Неизгладимые отпечатки пальцев
Как в России персональные данные утекают через сферу образования
В октябре в нескольких подмосковных школах ученики восьмых классов прошли тест на выявление профессиональных навыков. Для этого представители корпоративного университета «Синергия» сняли их отпечатки пальцев. После разразившегося скандала и заявления Роскомнадзора о начале проверки в вузе заявили, что не имеют отношения к тесту, хотя договоры на проведение профориентационных мероприятий у «Синергии» заключены сразу с несколькими подмосковными учебными заведениями. О том, чем отличается «узор пальчика» и «отпечаток пальца», почему школьники ответственны почти за половину осенних DDoS-атак и как государство собирает и анализирует персональные данные через образовательные системы — в материале корреспондента “Ъ” Ксении Мироновой.
Не отпечатки, а «узор пальца»
28 октября 2019 года в гимназии №2 подмосковного Красногорска обычный урок труда был заменен на занятие по профориентации. Приглашенная сотрудница корпоративного университета «Синергия» Ксения объяснила ученикам восьмого класса, что они должны пройти тест на выявление талантов. Для этого каждого из детей девушка просила назвать имя, фамилию, номер телефона и электронную почту, после чего при помощи специального устройства сканировала пальцы. По словам Натальи Кан, мамы одного из учащихся, уже через 20 минут после сканирования ее сын получил по электронной почте письмо с результатами исследования. В них отмечались его небывалые ораторские способности, и было указано, что ему больше всего подходит должность президента страны.
Результаты полного обследования на 17 листах можно было получить за дополнительную плату, при этом результаты «даже близко не совпадали с реальными способностями», рассказывает Наталья. Она не была в курсе исследования и не давала согласия на сбор данных ребенка. По словам матери еще одного ученика, Александры Французовой, у ее сына также снимали отпечатки пальцев и просили персональные данные. Он не смог объяснить, представители какой организации проводили исследование, однако в pdf-файле с результатами теста были указаны реквизиты компании Genetic-test и университета «Синергия». Еще одна мама, пожелавшая остаться анонимной, рассказала, что ее дочь спрашивала, можно ли отказаться от тестирования, но ей сказали, что его прохождение обязательно.
Ксения из «Синергии» в разговоре с “Ъ” отметила, что тест — это «определение наклонностей по линиям пальца, а не сбор базы данных», в чем корреспондент “Ъ” может «убедиться в интернете». Согласно информации на сайте Genetic-test.ru, предлагающем «протестировать ребенка прямо сейчас» при помощи одного из «научных способов определения особенностей и склонностей конкретного человека» дерматоглифики, для тестирования используется оборудование именно для снятия отпечатков пальцев. Комиссия РАН по борьбе с лженаукой и фальсификацией научных исследований еще в 2016 году установила, что «приемы, используемые для рыночного продвижения дерматоглифического тестирования, несут целый ряд признаков лженауки». Ксения заявила “Ъ”, что ей о позиции РАН ничего не неизвестно.
Отпечатки пальцев человека являются биометрическими персональными данными, обработка которых осуществляется только в случаях, установленных федеральным законом от 25.07.1998 №128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации». За последние несколько лет Роскомнадзор уже запретил деятельность Genetic-test на территории 44 субъектов Российской Федерации. Тем не менее в 2018 году представители компании снова пошли по учебным заведениям. Тогда министерство образования Карелии предупредило родителей школьников и педагогов, что в республике работают представители фирмы, которая без согласия взрослых собирает биометрические данные детей.
Незаконность подобного сбора информации, особенно касающейся несовершеннолетних, в сфере образования понимают не все. Ирина Штейнберг, директор красногорской гимназии, где проводился тест, заявила “Ъ”, что у школьников не снимали отпечатки, а лишь «сканировали узор пальца». На вопрос, чем «узор» отличается от отпечатка, она ответить не смогла. Правда, позже все же заявила, что сбор данных детей без разрешения родителей недопустим. Ирина Штейнберг также сказала, что у школы есть договор с «Синергией», и институт не первый год проводит семинары и готовит учащихся гимназии к ЕГЭ. Она отметила, что подобный тест «Синергия» проводит в большинстве школ Московской области.
