Персональные данные граждан, отправляемые на госсайты, признаны уязвимыми к перехвату
Федеральная служба по техническому и экспертному контролю (ФСТЭК) признала уязвимость персональных данных и текстов обращений граждан, направляемых в госорганы.
Как сообщает Ъ, это следует из ответа руководителя ФСТЭК Владимира Селина на соответствующий запрос депутата Госдумы Ильи Костунова. Как отметил глава службы, данные не подвергаются шифрованию и в процессе передачи могут стать доступны третьим лицам.
«ФСТЭК разделяет вашу озабоченность по вопросу обеспечения безопасности сбора персональных данных и сообщений пользователей на сайтах органов госвласти».
ФСТЭК своим приказом утвердила требования к операторам о защите информации, не составляющей гостайну, содержащуюся в государственных информационных системах. В частности, операторы должны «обеспечивать меры по защите информации от раскрытия, модификации и навязывания ввода ложной информации», а именно создавать «защищенное соединение с применением криптографических средств защиты информации».
Ранее «Ъ» сообщал, что по итогам шести месяцев Россия заняла второе место в мире по числу утечек конфиденциальной информации в интернет. Рынок средств защиты информации от утечек (DLP) в России за 2014 год вырос на 25%, но он все равно не успевает за злоумышленниками.
Как информирует ТАСС, депутат Костунов так прокомментировал ответ ФСТЭК:
«Очень хорошо, что указ президента РФ предусматривает меры по шифрованию канала, по которому граждане взаимодействуют с сайтами ведомств. Но вопрос, в какие сроки эти меры будут реализованы».
Он пообещал, что в ближайшее время направит запросы в ведомства о том, в какие сроки они планируют защитить сообщения граждан, которые те оставляют на сайтах госорганов.
По мнению депутата, «важно донести до федеральных органов власти информацию о том, что их сайты и вэб-приемные являются неотъемлемой частью государственной информационной системы». «Информация от граждан должна попадать в ведомства по защищенному каналу», — убежден он.
В сентябре Костунов обращался в Минэкономразвития и ФСТЭК с предложением ввести обязательное шифрование персональных данных граждан и их обращений в государственные органы. По его словам, распространенное сейчас использование открытого протокола http означает, что «любой компьютер на пути прохождения информации в интернете может скопировать или изменить текст, отправленный в госорган». В отдельных населенных пунктах сети «связи могут оказаться под косвенным контролем представителей местных чиновников или преступных групп, не заинтересованных, чтобы жалобы или сообщения о преступлениях уходили через интернет напрямую в Генпрокуратуру или ФСБ», предупреждал Костунов.
Таким образом, государственные органы сами подвергают опасности перснональные данные граждан, которые к ним обращаются. Т.е. не разобравшись с защитой персональных данных российских граждан у себя, идет инициация мер по локализации данных в Россию.
Более того, представители Роскмонадзора неоднократно указывали на то, что при использовании защищенного протокола https владельцы сайтов подвергают себя опасности быть заблокированными целиком из-за наличия какого-либо запрещенного контента лишь на отдельных страницах.
Например так было при вынесении решения о блокировки энциклопедии «Луркоморье»:
По словам пресс-секретаря Роскомнадзора, часть ссылок в решении ФСКН содержит указатели протокола https. Это означает, что провайдерам придётся заблокировать доступ к сайту целиком, так как они не распознают шифрованный трафик.