Закон о едином регистре населения спровоцирует утечки данных

Со­вет Фе­дера­ции вче­ра, 2 и­юня, одоб­рил за­коноп­ро­ект о еди­ном ре­гис­тре на­селе­ния. В ре­гис­тре бу­дут хра­нить­ся ба­зовые све­дения граж­да­нах: ФИО, пол, да­та, мес­то рож­де­ния и смер­ти, а так­же рек­ви­зиты этих за­писей, СНИЛС, ИНН, се­мей­ное по­ложе­ние и родс­твен­ные свя­зи. Спе­циа­лис­ты по ин­форма­ци­он­ной бе­зопас­ности пре­дос­те­рега­ют: соз­да­ние та­кой ги­гант­ской ба­зы дан­ных мо­жет спро­воци­ровать утеч­ки. Юрис­ты счи­та­ют, что в та­ком слу­чае граж­да­нам бу­дет слож­но прив­лечь го­сударс­тво к от­ветс­твен­ности.

Вести регистр населения будет ФНС на основании данных МВД, Минобороны, Минобрнауки, ФОМС, ПФР и других ведомств. "В настоящее время в Российской Федерации отсутствует единый централизованный информационный ресурс, содержащий базовые сведения о населении Российской Федерации, а также предоставляющий возможность путем информационного взаимодействия с иными информационными ресурсами получения полных и достоверных сведений о физическом лице, необходимых для реализации, в том числе, контрольной функции налоговых органов", - говорится в пояснительной записке к закону.

Согласно записке, сведения об одном физическом лице в регистре образуют одну запись, которую подпишут усиленной электронной подписью уполномоченного органа. Будет это подпись ФНС или другого ведомства в документе не уточняется. По мнению разработчиков закона, создание ресурса о населении обеспечит достоверность и актуальность информации о гражданах; сократит сроки оказания госуслуг и количество мошенничеств с соцподдержкой и уплатой налогов; повысит собираемость платежей в бюджет страны.

Федеральный закон не прописывает четких технических требований к хранению данных. Это вопрос подзаконных актов, а также практики, так как главным мерилом безопасности хранения персональных данных является наличие или отсутствие утечек, объясняет владелец юридической фирмы "Катков и партнеры" Павел Катков. "В данном случае государство будет оператором персданных и будет отвечать за их сохранность. Особый статус такого субъекта не дает ему специальных прав на разглашение данных. Вместе с тем очевидно, что судиться с ФНС будет сложнее, чем с рядовым оператором персданных", - предупреждает юрист.

Закон о персональных данных в ст. 24 предусматривает возможность возмещения морального вреда. "Была некоторая судебная практика по взысканию морального вреда с организации, которая передавала персональные данные коллекторским агентствам. Но практика взыскания убытков и морального вреда с государства за раскрытие персональных данных мне не известна, - рассказал адвокат Александр Титов. - Кроме того, доказать обстоятельства утечки этих данных именно по вине ФНС на мой взгляд будет довольно сложно".

По его словам, никаких новых сведений о населении государство не получит. База будет их только аккумулировать. То есть как до ее создания, так и после, на сам факт вмешательства государства в жизнь человека новый регистр не повлияет.

"Несмотря на критику данного законопроекта,который позволяет ФНС аккумулировать большие массивы данных, следует признать, что документ носит скорее технический характер, - уверен специалист юридической фирмы Axis Pravo Алексей Сулин. - Единый информационный ресурс формируется для хранения и обработки данных, которыми уже располагают министерства и ведомства. Ресурс не будет содержать сведений, который бы отсутствовали, то есть его ведение по сути не привносит ничего нового. Речь о том, что все эти сведения будут храниться в одном месте. В этой связи вопрос о соблюдении законодательства о персональных данных остро не стоит". Госорганы получат быстрый доступ к максимальному количеству сведений о каждом гражданине.

Обезопасить содержащиеся в базе данные от утечки можно будет в том числе средствами DLP, говорит представитель "Ростелеком-Солар" Алексей Кубарев. "Что касается целостности, здесь применимы средства шифрования, контроля доступа, технологии блокчейна", - предлагает специалист. Директор экспертно-аналитического центра InfoWatch Михаил Смирнов убежден, что более важная задача, чем утечки - обеспечить достоверность данных. "Представьте, кому-то поставят галочку с льготами, кому-то уберут, кому-то изменят статус… То есть защита и документирование этих действий является ключевой в плане обеспечения безопасности информации, особенно при обеспечении межведомственного взаимодействия", - обращает внимание эксперт InfoWatch.

По мнению аналитика компании "Доктор Веб" Вячеслава Медведева, заявленных целей создание еще одного реестра данных достичь не позволит. "База данных создается в целях сокращения времени обмена информации между ведомствами. Но при этом в самих ведомствах зачастую электронный документооборот отсутствует", - напоминает эксперт по информационной безопасности. Таким образом, чтобы сформировать запрос внутри ведомства все равно будут создавать документы и руководство будет утверждать их в бумажной форме и хранить на листах. Искать данные в архиве в случае необходимости также будут без электронного документооборота.

Вячеслав Медведев предупреждает, что создавать такую базу с точки зрения утечек персданных - небезопасно. По словам специалиста, наиболее эффективным было бы создание стандарта на электронный межведомственный документооборот. "Опасно даже не количество баз, а отсутствие единого на них стандарта. Что не позволяет с легкостью интегрировать их в последствии. Утечки же следствие низкой зарплаты. Стоимость данных перекрывает с точки зрения похитителя риски от потери работы", - сказал представитель "Доктор Веб".

Анас­та­сия Сам­со­нова

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Регулирование, Безопасность

Ключевые слова: регулирование, персональные данные