28 августа 2012 г.

В старинном городе Обломове

На Достоевской стороне живет мальчишка (©Сергей «Чиж» Чиграков) Петька, а у него еще есть братик Андрюша и сестренка Татьяна. Петька в третьем классе учится, Андрюша – в первом, а Татьяна – большая, уже в восьмом. Живут они с мамой, а на соседней улице живет любимая бабушка, Елизавета Николаевна, папина мама, которая во внуках души не чает и невестку очень любит. Папу они давно не видели. Петька с Андрюшей думают, что папа деньги где-то далеко на их жизнь зарабатывает, а взрослой Татьяне мама сказала, что папа он них ушел. Навсегда.
Ушел папа и помогать детям перестал, совсем.И где он, ни мама, ни бабушка не знают. Маме посоветовали в суд заявление написать, чтобы папу помог найти и деньги с него на детей взыскать – не просто все же одной троих ребятишек содержать. Суд помог, решение о взыскании алиментов принял, а так как местонахождение папы неизвестно, передал для принудительного исполнения судебным приставам.
Тут как нельзя вовремя и разъяснение из Роскомнадзора про фото должников пришло, мол, развешивайте, где хотите, закон позволяет. Ну, приставы и постарались. А что – современно очень. И единственная в Обломове компания, занимающаяся наружной рекламой, охотно навстречу приставам пошла и плакат о розыске должника разместила.
Первыми о переменах в семье Петьке сообщили одноклассники. «Ага, Петька, теперь ясно, почему у тебя брюки всегда протертые и кроссовки такие старые. От вас папка-то давно ушел, и денег вам не платит!». Новость разнеслась по школе быстро, непосредственные первоклассники придумали речевку для Андрюши и скандировали ее на переменах. Мудрые восьмиклассники Татьяне не говорили вообще ничего. Но смотрели искоса, низко голову наклоня, шушукались и громко хихикали. Конечно, несчастные Череззаборногузадирищенские были не единственными учениками школы, в семье которых не было папы и которым не платили алименты. Но уникальность фамилии в Обломове и огромное фото папы сделали свое дело.
Елизавете Николаевне от места на скамеечке у подъезда подруги-старушки отказали. Более того, теперь она сумерках выглядывает в  в окно, и, если скамеечка свободна, совершает стремительный марш-бросок до магазина и обратно, раз в месяц – на соседнюю улицу к невестке,чтобы поделиться своей трудовой пенсией с внуками. Всем стало «хорошо». Папашу пропавшего, нехороший он человек, конечно, видели в Обломове года три назад.Теперь – каждое утро на трех щитах в центре города, один – аккурат напротив школы.
Все имена, фамилии, названия городов изменены. Любые совпадения случайны. Петьку, Андрюшу и Татьяну жалко. Их маму и бабушку тоже. Но приставы ищут. Говорят, к концу месяца еще два билборда повесят– в горсаду напротив доски почета и у фабрики, где трудится мама.
Кстати, и раньше безо всяких разъяснений в отношении должников не очень стеснялись. Нафото двухгодичной (!) давности – должник, в отношении которого судебногорешения нет. А чего ждать-то? Ясно, что антисоциальный элемент. Кстати, компания в этом городе обломове сопровождалась слоганом «За долги «повесят»».
Приставы развернулись. Они и раньше в школы любили захаживать, чтобы про единоутробного папашу поспрашивать. Год назад, 30 августа 2011 г. «Российская газета» жизнерадостно сообщила, что «находчивый розыскник обнаружил в известной социальной сети страничку сына должника, где было указано место обучения ребенка. Затем приставы разузнали в школе адрес родителей и номера их телефонов». Методичка ФССП уверенно сообщает, что «определение фактического местопребывания должника-гражданина через образовательное учреждение, в котором обучаются его несовершеннолетние дети, является одним из перспективных методов в случае, если должник не проживает по месту своей регистрации». Ага, ага.
А уж теперь – совсем хорошо стало. И вот стройные ряды любителей познакомить общественность с частной жизнью не самых благополучных российских семей дружно пополняют судебные приставы. В Хабаровске, где планируют разместить фото с прочими данными на баннерах и мониторах в местах массового скопления людей, в общественном транспорте. В Набережных Челнах, где для этого подобрали неплохое место – мост Пединститута и при доброй воле типографии (а куда она денется?) собираются выпустить листовки про должников, на Ставрополье, где собираются использовать весь спектр возможностей публикации фото, от СМИ до Интернета, и еще во многих других городах и весях.
Бог в помощь.
Вот только подумайте про семью Череззаборногузадирищенских, мучительно ищущих способ продажи квартирки в Обломове и переезда в другой город, подальше от добрых дядей-приставов и детей-одноклассников, как известно, в определенном возрасте и в стае не знающих жалости.
Я уже писал об этой проблеме и высказывал свою точку зрения. И не надо обвинять меня в сочувствии должникам и уклонистам. Я их не люблю и никоим образом не оправдываю. Но у них есть семьи, которым жить, может быть, иногда – отдельно. Любая служба допускает ошибки, и ФССП тоже. Не все решения правосудны.
А пока из текста, цитируемого в Интернете, можно построить следующую цепочку:
· обработка биометрии (фото) (часть 2 ст.11 ФЗ-152) может осуществляться без согласия субъекта персональных данных в связи с исполнением судебных актов;
· обработка персональных данных в соответствии с п.3 ст.3 того же закона включает распространение - раскрытие персональных данных неопределенному кругу лиц;
· судебные приставы могут распространять без ограничений (публиковать) фото должников;
· в соответствии с п.5 части 1 ст.6 ФЗ-152 обработка персональных данных без дополнительного согласия необходима для исполнения договора, стороной которого является субъект;
· обработка включает распространение;
· сторона, с которой субъект заключил договор, вправе распространять его данные без ограничений;
· и так далее, включая распространение особых категорий персональных данных во всех допустимых случаях обработки.
То есть, если можно обрабатывать – значит, можно и распространять. Между тем, для для распространения персональных данных закон предусматривает всего 3 допустимых случая:
· доступ к данным предоставлен субъектом или по его просьбе;
· данные подлежат опубликованию в соответствии с федеральным законом;
· данные подлежат обязательному раскрытию в соответствии с федеральным законом.

