В реестре конфиденциальной информации россиян свежая брешь

На днях западные специалисты по криптографии Витторио Джиованнетти, Сет Ллойд и Лоренцо Макконе разработали квантовый протокол поиска, гарантирующий конфиденциальность массива информации баз данных. Ожидается, что теперь криминальных утечек из европейских и американских реестров быть не должно. К сожалению, в России замечен обратный процесс. Несмотря на все усилия Россвязьохранкультуры, ситуация с защитой конфиденциальных данных в стране более чем далека от утопичной.

В потоке спама одно за другим так и сыплются предложения купить ту или иную базу данных: от «Налогового Пенсионного фонда», до «Прописки Москвы». И совсем не обязательно, что это закрытой информацией приторговывают хакеры или сотрудники соответствующих ведомств. Теоретически утечка баз данных может происходить и через посреднические структуры.

Екатеринбургская фирма «СКБ «Контур» выпускает с виду невинный программный комплекс для сдачи налоговой отчетности.

— Программный продукт этой конторы, который она продает и затем обслуживает, позволяет самой конторе, в нарушение понятных принципов конфиденциальности и установленных государством правил, просматривать поданную клиентом налоговую отчетность на своих серверах, — рассуждают специалисты. — Как это происходит у других: клиент заполняет у себя на компе форму отчетности, она сразу же запаковывается, шифруется и отправляется на сервак оператора. При этом оператор уже ничего не может расшифровать или посмотреть, он просто доставляет этот электронный пакет от налогоплательщика в соответствующую налоговую инспекцию. Конфиденциальность соблюдена. А эти орлы могут налоговую отчетность любого своего клиента смотреть у себя на сервере — типа, чтобы проверять ошибки и неточности. То есть вместо функций простого транспорта документов могут (теоретически) еще и приторговывать данными, формировать базу данных со всей налоговой (читай — финансовой) информации любого налогоплательщика, пользующегося их услугами.

Звонок непосредственно в «Контур» эти обвинения подтвердил.

— Я технические термины вам, наверное, не скажу, но вот эта хреновина, которая нами разработана — СГД мы ее называем, служба гарантированной доставки — она позволяет избежать всех тех сложностей, которые гарантированно получаешь от почты (то есть, потеря файлов и всего прочего), — радостно сообщила Светлана Стрельникова, руководитель центра технической поддержки пользователей компании.

— На вашем сайте еще сказано, что «перед отправкой отчетные документы проходят контроль на сервере системы». Неужели возможен доступ к персональным данным?

— Да, это совсем другая песня, к службе гантированной доставки, конечно же, никакого отношения не имеет, совершенно. Это другое наше отличие, — так же радостно отчиталась специалист. — У всех конкурирующих фирм программное обеспечение абонентов, налогоплательщиков грубо говоря, они с помощью этого программного обеспечения формируют отчетность соответствующего формата и посылают в инспекцию… В нашем же случае формируется все прямо на сервере. То есть налогоплательщик заходит на сервер, там заполняет форму и там же проходит проверка этих форм — им выдаются либо ошибки, либо предупреждения.

— А как же конфиденциальность?

Радости в голосе стало меньше:

— Ну у нас чё только можно было, какие пройти, эти самые… сертификации, мы все прошли — да. У нас все передается и все… в зашифрованном виде. Закрытый ключ на стороне инспектора, закрытый ключ на стороне инспекции — между ними все ходит в зашифрованном виде, используя наше программное обеспечение, мы к нему доступ не имеем, и у нас есть тому подтверждение и сертификаты всевозможные. В том числе… Но вот список наших сертификатов я вам, наверное, не подскажу…

Проанонсированные сертификаты у «Контура», возможно и есть, но одно дело заявлять о неприступности вверенных тебе баз данных, и совсем другое – соответствовать заявленному уровню конфиденциальности. В Пенсионном фонде, который является одним из клиентов «Контура», на этом уже обожглись. Не далее, как в начале года, например, выяснилось, ОПФР по Удмуртской Республике не может уточнить сертификаты электронной цифровой подписи (ЭЦП) страхователей, переправленных одной из версий системы «Контур-Экстерн».

Как сказано, во внутреннем письме ПФР: «В ходе разбора ситуации установлено, что АРМ-Прием версии 2.5 сборок 2.5.270.17969 и 2.5.273.19412, использовавшийся при приеме отчетности в декабре 2007 – январе 2008 г. в ОПФР по Удмуртской Республике, а возможно и в других ОПФР, использовал не прямой способ вызова криптографических функций СКЗИ Домен-К, а вызывал их через функции Microsoft. В этом случае все необходимые сертификаты должны были быть размещены в хранилище сертификатов Microsoft средствами прикладного программного обеспечения, использующего функции СКЗИ «Домен-К» (в данном случае АРМ-Прием). Автоматизированное размещение сертификатов в хранилище Microsoft АРМ-Прием не производил, поэтому для корректной проверки сертификатов требовалась их ручная загрузка».

Впрочем, замгендиректора «Контура Леонид Волков все подозрения в нарушении конфиденциальности данных клиентов категорически отрицает: «Это непроверяемо, недоказуемо, и является, в силу избранного класса защиты, субъектом не технических, а организационных мер защиты». Эти слова он написал на одном из интернет-форумов. Уточнить, действительно ли Леонид Михайлович публично признает, что он сам и его подчиненные «технически» способны воровать базы данных, не удалось — до конца лета он удалился в отпуск. Однако на том же форуме слова менеджера с компьютерного языка на гражданский уже перевел его коллега по-специальности:

«В очередной раз пробую объяснить разницу в нескольких словах, избежав возможности судебного преследования за клевету: «Принципиальным отличием технологии используемой в сервере системы КОНТУР-Экстерн, которое обеспечивает ее преимущественные потребительские свойства, является теоретическая возможность доступа администратора к данным налогоплательщика в момент подготовки или форматно-логического контроля документа. Конечно, ей никто и никогда не пользуется, по крайней мере, о таких фактах ничего не известно». Против такой формулировки возражения есть?»

Вероятно, возражения найдутся у представителей МВД, Бюро специальных технических мероприятий которого уже давно озаботилось данной проблемой. Еще бы, ведь ущерб от утечек и криминального оборота персональных данных растет примерно на 20-25% в год. По некоторым оценкам аналитиков только в 2006 году одна лишь экономика США из-за этого потеряла около 60 миллиардов долларов вследствие утечек приватных сведений. Сколько теряет экономика России, доподлинно неизвестно, однако клиентская база «Контура» насчитывает около 200 тысяч налогоплательщиков по всей стране. В их числе есть такие крупные, как ПФР и Билайн. Это значит, что в ближайшем будущем число предложений свежих ворованных баз данных в спам-рассылках может еще более возрасти.