После того как из-за сбора отпечатков разгорелся скандал, а в Роскомнадзоре заговорили о проверке в отношении Genetic-test и «Синергии», ректор вуза Артем Васильев заявил СМИ, что университет не сотрудничает с этой компанией. Однако Ирина Штейнберг заявляет, что в гимназию приходила именно сотрудница «Синергии» (в вузе отказываются называть ее фамилию), а у красногорских школ №11 и №15 также есть договоры на сотрудничество с «Синергией» в сфере профориентации. Заместитель по безопасности «Синергии» Сергей Захаров приходил в гимназию №2 и, отвечая на вопросы родителей, рассказал свою версию произошедшего: сотрудница вуза «проявила инициативу, которую ни с кем не согласовала», взяв аппарат, который «приобрела на Царицынском радиорынке». Вузу, по словам Захарова, просто незачем хранить эти данные, так как «и применить их негде».
Корпоративный университет «Синергия» впервые обратил на себя внимание СМИ в 2018 году, когда в качестве приза за третье место в бизнес-марафоне его организаторы пообещали «бизнес-ассистенток близняшек сроком на год». После обвинений в сексизме университет заменил приз на возможность выступить с лекцией в спорткомплексе «Олимпийский». В 2019 году стало известно, что «Синергия» получит из бюджета более 1 млрд руб. на подготовку бизнес-тренеров и обучение региональных чиновников. Целевой аудиторией проекта должны стать женщины, бывшие военные, безработные и школьники. В июле 2019-го ФНС из-за долгов перед бюджетом приостановила операции по счетам как минимум шести компаний, связанных с «Синергией».
Специалисты с таким мнением не согласны.
Эксперт RTM Group Евгений Царев говорит, что «есть, и очень существенная» вероятность того, что после достижения учениками совершеннолетия собранные в школе данные будут использованы.
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов отмечает, что независимо от того, для какой цели производится сбор биометрических данных, нормативные документы требуют шифровать их при передаче по сетям связи с помощью сертифицированных средств криптографической защиты. «Оператор не может просто попросить человека сделать отпечатки пальцев на листе бумаги, отсканировать этот лист и загрузить изображение на сервер — перед отправкой на сервер отсканированное изображение требуется зашифровать или подписать, причем именно сертифицированным средством защиты»,— поясняет он.
В ряде случаев операторы обрабатывают биометрические персональные данные в обезличенном виде, например отпечатки пальцев без дополнительной информации, которая позволила бы установить личность. «Риски утечки незначительны — подобных обезличенных отпечатков можно набрать в любом количестве на любой гладкой поверхности с помощью кисточки, реактивов и фотоаппарата. Но кроме утечки есть еще, например, и риск подмены данных при их передаче или в процессе их обработки. Размер такого риска зависит от того, для чего эти биометрические данные используются. Например, эталонные образцы изображения лица и голоса в единой биометрической системе тоже обезличены, но их подмена потенциально позволила бы мошенникам получать доступ к банковским счетам клиентов банков по своим биометрическим данным»,— говорит Дмитрий Кузнецов.
По словам Ярослава Жиронкина, руководителя направления управления доступом Центра прикладных систем безопасности компании «Инфосистемы Джет», в отличие от рисунка вен или радужной оболочки глаза биометрия по отпечатку пальцев сегодня является одним из наиболее легко подделываемых видов биометрической аутентификации. Председатель Ассоциации участников рынков данных Иван Бегтин поясняет, что главная проблема отпечатка пальца — то, что он «остается с вами навсегда»: «Можно перевыпустить пароль, ключ, что угодно, но не отпечаток пальца».
По словам юриста Александра Иноядова, собранные данные помимо мошенников могут также использовать торговые и образовательные сервисы, религиозные общины или некоммерческие организации.
«Сохранение таких данных государством тоже возможно, но требует подробного информирования о целях получения»,— говорит эксперт.