Может быть, все-таки опубликовать открыто это самое разъяснение про фото должников, чтобы все понимали о чем речь. Мы так далеко можем пойти. Но почему-то не хочется.

22 августа 2012 г.

… о которой так долго говорили, свершилась?

Бесконечные дискуссии о самых разнообразных аспектах обработки персональных данных, ведущиеся последние пять лет везде, где только можно их вести, дали, наконец, реальные плоды. Даже самый последний двоечник и полный лузер теперь знают, что персональные данные – один из самых простых способов отъема денег у государства и его населения. То, о чем так долго говорили, свершилось?

Еще в начале лета тревогу забили специалисты аналитического подразделения нашего агентства, мониторящие публикации по вопросам информационной безопасности. Количество противоправных действий и преступлений, связанных с использованием паспортных данных, начало стремительно расти. Люди научились использовать обычные сведения из документов, удостоверяющих личность, для быстрого обогащения.

И вот уже способный житель Самары, приобретя на местной горбушке компакт-диск со сведениями о горожанах, оформил 78 ничего не подозревающих граждан к себе на работу, заключил с Центром занятости населения договор об участии в программе по организации временного трудоустройства безработных, предусматривающий их привлечение к общественным работам, и получил за это из федерального и областного бюджетов 2 млн. рублей. По похожей схеме действовали начальник отдела и ведущий инспектор Центра занятости населения ЮЗАО Москвы. Они подыскивали регистрационные и уставные документы фирм, которые не вели хозяйственную деятельность, предоставляли от их имени в Центр занятости заявки на участие в программе по организации временного трудоустройства безработных, а также паспортные данные лиц, желающих найти работу. Дальше – понятно: договор между Центром и предприятием, перечисление денег из центра и т.д. Пикантная подробность – один из участников группы, предприниматель, ранее судимый за мошенничество, обеспечивал получение в различных банках столицы банковских карт на «трудоустроенных» граждан, на которые казначейство Москвы перечисляло деньги. И никто в банках и казначействе ничего не подозревал. Такая вот слепая вера в честность.

