В каждом МФЦ есть компьютер общего пользования, подключенный к сканеру. И любой посетитель МФЦ может самостоятельно его использовать, например, для загрузки копий документов на портал госуслуг.
На компьютерах общего доступа в МФЦ “Ъ” обнаружил множество скан-копий паспортов и других документов, к которым может получить доступ любой желающий. По словам экспертов, на основании этих данных можно набрать микрозаймов или даже получить доступ к средствам на счетах людей. Профильные министерства называют подобное хранение данных грубейшим нарушением, умалчивая о том, как будет решаться проблема и кто компенсирует ущерб в случае их неправомерного использования.
На круглом столе в Аналитическом центре при правительстве РФ был поднят вопрос о возможности для граждан требовать компенсацию за использование их персональных данных. По словам замдиректора департамента государственного управления Минэкономики Антона Лебедева, нельзя «просто кинуть какие-то данные в оборот, при этом не продумав социальные последствия, которые это может повлечь».
Местом утечки персональных данных вполне могу стать многофункциональные центры (МФЦ). В каждом МФЦ есть компьютер общего пользования, подключенный к сканеру. И любой посетитель МФЦ может самостоятельно его использовать, например, для загрузки копий документов на портал госуслуг. Сотрудники “Ъ” проверили ряд МФЦ в Москве и выяснили, что на этих компьютерах в общем доступе хранятся сотни разных документов: копии паспортов, СНИЛС, анкет с указанием мобильных телефонов, реквизитов счетов в банках. Хозяева документов, воспользовавшись общим компьютером, забыли удалить файлы, сотрудники МФЦ также не озаботились этим. Скан-копии любой желающий может скачать на внешний носитель (флешку) или же отправить себе по почте.
Подобное отношение к персональным данным несет серьезные риски. По словам ведущего аналитика «СёрчИнформ» Алексея Парфентьева, данные можно без проблем продать через интернет. «Стоимость одной скан-копии колеблется от 100 до 500 руб. в зависимости от качества и количества страниц»,— отметил он.
Использовать полученные сканы мошенники могут как для относительно «невинных» целей — рекламных рассылок, так и для получения микрозаймов в МФО, отметил Алексей Парфентьев. «Наличие персональных данных дает также большие возможности в сфере социальной инженерии, например, вряд ли человек не откроет вложение в письме от судебных приставов, где будут указаны его паспорт и СНИЛС»,— говорит замдиректора Центра информационной безопасности «Инфосистемы Джет» Андрей Янкин. По словам руководителя службы информационной безопасности Златкомбанка Александра Виноградова, в случае сговора злоумышленников с сотрудниками банка возможно также оформление кредитов по скану паспорта. По словам замглавы департамента информационной безопасности ЦБ Артема Сычева, закон обязывает банки возвращать клиенту похищенные деньги, если клиент сам не сообщал мошенникам персональные данные.
В министерствах и ведомствах уверены, что МФЦ обязаны охранять персональные данные граждан, но назвать решение описанной проблемы не берутся. В пресс-службе Минэкономики “Ъ” сообщили, что инфраструктура МФЦ должна соответствовать текущим требованиям законодательства в области защиты информации, в том числе федеральным законам и приказу ФСТЭК России. Там напомнили, что есть методические рекомендации Минэкономики по деятельности МФЦ, в которых в числе прочего определены и требования к информационной безопасности. И исключений для персональных данных, находящихся на компьютерах общего доступа, в них нет. В Роскомнадзоре “Ъ” сообщили, что исходя из общих требований закона «О персональных данных» в указанном случае МФЦ обязаны обеспечить соблюдение конфиденциальности, предполагающей возможность доступа к персональным данным только с согласия гражданина.
В пресс-службе центров госуслуг Москвы на запрос сообщили, что компьютеры в зоне электронных услуг не имеют полного доступа к интернету, администраторы центров госуслуг Москвы, согласно внутренним правилам, раз в день очищают рабочий стол и корзину компьютеров. Впрочем, по словам собеседников, знакомых с ситуацией на местах, эти нормы нередко нарушаются.
Открытым остается вопрос и с компенсацией в случае ущерба от использования персональных данных граждан с общих компьютеров МФЦ. «Компенсация возможна лишь в случае, если удастся доказать прямую связь между сканированием документов в МФЦ и полученным ущербом, что практически нереально,— уверен эксперт RTM Group Евгений Царев.— Скорее суд увидит в действиях самого человека небрежное отношение к документам».