Сбор биометрических персональных данных несовершеннолетних возможен только с письменного согласия их представителей. «Отказ от выполнения данной нормы является грубейшим нарушением не только законодательства о персональных данных, но и прав детей, что должно строго преследоваться Роскомнадзором. Кроме того, наказанию подлежит и руководство школ, которое должно стоять на страже интересов ребенка, а не потакать незаконному сбору биометрических персональных данных»,— считает бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. Несмотря на контроль со стороны Роскомнадзора, за нарушение закона о персональных данных предусмотрены только штрафы, как правило, не превышающие 75 тыс. руб. для юридических лиц.
Так как в случае с Genetic-test и «Синергией» именно руководство школ не видит проблемы в сборе данных учеников, то, по словам Ивана Бегтина, единственный выход: «Министерству просвещения или Рособрнадзору разослать директорам пояснения с предупреждением об ответственности, а затем проверить, проводилась ли разъяснительная работа с директорами».
Перехватить школьника, чтобы он не сбежал за рубеж
Попасть к третьим лицам персональные данные могут не только при неправомерном их сборе, как в случае с «Синергией», но и если их планировали использовать только внутри образовательной системы. К примеру, в середине октября 2019 года стало известно о взломе базы данных интерактивной образовательной онлайн-платформы «Учи.ру». В свободном доступе оказались 50 тыс. аккаунтов с именами, телефонами, адресами электронной почты и паролями школьников, зарегистрированных на платформе. «Учи.ру» используют ученики из всех регионов России, компания активно сотрудничает с Министерством просвещения РФ.
В компании утверждают, что зафиксировали внешнюю организованную кибер-атаку на их сайт, в результате которой злоумышленники получили данные только учителей (ФИО, телефон, e-mail и пароль в зашифрованном виде), доступа к данным детей злоумышленники не смогли получить. «Данные в зашифрованном виде не дают возможность мошенникам получить доступ к личным кабинетам пользователей. Уязвимость была устранена в течение часа с момента обнаружения»,— говорят в «Учи.ру».
Министерство просвещения совместно с Министерством цифрового развития РФ подготовило в 2019 году проект приказа, утверждающего создание федеральной платформы цифровой образовательной среды (ЦОС). Это платформа для взаимодействия школьников, родителей, учителей и административно-управленческого персонала, разработанная в рамках национального проекта «Образование». Согласно проекту, для каждого из участников образовательного процесса будет заведено цифровое портфолио, а государство через ЦОС сможет проводить «мониторинг прохождения образовательных программ» и «объективное оценивание навыков и достижений пользователей, основанное на анализе данных».
Иван Бегтин объясняет, что сама по себе такая инициатива объединения данных может быть полезна: «Закон о персональных данных в России очень сильно ограничивает что бизнес, что государство, в самых разных, зачастую даже вполне благих задачах. В каких-то областях он накладывается на закон о врачебной тайне, в каких-то — о тайнах следствия. Но чтобы отслеживать глобально тенденции и менять госполитику в какой-то области, нужно иметь данные и о других сферах, понимать, как они коррелируют с твоей, а у Министерства просвещения, к примеру, нет доступа к данным Министерства здравоохранения и т. д.».
В проекте ЦОС представлены разработанные примеры анкет для каждого из участников образовательного процесса. Помимо персональных данных, «обучающийся», «учитель» и «родитель» должны будут указать в анкете ссылки на свои аккаунты в социальных сетях. В анкете «Обучающийся» кроме данных об успеваемости нужно будет указать своих репетиторов, перечислить одноклассников и заполнить графу «Правонарушения, учет». Для профилей «Учитель» и «Родитель» также предусмотрены поля «Водительское удостоверение» и «Загранпаспорт». В Министерстве просвещения утверждают, что такой сбор данных позволит существенно упростить получение государственных и муниципальных услуг в сфере образования, в том числе в электронном виде», а данные будут собираться с согласия участников.