Научились мошенники тянуть деньги из Российского союза автостраховщиков (РСА), предъявляя поддельные документы об уступке прав требования автовладельцами, пострадавшими в ДТП, которые были застрахованы в страховых компаниях с отозванными (и не только) лицензиями. И там речь идет о миллионах рублей. А вот страховая группа «Адмирал», лишенная лицензии на страхование автомобилей, «забыла» вернуть в РСА 21 тысячу чистых бланков полисов ОСАГО. Между тем, РСА уже выплатил компенсации по обязательствам «Адмирала» на сумму 27,9 миллиона рублей при общем объеме обязательств до 153 миллионов. По информации «Прайм-ТАСС», теперь мошенники предлагают потерпевшим выкупить у них право на получение выплаты от «Адмирала», а затем используют персональные данные страхователей и подложные документы для взыскания денег с РСА. Описание: rbullet

В Смоленской области пачками выдавали автокредиты на владельцев утраченных и похищенных паспортов. Украли у трех не самых последних российских банков 130 миллионов рублей знающие люди, среди которых советник по защите бизнеса ООО «РусфинансБанка», через который эти денежки и выводились. Похожим способом орудовали две дамы в Южноуральске. Одна из мошенниц, работавшая в салоне сотовой связи, оформляла потребительские кредиты по украденным паспортам, а другая на полученные кредитные средства приобретала телефоны, ноутбуки и сбывала их. По той же схеме действовал и кредитный эксперт одного из банков Якутска, также оформлявший фиктивные кредиты, используя паспортные данные клиентов.

Председатель правления Республиканской общественной организации по защите прав заемщиков Башкирии, получив (видимо, ввиду слабой осведомленности персонала в вопросах безопасности) сведения о 40 тысячах клиентов одного из банков г.Уфы, под угрозой их распространения и причинения ущерба деловой репутации банка потребовал от банка оплаты его знаний, умножающих скорбь – всего-то 10 млн. рублей, и оформления автокредитов на приобретение двух автомобилей «Мицубиси» общей стоимостью 4 400 000 рублей с условием погашения их банком. Ну, это по-нашему: кто что охраняет, тот то и имеет. Охранял права заемщиков, так что же, им, этим правам, а заодно и сведениям о владельцах, зря пропадать? Монетизировать их, монетизировать…

Это примеры всего трех летних месяцев. Список можно продолжать долго, но настораживает то, что количество случаев мошенничества идет по нарастающей. Все они прямо связаны с использованием паспортных данных граждан. Между тем их копирование паспортов приобрело в стране масштаб стихийного бедствия. Паспорта без всякого согласия и обоснования кладутся на ксероксы в гостиницах при заселении и в кассах при покупке билетов, при выписке пропусков в каждый захудалый офисный центр, который еще вчера был хлебопекарней, а сегодня охраняется как режимный объект, копируются они и при каждой операции в банке. Я тут вежливо поинтересовался, почему при закрытии депозитного счета, открытии нового и переноса на него денег без моего физического контакта с ними с паспорта пять раз сняли копию. Грозно сославшись на инструкцию Банка России, ознакомить меня с ней отказались.

