Искушение для чиновников. Что не так с единой базой данных о россиянах
Что за базу данных создают власти
Если посмотреть на ЕФИР не через призму теорий заговора, а с технической точки зрения, то новый регистр — это система управления учётными данными государственного масштаба. Правительство взяло курс на цифровизацию, которую подхлестнула пандемия, удалёнка и экономический кризис. И единая база или регистр — закономерный этап этой цифровой трансформации.
«Миниатюры» ЕФИР есть повсюду — данные о нас давно и системно собирают компании и государственные структуры. Бизнес научился работать с колоссальными объёмами такой информации и даже передавать её между странами. ИТ-гиганты, такие как Google и Facebook, вывели технологию на высокий уровень, так что единый государственный регистр в технологическом смысле точно не будет первопроходцем.
Сейчас в России информация о гражданах разложена во множестве баз: данные собирают ФНС, Пенсионный фонд, загсы, МВД, центры занятости, Минобрнауки и другие ведомства. Правительство решило, что данные нужно собрать и структурировать в одном месте. Это будут не только классические персональные данные: ФИО, дата и место рождения и смерти, пол, СНИЛС, ИНН и прочее. Туда же попадут родственные связи, семейное положение, гражданство и цифровые изображения с камер наблюдения.
Также там будут данные:
- о налоговом учёте и регистрации ИП;
- о воинском учёте;
- о регистрации в системе пенсионного, медицинского, социального страхования и в службе занятости;
- данные документов об образовании;
- ссылки на профили родителей, супругов и детей.
Предполагается, что регистр заработает в России с 1 января 2023 года. До 31 декабря 2025 года запланирован переходный период.
Оператором ЕФИР станет ФНС. Данные соберут из МВД, Минкомсвязи, Минобороны, Минобрнауки, Пенсионного фонда, Рособрнадзора, Роструда и государственных внебюджетных фондов.
Глава ФНС Даниил Егоров указал, что физически все данные будут храниться не в одном месте, а распределятся в разных центрах обработки. Закономерно, что информация в ЕФИР будет защищаться согласно ФЗ-152 «О персональных данных» и ответственность за её сохранность будет нести ФНС.
Что беспокоит в этой идее
Замечания к законопроекту возникли ещё год назад. Депутаты, общественные деятели, эксперты и даже ФСБ выступили с критикой — создание единой базы данных о гражданах чревато риском утечек информации.
Защитники закона акцентируют внимание на двух аргументах. Первый: человек с улицы к регистру не приблизится. Запрашивать информацию из базы смогут только государственные и муниципальные органы, избирательные комиссии и внебюджетные фонды.
Во-вторых, как в 2019 году заявил прежний глава ФНС, а ныне премьер-министр РФ Михаил Мишустин, ведомство зарекомендовало себя как надёжный оператор данных — за 19 лет не было ни одной масштабной утечки информации.
Правда, в октябре 2019 года британская исследовательская компания Comparitech сообщила, что в Сети уже год в открытом доступе лежит база с персональными данными 20 млн россиян. ФНС назвала эту новость провокацией, так как формат и структура данных в найденной базе отличаются от применяемых в ведомстве.
Так почему эксперты настаивают на риске утечек из ЕФИР? Дело в том, что к базе регистра без волокиты и задержек смогут на законных основаниях обращаться тысячи госслужащих. По сути, мы получаем подобие огромной организации, сотрудники которой находятся по всей стране и удалённо работают с базой данных.
Хотя официально об утечках в ФНС никто не заявлял, тем не менее на слуху ситуации, когда регистрация в качестве ИП приводит к «телефонной атаке» новоиспечённого предпринимателя от банков. Зачастую происходит это в режиме реального времени: прошла регистрация — через пару минут звонок. При этом сотрудник финансовой организации знает, кто, когда, где и в каком качестве оформил юрлицо. Как такое возможно, если базы ФНС защищены от утечек?
Самое простое и логичное объяснение — данные утекают на периферии, из отделений ФНС. Сотрудник внутри ведомства копирует и перепродаёт данные менеджерам банка. Для этого не нужно что-то взламывать, запускать вирусы или прибегать к дорогим услугам хакеров. Есть покупатель, есть продавец и есть доступный товар. Вложений ноль, спрос постоянный, цены умеренные — порядка пары сотен рублей за набор данных об одном ИП. Ситуация не меняется уже несколько лет. Обращения в Роскомнадзор не особо помогают, а банки и ФНС утверждают, что не понимают, почему так происходит.
Очевидно, что новая общая база будет представлять гораздо большую ценность, чем отдельные сведения, и её покупкой заинтересуются многие предприимчивые граждане.
Как и большинство экспертов, я вижу угрозу именно на периферии. Как известно, спрос рождает предложение: даже если база хорошо защищена от атак извне (надеюсь), защита от инсайдеров изнутри остаётся открытым вопросом, ведь получить информацию через сообщников среди чиновников — элементарно.
Можно ли залатать дыры в безопасности ЕФИР
Специалисты по информационной безопасности сходятся во мнении, что в России в 70% случаев утечка происходит по вине сотрудников. И от этого никуда не деться. Остаётся одно: создать условия, при которых для госслужащего будет не так просто передать данные третьим лицам. И важно это сделать именно сейчас, на пороге запуска ЕФИР.
Здесь поможет только страх перед неотвратимостью наказания вкупе с серьёзными последствиями. Пользователь ЕФИР должен чётко понимать, что любой инцидент будет расследован, а виновник — серьёзно наказан. Но одной лишь неотвратимости наказания мало. Если за слив сотруднику платят условные 5000 рублей, а в качестве наказания предусмотрен только штраф в 500 рублей, то никаких колебаний инсайдер испытывать не будет.
Единый регистр — не что-то уникальное с точки зрения технологий. Собирать и, самое главное, защищать огромные базы данных научились многие компании. При этом даже IT-гиганты не могут гарантировать 100-процентную защиту информации, и у них случаются утечки. Но тем не менее их опыт передовой.
Например, в Google для всех сотрудников, а это 85 000 человек, с 2017 года стали обязательны аппаратные токены — электронные ключи в виде USB-флешки с уникальным идентификатором. Очевидно, что логин и пароль — недостаточные меры для защиты конфиденциальной информации. И понимая её стоимость, в компании установили жесточайший контроль даже за легитимными пользователями — то есть теми, кому доступ положен по службе.
Данные всех граждан России, уверен, являются не менее важной информацией, чем разработки Google, а значит, защищать их нужно соответственно. Технических средств отечественного производства хватает: токены, DLP, SIEM и пр. — дело упирается лишь в юридические нюансы. Использование таких инструментов должно стать обязательным во всех учреждениях для всех сотрудников, которые будут иметь доступ к ЕФИР.
Гарантировать полную защиту информации в какой бы то ни было системе не сможет никто. Но использовать уже наработанные практики и инструменты информационной безопасности при создании регистра — это необходимость. Просто не нужно закрывать глаза на очевидные вещи, особенно когда речь идёт о безопасности граждан и государства.
Коллаж: «Секрет Фирмы» , depositphotos.com