фактов утечек ПДн субъектов.

Про первые 4 пункта напишут коллеги. Мне же кажется наиболее важным пункт №5. Дело в том, что практики выдвижения обязательных для операторов ПДн технических требований в цивилизованном мире нет. Держать дисциплину выполнения технических требований среди всех операторов невозможно. Поэтому применяется практика обязательности уведомления субъектов, чьи данные, например, утекли. Контролировать дисциплину в этом вопросе значительно проще. Тот поток информации об утечках, который выдают западные компании связаны именно с ответственность менеджмента за скрытие такой информации.

Правильное описание ответственности за сокрытие и контроль органа исполнительной власти снимает необходимость выставлять технические требования вовсе.