Между тем, за все время действия ФЗ-152 «О персональных данных» (а это пять с половиной лет!) в России не вышло ни одного документа, хоть как-то регламентирующего порядок копирования паспортов, хранения и использования копий. И каждый раз гражданину приходится выбирать – поселиться в забронированную гостиницу или идти с чемоданом искать более лояльную, забрать деньги из банка в обмен на копию паспорта или оставить их банку навсегда. Казалось бы, вот оно поле для приложения усилий уполномоченного органа, защищающего права субъектов. Но пока все ограничивается вялым штрафованием банков за наличие на копии паспорта фото как биометрических данных, на что отсутствует письменное согласие владельца. А сами-то копии зачем сделаны и хранятся? И сколько их у банка? И как они учтены? Кем? Где?

Вопросы без ответов…

Можно, конечно, жаловаться. Но об том – в следующий раз.

20 августа 2012 г.

Изменения законодательства в области информационной безопасности и практики его правоприменения

Обзор основных изменений российского законодательства за последний год и практики его правоприменения судами, прокуратурой и надзорными органами – основная цель вебинара, который пройдет 6 сентября 2012 года.

Вебинар ориентирован на специалистов, которые хотят получить общее представление обо всех произошедших в последнее время законодательных изменениях, а также понимание их влияния на бизнес организаций, в которых они работают.

Ведущий вебинара – М.Ю. Емельянников, Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры», автор более 200 публикаций в СМИ, по проблемам информационной безопасности, эксперт Консультационного совета Ассоциации российских банков по проблемам законодательства о персональных данных. Автор и тренер первых в России учебных курсов по вопросам защиты коммерческой тайны и персональных данных.

В программе вебинара:

• Наиболее значимые изменения российского законодательства в области информационной безопасности за последний год. Причины, направленность, возможные последствия изменений.

• Законодательство о персональных данных. Федеральный закон ФЗ-261 – новая редакция закона «О персональных данных», а не перечень поправок. Изменение базовых подходов к обработке персональных данных и правовых оснований для нее. Расширение круга персональных данных, доступных для неограниченного круга лиц и обрабатываемых без согласия субъектов (обязательное медицинское страхование, образование, исполнительное производство и др.).

• Есть ли в российских законах понятие конфиденциальной информации и что это такое?

• Ограничение доступа к информации о деятельности органов государственной власти и местного самоуправления. Его правомерность в условиях отсутствия закона о служебной тайне.

• Информационная безопасность при предоставлении государственных и муниципальных услуг в электронном виде. Обработка персональных данных при оказании государственных услуг.

• Информационная безопасность национальной платежной системы. Требования, регуляторы, ответственность.

• Лицензирование деятельности в области информационной безопасности – новый закон, новые положения.

• Обязательная сертификация средств защиты информации как форма оценки соответствия.

• Можно ли легально использовать зарубежные криптографические средства на территории России.

• Парадоксы правосудия – коммерческая тайна и персональные данные в российских судах. Закономерности и уникальные решения.

• Уступка прав требования и агентские схемы взыскания задолженности с физических лиц через призму персональных данных.

• Контроль, надзор и проверки. К чему готовиться, кого ждать.

Организатор вебинара - Учебный центр «Информзащита» обращает внимание заинтересованных специалистов, что системно, основательно и в прикладном аспекте вопросы, анонсированные в программе вебинара, рассматриваются в рамках различных курсов центра, в первую очередь – по тематике коммерческой тайны и персональных данных.

Вебинар состоится 6 сентября 2012 года, начало – 11:00. Продолжительность вебинара – 1,5 часа. Участие в вебинаре бесплатное, при условии предварительной регистрации на сайте Учебного центра «Информзащита».

15 августа 2012 г.

Не по дороге с облаками

В течение последней недели как-то слишком часто попадаются статьи и заметки про облачные вычисления. Все, как на подбор – негативные, зато от людей и компаний, статус которых требует доверия как минимум. То Стив Возняк озаботится, то Гартнер холодненькой водичкой плесканет, а Наташа Храмцовская про это расскажет.

