«Человек, который из «Яндекса» слил 6,5 миллиона записей, писал, что надо из них вычислять ментов, чекистов, воюющих и членов их семей и их чморить! Вычислить их ничего не стоит. Модель угроз изменилась. Это не компромат, не шантаж, не слежка, просто может прилететь беспилотник с килограммом взрывчатки», — негодовал член совета при президенте РФ по развитию гражданского общества Игорь Ашманов, возмущаясь, почему в России до сих пор не могут ввести оборотные штрафы за утечку данных. По его словам, закон не дают внести «Яндекс», «Ростелеком» и другие операторы. В Госдуме обещают все принять, но недовольны защитой серверов, которые «непонятно кем охраняются».
Игорь Ашманов: «Человек, который из «Яндекса» слил 6,5 миллиона записей, писал, что надо из них вычислять ментов, чекистов, воюющих и членов их семей и их чморить!»
«Компании добились того, что данные были многократно украдены!»
«Президент США Джо Байден издал указ, обязующий разработчиков мощных систем искусственного интеллекта делиться результатами тестирования их безопасности с американскими властями. Действие указа будет распространятся на компании, разрабатывающие базовые ИИ-модели, которые потенциально могут представлять риск для национальной и экономической безопасности страны», — с этого тонкого намека «Парламентская газета» начала анонс круглого стола по искусственному интеллекту, который собрал нескольких наиболее ярких отраслевых экспертов. В России аналогов этого указа (как и, увы, сопоставимых с американскими ИИ-системами) пока нет, более того, нет и единой оценки перспектив и рисков новых технологий. Член совета при президенте РФ по развитию гражданского общества Игорь Ашманов, первый зампред комитета Госдумы по информполитике Антон Ткачев и глава фонда развития цифровой экономики Герман Клименко публично разошлись во мнениях и насчет того, заменит ли ИИ, например, врачей и нужны ли стране дроны-убийцы, но самые бурные споры вызвал закон о персональных данных.
Поправки, ужесточающие ответственность за утечку данных, напомним, не могут внести уже год. И, по мнению Ашманова, дальше тянуть уже некуда. «Глава вашего комитета обещал внести закон об уголовной ответственности за незаконный оборот персональных данных еще в весеннюю сессию, — обратился спикер к Ткачеву, намекая на главу комитета по информационной политике, информационным технологиям и связи Александра Хинштейна. — Потом в осеннюю сессию, я с ним разговаривал на той самой рабочей группе по цифровому кодексу, он сказал: „Ну все, в понедельник вносим“. Это был понедельник, две недели назад. Не внесли. К нам приезжал представитель „Ростелекома“ и объяснял, почему они очень-очень-очень против этого закона. И мы понимаем, кто не дает данный закон внести. Это „Ростелеком“, вся „большая тройка“ операторов („большой тройкой“ принято считать МТС, „Билайн“ и „МегаФон“ — прим. ред.), „Яндекс“ и так далее. Почему? Потому что это деньги. Эти люди или компании добились того, что данные, которые они собрали и считают своими персональными, были украдены многократно за последние пять лет. Было украдено примерно 400 миллионов записей. И они все утекли к хохлам!»
Впрочем, в этом усомнился Клименко. То ли в самих цифрах, то ли в масштабе рисков, которые такие утечки несут. «„Яндекс.Еда“ — это персональные данные?» — усмехнулся спикер, имея в виду беспрецедентный слив в марте 2022 года, когда преступники заботливо «выгрузили» все данные на интерактивную карту и сформировали систему поиска клиентов по фамилии или номеру телефона.
«Давай я тебе объясню, какие это персональные данные… Человек, который из „Яндекса“ слил 6,5 миллиона записей, писал потом, что слил он их специально, потому что он против СВО. И надо из этих 6,5 миллиона человек, которых эти записи касались, вычислять ментов, чекистов, воюющих и членов их семей и их чморить, — разозлился Ашманов. — Через эти данные плюс камеры на улицах вычислить их ничего не стоит. Сейчас модель угроз изменилась. Это не компромат, не шантаж, не слежка, просто может прилететь беспилотник с килограммом взрывчатки».
Поправки, ужесточающие ответственность за утечку данных, напомним, не могут внести уже год. И, по мнению Ашманова, дальше тянуть уже некуда
«Дата-центры непонятно даже кем охраняются»
Но предпосылки к тому, что лед скоро тронется, все же есть. Ткачев подтвердил, что депутаты действительно были готовы внести поправки, и заверил, что до конца года их будто бы даже и примут. Лоббизм противников будет преодолен, «поступы к этому идут», заверил зампред комитета Госдумы и напомнил суть изменений. По его словам, введут оборотные штрафы, которые с точки зрения экономики для компаний-нарушителей будут «достаточно губительны».
