России нужен глобальный аудит документооборота, чтобы персональные данные не надо было прописывать «на каждый чих», считает председатель Ассоциации участников рынков данных Иван Бегтин, обнаруживший в легальном интернет-доступе паспорта сотен тысяч бизнесменов.
Более двух миллионов записей с паспортными данными, номерами СНИЛС и ИНН российских бизнесменов лежит в открытом доступе в Сети на закупочных площадках. Как рассказал «Фонтанке» автор этого открытия, председатель Ассоциации участников рынков данных Иван Бегтин, это – реальный пример того, как государство разрешает кибермошенникам пользоваться частной информацией.
– Иван, что случилось, что вы вдруг осознали эту проблему? Проблема ли это вообще?
– Со мной ничего не случилось. Мы занимаемся темой открытых данных и персональных данных много лет. В России есть 44 ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд». Он устанавливает правила о том, как функционируют отдельные части государственной системы – портал госзакупок и несколько других ресурсов. В требованиях к электронным торговым площадкам есть обязательное условие – ведение реестра участников торгов. Чтобы подтвердить, что представитель компании, которая участвует в торгах, имеет на это право, каждый обязан предоставлять площадке, то есть всем желающим, документы решений учредителей на разрешение вести такие сделки. Это требование, когда придумывалось, никак не соответствовало российской практике документооборота. Все началось в 2013 году, когда только-только запускался сайт госзакупок. По нотариусной практике обычно в этих документах всегда указывались паспортные данные учредителей. То есть если вы, Пупкин Сергей Семёнович, владелец компании «Шарики и болтики», хотите дать доверенность Иванову Сергею Семёновичу, подтвердить его право на совершение сделок, то вам необходимо в этом документе всё прописать. Как правило, это паспортные данные. Все документы готовятся, ставятся подписи, печать, в сканированном виде направляются на площадку через личный кабинет. Всё это выставляется онлайн. Мало кто задумывался про это, пока все эти документы были просто сканами. В принципе паспортные данные, конечно, доступны на чёрном и сером рынке. Другое дело, что они здесь доступны легальным образом. И опытные мошенники могут использовать эти данные в самых разных целях. От рейдерских захватов до оформления на человека того, чего бы он сам не хотел на себя оформлять. И надо понимать, что это паспортные данные не просто рядовых граждан. Это паспортные данные предпринимателей. То есть людей, у которых точно есть деньги.
– Но мы же в открытом обществе живём. Мы честные люди – нам нечего скрывать.
– Открытость общества – замечательная концепция для развитых социалистических стран, вроде Швеции или Финляндии, где ты действительно можешь узнать, сколько налогов заплатил твой сосед. Но в России, будем честными, никакого социализма нет и в помине. У нас довольно дикий капитализм с большим количеством людей, которые склонны к мошенническим действиям, которые оформляют кредиты на подставных людей, занимаются чёрным риелторством и другими мошенническими действиями.
– Какого количества граждан касается выявленная вами проблема?
– Я пока описал только половину проблемы. Другая половина касается сертификатов, когда документы подписываются. Те файлы, о которых я уже рассказал, выкладываются на электронных площадках не просто так, а подписанные цифровой подписью. Закон о подписи требует, чтобы внутри самого сертификата содержалась куча персональных данных. ФИО, email, место работы, должность, ИНН и СНИЛС. Всё это есть внутри публичной электронной подписи. Так же, когда файл подписывается, к нему прикладывается дополнительный файл с расширением .sig. В него из электронной подписи копируются все эти метаданные, которые путём очень простой дешифровки, даже не дешифровки, а декодирования из технического формата в человеческий, дают доступ ко всем этим данным. И в общей совокупности уже опубликованных электронных подписей и сканов паспортов получается 2,2 миллиона записей. Учитывая, что некоторые люди пользуются сразу несколькими электронными торговыми площадками, то самое минимальное число открытых персональных данных – 500 000 человек, 2,2 миллиона – максимум.
– Это общее количество граждан, которые хотят вести бизнес легально?
– Это те граждане, которые хотят строить свой бизнес, работая с государством. А государство им говорит: хочешь работать с нами, отдавай нам свои персональные данные, ну и заодно отдавай их вообще всем.
– Если хочешь быть бизнесменом, можно же не работать с государством?