Периодические всплески интереса к любой теме – дело обычное. Но, почитав последние материалы, поймал себя на стойком déjà vu. Все это писалось и год, и два назад. Одними и теми же словами, применительно к одним и тем же ситуациям. С одной стороны, продавцы облачных сервисов убеждают нас, что корпоративные заказчики уже просто-таки рвутся в облака, с другой – за все эти годы нет ни одного внятного, обоснованного и убедительного ответа на крайне простые, очевидные вопросы:

1. Что происходит с данными, загруженными в облако, после выполнения действий, назначенных заказчиком (обработки, проведения вычислений, нажатии клавиши Delete на компе пользователя, работающего с облачной инфраструктурой)?

2. Какими конкретно механизмами обеспечивается разграничение доступа к информации в облаке между пользователями всех этих SaaS/IaaS/PaaS и вообще XaaS, кто и как подтвердил их надежность?

3. Что там с виртуальной архитектурой внутри облака, атаками на гипервизор, супер-пользователями и почему бы им не продать нашу информацию конкурентам, которые получают все по запросу здесь же?

4. Кто и как управляет ключами шифрования при закрытии канала передачи данных в облако? Почему это не АНБ/ЦРУ/Моссад/ФСБ/BND/MI5-MI6 (список продолжите сами)?

Перечень вопросов, сами понимаете, не исчерпывающий. И касается он только конфиденциальности. Но, как только вы поднимаете глаза вверх и смотрите на белогривых лошадок, у любого ИТ- или ИБ- директора в здравом уме и твердой памяти появляются нехорошие мысли про доступность и целостность. Перечень вопросов стремительно растет:

5. Кто конкретно и как отвечает за неизменность ваших данных в облаке? Чем это подтверждается?

6. Что вы будете делать, когда у вас не окажется доступа к интернету?

7. Что вы будет делать, когда провайдер откажет вам в услуге?

8. Что вы будете делать, когда ваши данные бесследно исчезнут?

9. Что вы будете делать, когда решите «найти себе другого провайдера, честного» и мигрировать к нему? Как вы перенесете свои данные и перенесете ли вообще?

Все эти годы вдвижения новых сервисов в умы и деньги заказчиков вместо ответов мы получаем то, что классик мировой революции называл эклектической похлебкой – общие слова про колоссальный опыт и ответственность разработчиков, огромное количество специфических облачных решений безопасности, описать которые «в данном интервью (статье, выступлении) не представляется возможным из-за ограничений во времени» (при том, что 95% их – маркетинговая лапша на уши), про неизбежность научно-технического прогресса и светлое будущее аутсорсинга всего, не относящегося к основной деятельности – в частности.

Я сам на всех своих курсах, переходя к разделу аутсорсинга безопасности, говорю о том, что история развития человечества – это история развития аутсорсинга, от первобытно-общинной семьи с забитым мамонтом как основным средством существования через коврики под автомобилями 20 века в воскресные погожие дни к «Check engine. Code 235709» сегодня. Все так.

Но отсутствие внятных ответов на все выше поставленные вопросы заставило меня вернуться к собственному посту и презентации годичной давности.

Я не нашел не только 33, но и 3 отличия от того, что происходит сегодня. Для информационных технологий и информационной безопасности с точки зрения нейтрализации возникающих угроз год – период огромный. И если за это время на технологические вызовы нет соответствующей реакции, зато заметен рост агрессивности маркетинга, это неспроста. И у меня, как безопасника, появился новый вопрос. Провайдеры облачных услуг, а как и где заказчик может познакомиться с логами событий безопасности, связанными с его конкретно данными? Они вообще-то есть? И как там с таргетированными атаками, всякими новыми Stuxnet’ами, Flame’мами, Gauss’ами? Ведь красть с колхозного поля всегда легче, чем с личной делянки - оно большое, с чужой картошкой и спать хочется в конце концов.

