Электронная очередь в детский сад и Закон о защите персональных данных
Последние годы защита персональных данных очень сильно будоражит великие умы тех, что у власти. В поздних 2000х был принят ряд норм как следует обращаться с персональной информацией, как её защищать и бережно хранить. Ударили эти нормы по крупному и среднему бизнесу достаточно крепко и резко. Компаниям пришлось раскошелиться на апгрейд и техническое переоснащение, чтобы соответствовать новой нормативно-правовой базе. А вот как с персональными данными обращается наше государство было всегда поводом для шуток.
Впечатлённый словами Собянина о том, что проблема с детсадами в Москве рассосалась, я решил поставить своего маленького сынишку на очередь в ближайший садик через информационный портал Департамента образования Москвы - Автоматизированную информационную систему «Комплектование ДОУ». Вошёл в систему, заполнил форму, отправил, и только потом обратил внимание, что данные были переданы через интернет в незашифрованном виде.
Никакого SSL. AES-DES-ГОСТ? И это России, где в ИТ технологии, особенно государственные, вваливаются миллионы? За этой деятельностью следят контролирующие органы, один грозный роскомнадзор чего стоит! А тут госорган, и щи лаптем хлебает!
Напомним Департаменту образования города Москвы, что в соответствии со ст. 19 "оператор при обработке персональных данных обязан принимать необходимые ...технические меры ...для защиты персональных данных..."
Нашлись даже конкретные люди, которым задача привести систему в соответствие с буквой закона поручена, а сроки приведения в соответствие уже давно истекли!
Вот само постановление и конкретные парни - всё ректоры, да директоры. А где результаты?
6. В срок до 1 марта 2011 года ректору ГОУ ВПО Московский институт открытого образования Семёнову А.Л. осуществить методическое сопровождение и представить рекомендации по приведению в соответствие АИС «Комплектование ДОУ» Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7. В срок до 1 мая 2011 года директору ГОУ «Учебно-методический центр по информационно-аналитической работе» Яблонскому В.Б. привести в соответствие Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» АИС «Комплектование ДОУ».
Бездействие оператора., в соответствии со ст. 17, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" будет мной обжаловано в небезызвестный Роскомнадзор, о котором в последнее время слышно много, и в котором для таких жалобщиков, как я, оказывается, существует целое управление!
PS. Насколько инцидент опасен для тех, кто воспользовался этой системой? Я не паранойик, поэтому уверен, что ничего страшного не произошло. Будьте спокойны, в государственных системах есть более удобные для злоумышленников "дыры" с более ценными данными. Этот случай показателен тем, что демонстрирует обычное для нашего государства явление - свои же законы оно соблюдать не утруждается, требуя от других игроков безукоризненного соблюдения правил.
Для тех, кто разбирается. Снимок экрана с запущенным сниффером (программой, перехватывающей сетевые пакеты), в которой специалист отчётливо определит отсутствие какого бы то ни было шифрования. В восстановленном TCP-потоке видны, собственно, персональные данные заявителя. Выделенный фрагмент заголовка HTTP - собственно, фамилия и имя гражданина.
Скриншот браузера. Форма, в которую предлагается ввести персональные данные. Браузер подтверждает полное отсутствие стандартного для таких случаев SSL-уровня.
По данным фактам составлена и отправлена жалоба в Роскомнадзор.