– Есть области, в которых это просто невозможно. Например, если вы работаете с университетами, то вы не можете не работать с государством. Если вы работаете в области здравоохранения, то вы должны заниматься очень специфической деятельностью, чтобы не быть связанными с госмедициной. И чем дальше, тем сложнее избегать контактов. И мои выводы про 2,2 миллиона публичных персональных данных – это не первая и не последняя часть моего исследования. Первая, про удостоверяющие центры, публиковалась 21 апреля, вторая – сейчас (у меня на сайте), и третья часть будет в конце мая, про госсистемы.
– Как государство реагирует на вашу работу? Вы обращались в профильные структуры?
– Да. Эти выводы ещё полгода назад я направлял в Роскомнадзор. Реакция была примерно такой – где-то вы правы, где-то вы не правы, где-то это требование закона, давайте будем это всё обсуждать. И это ответил уполномоченный орган по защите персональных данных граждан. Я хотел от них добиться хоть какого-то содержательного ответа. Ответ – «давайте обсуждать».
– Видимо, у Роскомнадзора просто несколько иные приоритеты сегодня?
– Я в курсе. (Улыбается.)
– Вам не кажется, что проблема, на которую указали вы, вообще не проблема на фоне выводов коллег из BBC о том, что в РФ можно за скромную сумму купить любые данные про человека?
– Не согласен. Это два разных вектора одной и той же проблемы. То, о чём пишет BBC, – это заказ более детальной информации, которая вообще не должна быть открытой и публичной. Это точечное раскрытие информации. Если у вас есть друг, жена, враг, дочь, сын, родители, коллеги, и вы хотите следить за ними. То есть если ты точно знаешь, кого искать. История, о которой рассказал я, – это массовое раскрытие данных. Когда ты можешь найти себе человека по параметрам.
– Получается, что выявленная вами проблема провоцирует серый рынок персональных данных, о котором написали коллеги на BBC?
– Я бы сказал, что она его усугубляет. Не скажу, что провоцирует. Серый рынок существовал всегда. И до ФЗ-44. И чтобы наше государство ни делало, не считая какого-то глубочайшего реформирования, этот серый рынок останется.
– Как проблему можно исправить?
– Это легко правится законодательно. Но не так просто технически. Для начала надо отказаться от требования квалифицированной электронной подписи для подписи документов. Убрать из цифровой подписи всё, что кается персональных данных, из самого сертификата. Это информация есть у удостоверяющего центра. Её можно запросить при необходимости, если это реально нужно. Безусловно, необходимо публиковать шаблоны решений о крупных сделках. И эти шаблоны чётко прописать в законодательстве. Чтобы они не содержали персональных данных учредителей, но имели бы юридическую значимость. Вообще, нужен глобальный аудит документооборота в России, где на каждый чих прописываются персональные данные. На любой договор частного предпринимателя нужны данные его ИП. Несколько лет назад был такой сервис Radarix. Это были отмороженные ребята, которые собрали все доступные данные, все базы и прикрутили оплату к автоматической услуге пробива этих данных. Там можно было получить всю информацию из нескольких баз сразу по человеку. Это однозначно нелегальная деятельность. Но спецслужбы наши не могли его закрыть около года.
– Быть может, проблему нужно просто легализовать, и она перестанет быть проблемой? Что говорит мировой опыт?
– Мировой опыт на самом деле устроен очень просто. Есть определённые цели, где персональные данные можно открыто использовать. И есть цели, где персональные данные открыто использовать нельзя. Например, в целях обеспечения общественной безопасности в большинстве случаев ограничения на использование данных нет. Поэтому полиция и другие аналогичные службы имеют возможность агрегировать большие базы персональных данных граждан. Собирать в том числе то, что формально собирать нельзя. В России ситуация немного иная. Официальная позиция Роскомнадзора – данные можно использовать только в тех целях, в которых они собирались. И там скорее позиция – блокировать любое использование персональных данных. Например, они не дают развиваться в России compline-сервисам, которые проверяют физических лиц при устройстве на работу и так далее.
– Госмонополия?
– Монополия – да. Не знаю, можно ли победить этот рынок быстро. Но какие-то острые вопросы можно было бы снять. Например, история с раскрытием данных по предполагаемым российским разведчикам. Там же была утечка, которую спецслужбы потом и ловили. Каждый раз они горят на том, что нет контроля за собственными системами.