Боюсь, что до получения не просто ответов, а обязательств, закрепленных в договорах с провайдерами, публичные облака останутся областью применения для почтовых сервисов и личных файлов, а про международные корпорации, перенесшие в них свою информационную инфраструктуру (названия, по понятным причинам, не раскрываются), нам придется верить продавцам воздуха облаков на слово. Публичных, потому что чем отличается частное облако от обычного коммерческого ЦОДа, я внятных объяснений за все это время, ни разу так и не услышал. Ну, кроме системы расчетов за представленные услуги, конечно.

3 августа 2012 г.

Опять про фото, биометрию и исполнительное производство

На сайте Службы судебных приставов вчера появилась интересная публикация.
В ней сообщается, что Роскомнадзор в ответ на обращение директора Федеральной службы судебных приставов А.О.Парфенчикова дал заключение, что судебные приставы имеют право распространять фотографии должников. Попутно там же сообщается, что фотографии относятся к  биометрическим персональным данным, поскольку характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
На сайте Роскомнадзора и портале «Персональные данные» найти следов этого ответа судебным приставам не удалось.
Между тем сообщение весьма знаковое. В нем содержится целый ряд серьезных выводов, применение которых на практике может иметь значительные последствия.
Первое. Фотография – не важно какая - цифровая или аналоговая на бумаге – это биометрические персональные данные. Я, собственно, давно в этом был уверен при одной оговорке – это биометрия, оборот которой регулируется ФЗ-152 «О персональных данных» только в случаях, когда фото используется оператором для установления личности субъекта. Поэтому паспорт (не биометрический в том числе), пропуск с фотографией и листовка «Разыскивается» - суть носители биометрических персональных данных.
Второе. ГОСТ Р ИСО\МЭК 19794-5-2006, на который так любят ссылаться некоторые оппоненты, проводя границу между фото-биометрией и фото-не биометрией, абсолютно не при чем. Можно по фото опознать человека (установить личность) и оно используется именно для этого – значит, биометрические персданные.
Третье. Фото, подпадающее под это определение, может быть абсолютно любым - из документа, личного дела, бытовое, в том числе выложенное в социальной сети самим субъектом. Про использование социальных сетей для поиска должников приставами уже написано-переписано много чего. Какое найдут приставы фото – то и будут использовать для размещения там, где посчитают нужным. И это мне также представляется совершенно очевидным.
И, наконец, самое важное – четвертое. И с ним далеко не так просто, как с первыми тремя выводами. Приставы ссылаются на часть 2 ст.11 ФЗ-152, допускающую обработку биометрических персональных данных без согласия субъекта в связи с исполнением судебных актов. Вопросов нет – приставам согласия должника на использование (вид обработки по закону) его фото, конечно,  получатьне надо. Но, как известно, в ФЗ-152 содержится масса норм, допускающих сколь угодно широкое их толкование. К способам обработки персданных относится, в том числе, и их распространение – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Т.е. формально все вроде бы пока правильно.
Но, с другой стороны, опубликование персональных данных в том смысле, как оно видится в сообщении Службы судебных приставов – это включение биометрических персональных данных в общедоступные источники, типа доски почета за территорией завода, но только наоборот. А на это надо уже письменное согласие субъекта, которое может быть в любое время отозвано. Исключение из этого правила – в п.11 части 1 ст.6: обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом. А вот тут - загвоздка. С 1 января этого года вступили в силу изменения в Федеральный закон от 02.10.2007 N 229-ФЗ «Об исполнительном производстве», предусматривающие создание и ведение Федеральной службой судебных приставов, в том числе в электронном виде, банка данных, содержащего сведения, необходимые для осуществления задач по принудительному исполнению судебных актов, актов других органов и должностных лиц.
Проблема же в том, что закон (статья 6.1) определяет исчерпывающий, закрытый перечень сведений этой самой базы данных, которые являются общедоступными. Ну, и вы, конечно, уже догадались – фото в этом перечне нет. Совсем.
Не в первый раз органы исполнительной власти расширили сферу применения федерального закона на основании своего мнения, писем и заключений. Но что-то подсказывает, в этот раз просто не получится.