Ассоциация юристов России обращает внимание на ситуацию, которая складывается в сфере защиты прав граждан на тайну персональных данных. Для борьбы с эпидемией используются различные системы мониторинга: создаются базы данных лиц на карантине, специальных пропусков, вводятся в работу мобильные приложения, предусматривающие отправку личных данных вплоть до фото и т. д. Фактически под предлогом борьбы с коронавирусом создаётся целая сеть, позволяющая идентифицировать каждого гражданина и получить дополнительную информацию о его работе, должности, состоянии здоровья… При этом юристы отмечают, что необходимо обеспечить должную защищённость систем соцмониторинга, отслеживающих поведение граждан в период эпидемии.
ФСБ на страже безопасности данных
Руководитель научно-технической службы ФСБ направил официальное письмо в Минкомсвязь. В нём Федеральная служба указала на обоснованность опасений АЮР и необходимость проверки уровня защиты персональных данных, обрабатываемых в информационных системах мониторинга. Служба подчеркивает: несмотря на сжатые сроки разработки и внедрения систем, необходимо согласовывать технические задания и модели угроз безопасности ИС по требованиям ФСТЭК, а разработкой и внедрением информационных систем, предполагающих хранение и обработку ПД и другой конфиденциальной информации должны проводить организации с лицензией ФСБ и ФСТЭК на соответствующие виды работ. В письме указано, что ФСБ готова исследовать информационные системы на предмет угроз безопасности в течение недели.
Юристы обоснованно полагают, что системы мониторинга по характеру и цели действия подпадают под понятие критической информационной инфраструктуры (КИИ), к которой предъявляются повышенные требования безопасности в соответствии с законом «О безопасности КИИ». Следовательно, информационные системы для мониторинга поведения и местонахождения граждан должны разрабатываться и работать в соответствии с требованиями ФСБ и ФСТЭК, касающимися защиты системы от стороннего доступа, несанкционированного изменения или уничтожения информации. Последствия несоблюдения указанных требований могут быть критическими: слишком высока важность обрабатываемых данных.
При этом в ведомстве отмечают, что власти Москвы и других регионов, внедривших систему пропусков и отслеживания лиц на карантине, вряд ли озаботились разработкой модели угроз или созданием технического задания на разработку. По крайней мере, такие документы не поступали на рассмотрение ФСБ или ФСТЭК, а запрос в департамент информационных технологий Москвы остался без ответа.
Напомним, что к объектам КИИ относятся информационные системы, принадлежащие государственными или муниципальным органам, учреждениями или должностныым лицам, которые осуществляют деятельность, указанную в законе о КИИ. В частности, к таким системам относятся ИС в сфере здравоохранения и транспорта. Внедрение системы «Социальный мониторинг» и системы учёта и выдачи пропусков как раз связано с обеспечением здоровья граждан, а значит, на них тоже распространяется действие закона «О безопасности КИИ. При этом, столь быстрое введение в эксплуатацию указанных систем вряд ли позволило провести полноценную разработку с учётом моделей угроз и всех требований безопасности, а значит, есть вероятность, что системы мониторинга в данный момент не соответствуют требованиям закона о безопасности информационных систем. При этом юридическое сообщество обращает внимание на то, что даже в условиях пандемии, несмотря на спешку и благие цели, должны соблюдаться права людей на неприкосновенность частной жизни и защиту личных данных.
После обращения юристов Роскомнадзор направил в ДИТ Москвы запрос об основаниях и условиях обработки данных, полученных через приложение соцмониторинга и системы оформления электронных пропусков. Цель — выяснить, насколько эксплуатация систем и хранение данных соответствуют требованиям закона «О персональных данных». При этом Министерство связи полагает, что информация в указанных системах достаточно защищена и не требует принятия дополнительных мер. Как обстоят дела в действительности, пока неизвестно — никакого ответа из департамента информтехнологий Москвы пока не последовало.
При этом несколько дней назад была инициирована прокурорская проверка по фактам открывшейся возможности утечки персональных данных о плательщиках штрафов, назначенных системой «Социальный мониторинг». По мнению властей, никакой «дыры» в системе безопасности приложения нет, а пользователи сами виноваты в том, что выкладывают в сеть скриншоты постановлений с уникальным номером платежа, по которому их можно вычислить через сервисы оплаты штрафов. Иным способом подобрать УИП невозможно. Однако специалисты в сфере информационных технологий указывают, что подобрать УИП — дело пяти минут, если использовать специальный софт. Дело в том, что персональные данные в приложении фактически «привязываются» к УИП в необезличенном виде, сервис использует капчу Google (иностранный софт!), а после достижения целей обработки ПД они не удаляются и не обезличиваются, как того требует закон.
Впрочем, некоторые регионы (например, Татарстан), уже начали удалять персональные данные граждан из системы. Однако для Москвы может быть сделано исключение: здесь начат эксперимент по внедрению искусственного интеллекта, а для этого нужны данные. Остаётся надеяться, что при воплощении в жизнь идей цифровизации и автоматизации всего и вся власти не забудут о соблюдении прав граждан.