МОСКВА, 21 мая. /ТАСС/. Риски утечек данных из создаваемого в России единого регистра сведений о населении, как из любого аналогичного проекта, всегда есть. Однако при качественном анализе угроз и правильном подходе к созданию реестра серьезных проблем можно избежать, считают опрошенные ТАСС эксперты.
Госдума на пленарном заседании в четверг приняла в третьем чтении правительственный законопроект о создании единого федерального регистра, содержащего информацию о населении страны. В нем том числе будут содержаться персональные данные граждан, а также данные о родственниках и семейных отношениях.
По словам руководителя департамента системных решений Group-IB Антона Фишмана, если перед государством стоит задача создать единое информационное пространство, в котором данные будут храниться агрегировано, то следует серьезно озаботиться безопасностью такого проекта. "Уязвимая точка - это получение доступа к информации. В идеале как можно меньше людей должны иметь возможность заполучить всю информацию целиком, так как если технически такая возможность будет существовать, это создает потенциальную возможность получить информацию для злоумышленников", - считает он.
"Не секрет, что более 65% всех утечек происходит по вине инсайдеров. Если реестр будет использоваться только для автоматизированной проверки данных, предоставляемых самим гражданином или его работодателем, степень защиты останется высокой", - соглашается основатель и технический директор DeviceLock Ашот Оганесян.
В целом вероятность утечки данных через подобный сервис, рассуждает старший консультант по информационной безопасности Cross Technologies Елизавета Тутова, зависит от того, насколько эффективно на этапе проектирования были оценены угрозы и уязвимости, а также от того, как эти уязвимости были закрыты. "К сожалению, из-за масштабности проекта, большого количества участников (ведь нам обещают хранение данных на нескольких площадках одновременно) и прогнозируемого отсутствия конкуренции при выборе поставщиков услуг по защите информации, вероятность утечек может быть высокой", - полагает она.
Возможный масштаб утечек и как их избежать
Вместе с тем, продолжает Тутова из Cross Technologies, последствия раскрытия информации, хранящейся в подобном реестре, могут быть весьма серьезными, например, - продажа баз данных на черных рынках и, как следствие, рост случаев мошенничества с использованием чужих персональных данных.
"Если реестр получит возможность смотреть со своего рабочего места каждый сотрудник ФНС, ПФР, ЗАГСа или нотариус, то данные из него немедленно окажутся на рынке "пробива", а затем в продаже в форме баз данных", - допускает в свою очередь Оганесян из DeviceLock. Кроме того, по его мнению, для любой централизованной базы данных существует риск, что "если утечет, то утечет все сразу, и данные всех граждан окажутся на рынке".
"Если на черном рынке спрос на содержимое реестра будет велик (что весьма ожидаемо, ведь регистр, содержащий не только сведения о субъекте, но и о его родственных связях, весьма лакомый кусочек), то стоит ожидать весьма масштабных утечек", - уверена Тутова.
Однако при правильном подходе к созданию такой сложной системы даже самых серьезных рисков все же можно избежать. "Дело не столько в том, как безопасно она будет построена, а в том, насколько будет проработан сам механизм обращения к данным, насколько он будет протестирован, защищен и грамотно реализован", - рассуждает Фишман из Group-IB.
По его словам, "если сделать все супер-правильно, как предлагает ФНС, то это может не создать никаких проблем безопасности". "Но это стоит денег и на это уйдет достаточно много времени. Главное чтобы привлекались эксперты рынка, специалисты по кибербезопасности, которые бы продумывали различные модели рисков, средства защиты", - поясняет эксперт.
"Если тщательно проработать вопрос защиты персональных данных при их хранении и обработке в системе, то такой реестр может быть безопасен. Можно создать единый реестр с хорошей системой защиты, а данным присвоить некий уникальный идентификатор или "псевдоним" (аналог логинов и паролей), который не будет повторяться. Пользователь сам создает свой идентификатор для реестра, система проверяет уникальность, а эти меры в совокупности существенно усложняют задачу злоумышленнику", - предлагает руководитель проектов по информационной безопасности компании BPS Кристина Анохина.
По мнению эксперта, риски есть всегда, но, если реестр защищен должным образом, а данные пользователей хранится в других системах под идентификаторами, то риск утечки минимален.
К системе остаются вопросы
По мнению президента ГК InfoWatch, председателя правления АРПП "Отечественный софт" Натальи Касперской, создание подобного регистра неминуемо вызовет рост внимания мошенников. "Технически сегодня никто не в силах гарантировать полную безопасность информационных систем. В одном месте появляется крайне уязвимая и "лакомая" для хакеров база персональных данных всех граждан России. Вместо сложного, дорогого и опасного сбора данных любой мошенник или коррупционер сможет получить единую запись из регистра, где есть вся информация", - подчеркивает она.
Даже если не говорить о внешнем взломе, пока неясно, как регистр будет защищен от утечек персональных данных по вине внутренних злоумышленников, на долю которых в 2019 году по пришлось больше половины от общего числа утечек в мире, продолжила Касперская. "Непонятно, как будет организована работа сотрудников оператора с персональными данными. И как база регистра будет защищена от злоупотреблений со стороны внутренних нарушителей", - поясняет глава InfoWatch.
Кроме того, если судить по важности хранящейся в нем информации, регистр должен относиться к критической инфраструктуре, уверена Касперская, тогда вопросов становится еще больше, так как по закону он должен пройти соответствующее категорирование.
"В целом закон сырой, не отвечает на множество важных вопросов, так как был принят в изрядной спешке. Я полагаю, что нужны широкие общественно-политические слушания, которые обеспечат прозрачность работы регистра для граждан", - заключила Касперская.
О регистре
Единый информационный ресурс будет включать базовые (фамилия, имя, отчество, дата и место рождения и смерти, пол, реквизиты записи акта гражданского состояния о рождении и смерти, СНИЛС, ИНН) и дополнительные (семейное положение, родственные связи) сведения о физическом лице. Речь идет о гражданах РФ и иностранцах, проживающих и (или) работающих в России.
Запрашивать информацию из регистра смогут государственные и муниципальные органы, внебюджетные фонды, избирательные комиссии, а также граждане (в части своих персональных данных) и их законные представители. Кроме того, регистр можно будет использовать для совершения нотариальных действий. При этом использование ресурса для государственных и муниципальных органов будет необязательным до 2023 года.
В качестве оператора регистра выбрана Федеральная налоговая служба (ФНС), на которую возлагаются функции по защите персональной информации, содержащейся в нем.