«Другая сторона такого сбора информации,— поясняет Бегтин,— это большая возможность для манипуляций. От возможности предлагать вам рекламу детских товаров до хантинга, когда корпорации, обладая информацией об успеваемости по определенным предметам, смогут школьника перехватить еще на взлете, чтобы он не сбежал за рубеж. Данные же, к примеру, о водительских правах родителя, на самом деле тоже о многом говорят — это же косвенный признак достатка».
По словам директора по развитию разработчика программно-аппаратных средств информационной безопасности «Актив» Владимира Иванова, сбор данных в школах через систему распознавания лиц — «не менее важная тема, чем отпечатки пальцев».
Если в России ее введение предусмотрено целями цифровой школы, заложенными в нацпроект, то в некоторых европейских странах за подобную систему, «наоборот, есть ответственность». Так, летом 2019 года в Швеции школа получила штраф €20 тыс. за введение системы распознавания лиц. Учащиеся дали согласие на ее использование, но шведская Инспекция по делам компьютерных регистров (Datainspektionen) все равно посчитала использование системы незаконным.
Как все собранные в школах данные будут охраняться, экспертам пока не ясно. По словам Нелли Томашевской, руководителя юридической фирмы «Томашевская и партнеры», несмотря на то, что законодательное регулирование сбора персональных данных в России «крайне запутанно», «надо понимать, что обработка персональных данных не всегда требует согласия гражданина». Обучение ребенка в школе — как раз такой случай, и некоторые его данные, если они будут использоваться только для образовательного процесса, можно собирать и без согласия родителей.
Сбор данных родителей школьника, например их СНИЛС, которые не нужны для самого процесса обучения, требует письменного согласия, поясняет Томашевская. По ее словам, родителям необходимо зарегистрироваться на портале госуслуг для доступа к «Электронному дневнику», но «нужно знать, что доступ к государственным и муниципальным услугам (к которым относится и "Электронный дневник") осуществляется в заявительном порядке», то есть это право, а не обязанность родителя: «Любое принуждение здесь недопустимо».
Госпожа Томашевская отмечает, что «ситуации, когда школа требует у учеников или родителей передать данные через общедоступные сети, например по WhatsApp или СМС», также незаконны: «И персональные данные, и согласие на их обработку должны передаваться лично субъектом во избежание утечек и нарушения требований к обработке данных».
По словам управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры», Михаила Емельянникова, образовательные учреждения по своей инициативе или «по команде сверху» постоянно предпринимают попытки собрать о детях как можно больше сведений, в том числе «крайне чувствительных», таких как обстановка в семье, наличие хронических больных, уровень жизни, употребление алкоголя и табака, данные о совместно проживающими с детьми лицах: «Цели такого сбора не всегда понятны, о порядке использования таких сведений, организации их защиты от неправомерных действий всегда умалчивается».
Соучредитель профсоюза «Учитель» Всеволод Луховицкий говорит, что родители при поступлении ребенка в школу уже дают согласие на обработку его персональных данных. «Единственный вариант, который, как мне известно, раньше касался вмешательства в частную жизнь учеников,— это хождения учителей по родительским домам: учителей обязывают ходить по домам и записывать сведения о детях. Вот по этому поводу бывают конфликты с учителями»,— рассказывает эксперт. При этом он отмечает, что «гораздо хуже» обстоит ситуация с персональными данными учителей:
«Самая главная информация об учителе — это информация о том, где и как он работал. Я говорю о той самой "черной метке", которая до сих пор существует в Москве, доступ к которой имеют все директора школ: это нарушение, связанное именно с персональными данными».
Московские учителя утверждают, что работодатели используют «черную метку» в Универсальной автоматизированной системе бюджетного учета, однако в департаменте образования Москвы говорят, что «значение "Нет" в графе "Рекомендации" означает отсутствие у работника рекомендации от работодателя, а не ее отрицательный характер».
