Можно ли писать об утечках персональных данных?

Можно ли писать об утечках персональных данных?
Немного подую на воду в связи с проектом поправок в Уголовный Кодекс Российской Федерации, которые могут быть внесены уже в этом году в связи с шумихой на тему утечек персональных данных. Этот законопроект №502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации» дополняет уже описанный мной законопроект о внесении поправок в КоАП, и вроде как он направлен на благое дело — усиление наказания за утечки персональных данных. Но я вижу и потенциальные риски для специалистов по ИБ в случае его принятия.

Согласно предлагаемым поправкам для тех, кто незаконно использует, передает, собирает или хранит компьютерную информацию, содержащую персональные данные, вводится уголовная ответственность. Она же вводится и для тех, кто создает или обеспечивает функционирование информационных ресурсов, предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) такой информации.

Если посмотреть на формулировки новой статьи 272.1, то создается впечатление, что она действительно должна наказывать только тех, кто крадет и незаконно распространяет ПДн граждан.

Сразу отмечу, что так как основные утечки сегодня происходят из-за действия проукраинских хакерских группировок, а взаимодействие правоохранительных органов между Россией и Украиной сейчас отсутствует, то на изменение ситуации с утечками новая статья никак не повлияет и посадить по ней реальных киберпреступников не удастся. И такая же история будет не только с украинскими, но и почти с любыми другими зарубежными нарушителями, которых не выдадут России и будут вставлять палки в колеса ведущимся расследованиям (геополитика и тут вмешивается, к сожалению).

Но я бы на это хотел посмотреть немного с другой точки зрения, а именно в контексте действий специалистов по ИБ, которые отслеживают утечки ПДн и потом пишут о них или уведомляют пострадавшие компании. Так вот чтобы делать это необходимо:

  • скачать файл с утечкой (пробник или полный файл) к себе на компьютер
  • проверить, что в файле действительно есть данные, похожие на персональные
  • проверить, что ПДн действительно реальные (по крайней мере для выборки данных)
  • уведомить об утечке пострадавшую компанию (опционально)
  • написать об этом (опционально).

Самое интересное, что все это делается без согласия со стороны субъекта персональных данных, а также, в большинстве случаев, и оператора персональных данных, то есть в формулировках законодательства, эта деятельность незаконна, если у вас нет соответствующего договора с субъектом или оператором или на вас законом не возложена обязанность по проведению таких мероприятия!

Вот и получается, что у нас в момент сохранения файла с утечкой или с ее пробником включается история с «незаконным сбором и хранением» персональных данных. Да, про нее никто не узнает до момента, когда специалист по ИБ про это сам не напишет (вариант с фиксацией доступа к ресурсу с утечкой со стороны оператора связи я пока оставлю в стороне), но тем не менее.

Меня же больше интересует история с распространением информации об утечках. И хотя формально, это ненаказуемо, все равно мы тем самым признаем факт незаконного доступа к ПДн. Например, прошлой осенью, когда был взлом Idaho National Labs, занимающейся различными ядерными проектами в США, в том числе и на военную тематику, хакеры сообщили о краже персональных данных сотрудников INL. И местные журналисты, проводившие свое расследование, специально разместили под своей статьей соответствующий disclaimer, который специально обращал внимание, что да, доступ к ПДн был, но только для проверки подлинности, и только двумя сотрудниками редакции, и данные были проверены с компанией-жертвой, и потом данные были уничтожены.

То есть даже в достаточно либеральном и пропагандирующем свободу слова американском обществе журналисты опасаются, что их могут привлечь за распространение информации об утечке чужих ПДн.

DISCLAIMER по поводу доступа журналистов к утечке ПДн

А что у нас?

У нас ситуация намного хуже 🙁 Отечественное законодательство, а именно п.6 ст.10 ФЗ-149 «Об информации, информационных технологиях и защите информации» у нас прямо запрещает распространение информации, за распространение которой предусмотрена уголовная или административная ответственность.

Мне можно возразить, что распространение ссылок на ресурсы, содержащие утечки (а они часто упоминаются в сообщениях специалистов по ИБ, подтверждающих их выводы), нельзя отнести к распространению самой утечки. Но на это возражение у меня тоже есть чем ответить.

Во-первых, для разных категорий распространителей информации (например, новостных агрегаторов, аудиовизуальных сервисов, сервисов размещения объявлений или соцсетей) установлены дополнительные запреты по распространению информации, которая может быть использована в целях совершения уголовно наказуемых деяний, а также разглашения сведений, составляющих государственную или иную специально охраняемую законом, к которой относятся и персональные данные. Вот это «может быть использована» дает очень широкий вариант трактовок со стороны правоохранительных органов.

Не забывайте, что «палочную систему» у нас никто не отменял!

Во-вторых, у нас есть требование (ст.15.5 ФЗ-149) ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании которой Роскомнадзор блокирует ресурсы, публикующие утечки информации. Сам такой ресурс попадает в Реестр нарушителей прав субъектов персональных данных, а также в единый реестр запрещенных сайтов.

Пример записи в реестре заблокированных сайтов. Сайт распространял персональные данные россиян

И вот тут возникает особенность нашего правоприменения. Формально, эти основания для блокировки не запрещает ставить ссылку на такие ресурсы (в отличие от ссылок на признанные экстремистскими или нежелательными организации). Но юристы отмечают, что риски привлечения к ответственности за такие ссылки все равно присутствуют, особенно если на них присутствует противоправный контент (а утечка к нему относится).

Более того, 23 июня 2020 г. Европейский Суд по правам человека вынес решения по 4-м делам, связанным с блокировками ресурсов в России, и по сути подтвердил давно известную мысль, что из-за размытости российского законодательства власти могут заблокировать любой контент всего лишь ссылаясь на п.2 ч.5 ст.15.1 ФЗ-149, которая позволяет признать любой контент незаконным (хоть утечку, хоть ссылку на нее, хоть ее упоминание).

До появления законопроекта с поправками в УК у специалистов по ИБ, пишущих про утечки и иногда указывающих ссылки на ресурсы с ними (в Телеграме, Даркнете или Интернете), был единственный риск — попасть в реестр нарушителей прав субъектов ПДн, но, к счастью, таких примеров на момент написания статьи не существовало. С принятием поправок и ужесточением контроля за утечками персональных данных ситуация может поменяться. Именно что может. Я не утверждаю, что это обязательно произойдет и что следователи, для выполнения плана, начнут отрываться на безобидных специалистах по ИБ. Но я вполне серьезно рассматриваю такие риски. Тем более, что инициатором такого иска может быть и сама компания, оператор ПД, которая таким образом (забыв про «эффект Стрейзанд«) захочет убрать все упоминания о себе в негативном ключе. И если раньше для этого использовались угрозы применения ст.5.61.1 КоАП РФ или ст.128.1 УК РФ за клевету), то сейчас число возможных оснований может расшириться.

Как пишет Википедия, «Эффект Стрейзанд —  социальный феномен, выражающийся в том, что попытка изъять определённую информацию из публичного доступа (цензура) приводит лишь к её более широкому распространению (обычно посредством интернета)».

Повторю свою изначальную мысль — возможно, я дую на воду. Но не принимать в расчет описанные риски было бы неправильно.

Заметка Можно ли писать об утечках персональных данных? была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!