Открытые закрытые данные
Татьяна Исакова о практическом применении утечек
Подконтрольный ФСБ Национальный координационный центр по компьютерным инцидентам (НКЦКИ) сообщил о запуске собственного сервиса проверки данных граждан в базах утечек. Он размещен на созданном НКЦКИ сайте «Безопасность пользователей в сети Интернет», через который можно проверить номер телефона, электронную почту или логин на том или ином сервисе. Поиск происходит по сводной базе, она пополняется из открытых источников. Сами базы данных ресурс не хранит.
Татьяна Исакова
Фото: Глеб Щелкунов, Коммерсантъ
В результате пользователю выдаются совпадения в базах с указанием названия сервиса и даты утечки. Утверждается, что история поиска не сохраняется. Я обнаружила, что у НКЦКИ есть доступ к базам утечки, например СДЭК от 2022 года и VK от 2012 года, а также зарубежных сервисов (Canva и другие). На сайте подчеркивается: если пользователь не обнаружил данные в поиске, это не означает, что они в безопасности. «Не все компании добровольно и своевременно раскрывают информацию об инцидентах»,— поясняют в НКЦКИ.
Специалисты по информбезопасности называют новый сервис аналогом Have I Been Pwned (HIBP) — англоязычного сайта для проверки данных, созданного австралийцем Троем Хантом. По информации HIBP, на нем можно обнаружить данные 13 млрд скомпрометированных аккаунтов. Сервис поддерживается в том числе с помощью спецслужб. Например, в 2021 году Национальное агентство по борьбе с преступностью Великобритании поделилось с HIBP базой из более чем 585 млн взломанных паролей, обнаруженных в ходе расследований. Источник утечки агентство не раскрывало. До этого базу пополнила американская ФБР.
В России помимо ФСБ данные об утечках собирает Роскомнадзор: именно ему компании, допустившие инцидент, должны направлять соответствующие уведомления. Но сам факт, что НКЦКИ получает данные из открытых источников, а не внутренней базы Роскомнадзора, свидетельствует о скудности информации, поступающей от участников рынка. Что неудивительно с учетом регулирования хранения персональных данных, которое обсуждается сейчас: от оборотных штрафов за инциденты до материальной компенсации жертвам утечек.
Именно перспектива получить компенсации может сделать новый сервис НКЦКИ действительно полезным для граждан. Поскольку он имеет официальный статус и работает «под эгидой ФСБ», результаты поиска с сайта могут служить одним из аргументов для требования компенсаций от организаций, допустивших утечку, считают юристы: «Доверия к этому ресурсу будет больше, чем к независимому сервису». Эксперты уточняют, что «самостоятельным аргументом результаты поиска вряд ли станут, но дополнительным доказательством самого факта утечки и распространения данных — вполне».