«Когда создается система, в которой агрегируется большое количество персональных данных, причем разного рода, и эта система является общедоступной,— риски утечки есть всегда. Единственное, что вы можете сделать,— не сообщать лишних данных. Когда я заезжаю в отель, я называю фамилию, имя, отчество, и электронный адрес, который у меня заведен специально для таких случаев — и все. Не стоит распространять самому лишнюю информацию»,— объясняет Иван Бегтин.
В Министерстве просвещения “Ъ” заявили, что персональные данные, необходимые для образовательного процесса, собираются в личные дела школьников и учителей. Это информация, необходимая для поступления в школу, данные электронных журналов и дневников, информация о контроле прохода в здание и о питании. В школах также хранится контактная информация для связи с родителями. Ответственность за сохранность данных несет само учебное заведение. «Большинство программ, которые используются в образовательном процессе, не используют персональные данные»,— утверждают в министерстве.
В Минобрнауки РФ “Ъ” рассказали, что при поступлении абитуриенты предоставляют персональные данные, в том числе о гражданстве, паспортные данные, результаты ЕГЭ, сведения о необходимости создания для поступающего специальных условий, а также данные о медицинском обследовании. При этом вуз обладает автономией, и его руководство самостоятельно определяет, какие данные собирать. Во время обучения на каждого студента заводится личное дело, где хранятся его персональные данные. Как правило, срок хранения таких личных дел в образовательной организации составляет 75 лет. Вуз сам должен обеспечить сохранность персональной информации студентов и сотрудников.
Для абитуриентов, как правило, проблемой является утечка не персональных данных, а информации о заданиях ЕГЭ. Последний раз о ней завил обладатель звания «Учитель года-2007» Дмитрий Гущин: в 2018 году он сообщил о массовой утечке заданий ЕГЭ по математике. В комментариях под его постом в социальной сети около 400 человек написали, что часть заданий у школьников действительно практически полностью совпала с опубликованными заранее в сети задачами. Однако позже Дорогомиловский суд Москвы обязал Дмитрия Гущина опровергнуть информацию об утечке заданий по ЕГЭ до экзаменов. Суд признал, что утверждения Дмитрия Гущина, опубликованные на его странице в «ВКонтакте», не соответствуют действительности и порочат деловую репутацию Рособрнадзора. В российской судебной практике также было несколько случаев, когда за попытку написать ЕГЭ за других людей по чужим паспортным данным подставные лица получали условные сроки и штрафы.
В Рособрнадзоре “Ъ” заявили, что при подаче заявления на прохождение экзаменов школьники дают согласие на обработку персональных данных. Они хранятся в Федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся (ФИС ГИА) и региональных информационных системах (РИС ГИА). Оператором ФИС является Рособрнадзор, а операторами РИС — органы исполнительной власти субъектов Российской Федерации. Ответственность за сохранность сведений несут операторы систем, а персональные данные участников ЕГЭ не передаются за пределы защищенной сети передачи данных. В Рособрнадзоре утверждают, что ни одной утечки персональных данных за время существования единого экзамена не было.
Береги честь смолоду
Иногда за утечками данных или атаками на образовательные ресурсы стоят сами школьники. Согласно отчету лаборатории Касперского, полученному на основе работы решения Kaspersky DDoS Protection, в третьем квартале 2019 года школьники оказались ответственны почти за половину DDoS-атак. Пиковым месяцем квартала стал сентябрь — за первые 30 дней осени было зафиксировано 53% всех DDoS-атак в отчетном периоде. При этом 60% этих атак были направлены на ресурсы, связанные со сферой образования: электронные дневники и сайты школ. В компании это связывают с тем, что учащиеся вернулись в школы и «могли организовать атаки из хулиганских побуждений».
К утечке данных или заражению компьютера также может привести нежелание выполнять домашнее задание.
Согласно исследованию лаборатории Касперского за последний учебный год (с конца августа 2018-го до конца августа 2019-го) устройства пользователей продуктов компании 233 тыс. раз были атакованы через зараженные рефераты и сочинения «Как я провел лето». Еще 122 тыс. атак пришлось на зараженные учебники, которые пытались скачать более 30 тыс. пользователей. Эксперты лаборатории отмечали рост хакерской активности в сфере образования во всем мире.