– То есть в том числе вы им помогаете своими выводами? Показываете им, что «штаны у них дырявые»?
– Я не сказал бы, что я помогаю кому-то, кроме самих граждан, ради которых это всё и нужно исправлять. А то, что я делаю за кого-то его работу, за которую он получает деньги, факт. Но это и часть моей работы. Я же возглавляю Ассоциацию участников рынков данных. Там много бизнес-компаний, которые сталкиваются с проблемами.
– Кто ваш лоббист во власти?
– У меня его нет. Но если такой человек появится, то, помимо вопросов корректирования действующих правил, с ним нужно будет в первую очередь обсуждать вопрос баланса того, какие сведения вообще могут быть открытыми, а какие могут быть закрытыми. У нас перетягивается это дело в сторону закрытости.
– В стране, где очевидно повсеместное участие силовиков и столько коррупции, можно вести диалог на эту тему?
– Тут нет вопроса о наличии выбора. Иначе мы рискуем просто испортить всю бизнес-среду. Ещё больше повысить страхи граждан о персональных данных. Государство сейчас ведёт себя как слон в посудной лавке. Очень негуманно. Сколько было проверок удостоверяющих центров в 2018 году? Ни одной! И то, что вскрылось по реестрам сертификатов, ситуация с утечками, то там участвовали больше 17 таких удостоверяющих центров!
– Какие аналогичные угрозы ждут граждан РФ завтра, если всё идёт, как идёт?
– Главное, что в России в процесс превращения персональных данных в товар, процесс, который идёт во всём мире, очень активно лезет само государство. При этом не имея ни квалификации, ни навыков, ни опыта такой работы. Это большой риск. И в такой ситуации утечки персональных данных – самое минимальное, что будет происходить.
– А дальше что? Напугайте нас.
– Зачем мне вас пугать? Я лучше конкретный пример приведу. Сейчас Минкомсвязи занялось идеей создания персональных электронных профилей граждан. Единый реестр населения от Минфина и ФНС. То есть пара-тройка крупных баз, где будет вообще вся информация обо всех. Всё это должно работать в реальном времени. Связывать разные источники. Многие опасаются, что это будут использовать спецслужбы. Но лично у меня это опасение на втором или третьем уровне страхов. На первом же – мотивация законодателей и исполнительной власти в целом. Это значит сокращение обязательств государства и рост налогов. Дальше: властям нужно заниматься извлечением денег из граждан. Предположим, налоговая служба уже сейчас может проанализировать доходы, расходы и оплату налогов гражданина. Сравнить с теми льготами, которые человек имеет. Устанавливают категорию граждан, которая имеет льготы, но получает доход выше допустимого для получения льгот. Какой будет реакция депутатов? А давайте мы у определённой категории граждан по определенным критериям эти льготы уберём. Или это вопрос отслеживания налогов. Сейчас очень многие заняты фрилансом. С фриланса налоги не платятся. И история про самозанятых может превратиться в то, что эти отношения будут автоматизированы. Придумают реестр, сделают автоматическое присвоение статуса самозанятый. Это отслеживание реальной экономической деятельности гражданина. Так что все первые опасения – про деньги. Государство захочет и будет оптимизировать свои соцобязательства. С высокой долей вероятности захочет оптимизировать налоги. Граждане это чувствуют всё сильнее. Диалог с ними нормальный не ведётся. Это же госполитика по систематизации реестров. Но на верховном уровне она не озвучивается. Правительство самоустранилось от публичного диалога. Общаются в режиме лозунгов.
– Кто ещё в России сегодня может опубликовать персональные данные граждан?
– Намекать пока не буду. До конца мая будет опубликован развёрнутый ответ на этот вопрос.
– Вы не торопитесь? Нас же всех «суверенный Интернет» спасёт от козней нехороших людей!
– Нельзя же оскорблять органы власти? Поэтому я эту затею не комментирую. Могу лишь сказать, что у меня цензурного комментария нет. А те сказочные люди, которые внесли этот законопроект, так и остались сказочными. Без дополнительного термина. Просто сказочными.
Николай Нелюбин, специально для «Фонтанки.ру»