Второе — планируется ввести уголовную ответственность за утечку данных. Но с этим сложнее. «Здесь важно определить количество субъектов в цепочке, которые принимают участие в этом обороте, кто идет по этой статье», — сказал депутат. По его словам, именно это затягивает процесс: перед тем как принять карающий законопроект, нужно разобраться, кого делать виновным в случае, если данные утекут: рядового сотрудника, главу отдела или вообще генерального директора. «Усложняет и удлиняет» законотворческий процесс и параллельная работа над цифровым кодексом: нужно, чтобы поправки к закону о персональных данных ему тоже соответствовали.
Еще одна фундаментальная проблема защиты персональных данных может таиться в… серверах. Ткачев рассказал, что его комитет посетил дата-центр «Ростелекома» и остался неприятно удивлен. «Непонятно даже, кем [дата-центр] охраняется, частным предприятием. Это не Росгвардия, не минобороны или еще какое-то ведомство, которое должно охранять те персональные данные, что хранятся в министерстве», — возмутился депутат. Он посетовал, что в отличие от Китая и США Россия опасается сотрудничать в сфере военных данных с частными компаниями.
Впрочем, ответ на вопрос, почему российский закон о персональных данных практически не работает, нашелся у Клименко. Глава совета фонда развития цифровой экономики сослался на американский опыт. «Как развивалась Америка? Были медучреждения, между медучреждениями обмен данными с разными свойствами — это речки, русла. Когда они стали перекрывать берега, их ограничили законом о персональных данных. Наши законодатели очень любят подсмотреть что-то там, на Западе, и внести новое модное. И решили внедрить в России закон о персональных данных. Его внедрили, но на пустые русла», — метафорически констатировал он.
В июне сеть магазинов одежды Gloria Jeans подтвердила, что с ее сайта были похищены данные более 3 млн пользователей
У кого утекали данные в 2023 году?
Повод для переживания действительно есть. Только за первое полугодие 2023-го Роскомнадзор официально объявил о 75 крупных утечках персональных данных, из-за которых в сеть — опять же, только по официальным сообщениям, — попало порядка 200 млн записей о россиянах. Вот некоторые из них:
— В октябре Роскомнадзор подтвердил утечку данных клиентов МТС Банка. Сообщалось, что в сеть слита информация о почти 1 млн пользователей. Эксперты допускали, что хакеры могли получить доступ к хранилищу резервных копий или серверу баз данных. «Состав данных говорит о том, что утечка, вероятно, произошла из клиентского или маркетингового блока, а скорее всего, из аутсорсингового кол-центра или от IT-подрядчика», — утверждал основатель сервиса по поиску утечек данных DLBI Ашот Оганесян. Компании грозит штраф на сумму до 100 тыс. рублей.
— В августе в открытый доступ попали данные пользователей сервиса электронных книг «Литрес». Отмечалось, что речь идет о сливе более чем 3 млн строк, которые включают имя и фамилию, адреса электронной почты, хешированные пароли.
— В июне сеть магазинов одежды Gloria Jeans подтвердила, что с ее сайта были похищены данные более 3 млн пользователей. Профильные телеграм-каналы сообщали, что это может быть дамп базы данных сайта, а в файлах содержатся имена и фамилии, адреса электронной почты (почти 3,2 млн уникальных), телефоны (2,4 млн уникальных), даты рождения, а также номера карт постоянного покупателя.
— В январе Mail.ru подтвердила сообщения об утечке, объяснив ее сливом «стороннего сервиса». Обнародованная в свободном доступе база включала 3,5 млн записей, в том числе ID, адреса электронной почты на mail.ru, bk.ru, inbox.ru и других, телефоны, имена и фамилии пользователей, а также их логины. Компания заявила, что проводит тщательную проверку и клиентам ничего не угрожает.
Роскомнадзор также проверял информацию о возможной утечке данных международного детского центра (МДЦ) «Артек», лаборатории «Ситилаб», розничных сетей «Бристоль» и «Дикси», интернет-магазина «Подружка», лабораторной службы «Хеликс», сайта конкурса «Большая перемена», а также «Уралхима» и многих других компаний. Официально подтверждения или опровержения этих утечек не публиковались.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 8
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.