Часто школьники сами выкладывают в общий доступ на своих страницах в социальных сетях персональную информацию, что в случае централизованного сбора данных об этих страницах (что предусматривает в том числе и ЦОС) может быть использовано против них. «Еще одна область применения данных несовершеннолетних, которую я тут вижу,— это работа спецслужб и ведомств, которые мониторят экстремизм и отслеживают группы влияния и внутренний социальный рейтинг. Все, что касается данных, находящихся в российской юрисдикции,— можно считать, что у спецслужб по умолчанию есть к ним доступ. Да, у госорганов есть запрос на тотальный контроль за жизнью граждан. Я на это говорю обычно "береги честь смолоду", иначе потом все, что ты в пубертатном возрасте залил в сеть, там останется навсегда, как бы ты ни старался это удалить»,— считает Иван Бегтин.
По данным Верховного суда, количество уголовных дел только за репосты за последние три года резко увеличилось до 500 в год, а дело «Нового величия» фактически возникло из Telegram-чата, где молодые люди общались на разные темы. «То, как эти данные будут обработаны, и какие выводы из них будут сделаны, сводится скорее к психическому состоянию и компетенциям людей, которые занимаются анализом информации. Вполне вероятно, что дети начнут вести двойную жизнь, создавать публичный аккаунт и закрытый, либо сразу закрывать свой аккаунт для всех»,— говорит Бегтин.
Эксперты сходятся во мнении, что лучший способ защиты от утечки или использования данных — цифровая грамотность. По мнению Александра Иноядова, не следует предоставлять государственным органам, если это не соответствует цели их деятельности, или самостоятельно выкладывать информацию о месте жительства, близких родственниках и вероисповедании. Опасной, по словам Михаила Емельянникова, может также оказаться информация о «месте учебы, номере мобильного телефона, маршруте передвижения, времени регулярного выхода из дома и обычного возращения».
«Даже увлечения, ради которых обычно дети и общаются в социальных сетях, могут быть использованы преступниками, например для установления доверительных отношений, незаконного проникновения в жилище. Сложившийся характер общения в сетях приводит к тому, что с большинством "друзей" в сети пользователь лично не знаком, под аккаунтом 14-летнего подростка с приятной внешностью может скрываться кто угодно. Все это надо очень тактично, но настойчиво разъяснять детям, в первую очередь — в семье, но делать это, как правило, некому или некогда»,— считает эксперт.
Владимир Иванов отмечает, что информация о благосостоянии, состоянии здоровья и социальных связях, которую молодые люди публикуют в соцсетях, может быть использована представителями бизнеса, злоумышленниками, правоохранительными органами, органами опеки, работодателями: «список практически не ограничен».
«С одной стороны, анализ может выявить принадлежность ребенка к каким-то группам и организациям, деятельность которых носит противоправный характер. В таких случаях появляется возможность пресечения деструктивной деятельности таких организаций, выявление участников и лидеров с целью привлечения их к ответственности. Часто дети публикуют фото и видеозаписи своих "подвигов", которые могут послужить прямым или косвенным основанием для привлечения их самих или законных представителей к административной или уголовной ответственности. По крайней мере, для оперативно-разыскной деятельности такая информация может оказаться полезной. Органы опеки могут таким образом получать информацию о материальном положении семей, взаимоотношениях родителей и детей, применении насилия»,— считает эксперт.
«С другой стороны, дети не имеют социального опыта и могут быть очень доверчивы. У них нет понятия о приватности, о частной жизни. Сегодня подросток публикует репортаж о сомнительной вечеринке, а завтра ему отказывают в приеме на работу. Поэтому в общий доступ лучше не выкладывать никакой личной и семейной информации. Нужно объяснять детям, что это несет опасность. Публикует информацию об отъезде в отпуск вместе с родителями — завтра приходят воры, и так далее. К сожалению, большинство взрослых также не видят опасности и публикуют чувствительную информацию, в том числе касающуюся их собственных детей»,— говорит Иванов.