Эти базы — кого надо базы
Бизнес против права силовиков редактировать персональные данные
Прямой доступ силовых структур к информационным системам, который планирует ввести правительство ради защиты «значимых персональных данных», нарушит их целостность и создаст для бизнеса угрозу нарушения других законов, считают в Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Ростелеком», «МегаФон» и др.). Законопроект, внесенный в Госдуму в августе, предусматривает возможность изымать и редактировать чувствительные поля. АБД считает, что это должно быть реализовано только через официальные запросы — например, в предусмотренные в ряде компаний «первые отделы». Эксперты в области кибербезопасности подтверждают, что произвольные правки могут нарушить работоспособность информационных систем.
Рисунок: Виктор Чумачев, Коммерсантъ
“Ъ” ознакомился с отзывом АБД на правительственный законопроект о контроле силовых структур за базами персональных данных. Поправки к ряду федеральных законов («О ФСБ», «О государственной защите судей…», «О полиции» и т. п.) были внесены в Госдуму 3 августа. Они предусматривают особый порядок работы с персональными данными лиц из ряда категорий. В частности, силовые ведомства смогут удалять и подменять записи, связанные с такими людьми, в том числе посредством удаленного доступа к базам.
Возможность модификации информации и «бесконтрольный доступ органов обороны и правопорядка» к базам персональных данных может нарушить их работу и целостность, а также создает риски передачи сведений третьим лицам, говорится в отзыве АБД.
Это, в свою очередь, может создать риски административного и уголовного преследования лиц, ответственных за базы из-за несоответствия с другими законами — в частности, теми, которым должны следовать финансовые организации и субъекты критической информационной инфраструктуры (КИИ). Также в АБД критикуют положения, обязывающие уведомлять органы власти о появлении в базах «сведений о ведомственной принадлежности» людей. Непонятно, что относится к таким сведениям, поясняют в ассоциации.
В АБД не спорят с самой по себе концепцией законопроекта и признают «значимость достижения целей проектируемого регулирования», говорится в отзыве. Но ассоциация просит или исключить положения об удаленном доступе силовых структур к базам данных, или оставить его только для государственных и муниципальных информсистем.
Изъятие или модификация данных должна осуществляться не напрямую, а через отправку официальных запросов, «в том числе через выделенных работников операторов персональных данных, имеющих допуск к государственной тайне».
В АБД подтвердили подготовку отзыва, отметив, что 31 августа направили предложения в ФСБ, аппарат правительства и комитет Госдумы по информполитике. В перечисленных структурах не ответили на запросы “Ъ”. Совет Госдумы 18 сентября включил законопроект в программу на ноябрь.
Доступ к базам данных и на чтение, и на запись потенциально нарушает сразу три основных свойства информационной безопасности — конфиденциальность, целостность и доступность, подчеркивает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. Угрозу для первого свойства создает наличие доступа к базе, для второго — возможность неавторизованных изменений: «После изменений в произвольное поле возможны и другие варианты, которые зависят от программного обеспечения, работающего с базой. В худшем случае приложение станет неработоспособным, и это будет уже нарушение третьего свойства».
Любая дополнительная возможность доступа к персональным данным создает риски, добавляет гендиректор Telecom Daily Денис Кусков. По его словам, если спорный законопроект все же будет принят, то «нужно организовать многоуровневый доступ к базам данным, с разными политиками и набором прав — на чтение, на изменение, на удаление». Компаниям, которые сейчас ведут публичные отчеты о запросах госорганов (transparency report; их публикуют, в частности, «Яндекс» и «Хабр»), добавляет эксперт, необходимо предоставлять сведения и о подобном доступе.