Журнал «Компьютерра» № 11 от 20 марта 2007 года - Компьютерра

Недавно вступивший в силу закон закрепляет обязательства каждой организации, владеющей персональными данными, по обеспечению их конфиденциальности. Нельзя сказать, что этот нормативный акт привнес что-то кардинально новое, скорее он унифицировал ранее разрозненные требования к защите личных данных. Лица, нарушившие эти требования, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. При нарушении положений закона любая компания может быть лишена лицензии на свою деятельность и подвергнута судебному преследованию со стороны пострадавших. Но все это можно было проделать и раньше, однако почему-то не делалось.

Правда, теперь можно привлекать и продавцов персональных данных, так как распространение тоже становится подсудным делом. К тому же закон заставил чиновников и бизнесменов зашевелиться, поскольку устанавливает некие нормативы обеспечения безопасности данных, требующих интеграции новых программных продуктов и изменения организационных процедур при работе с конфиденциальной информацией. Тем не менее закону не достает конкретики. В нем, например, сказано, что организация должна "принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства" для того, чтобы защитить персональные данные от таких действий, как "неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение". Более четкие требования будут разработаны позднее Федеральной службой по техническому и экспортному контролю РФ (ФСТЭК). Это же ведомство займется проверкой исполнения закона в организациях.

Еще одно новшество - это ограничения длительности хранения приватных сведений. Держать их можно не дольше, чем требуют цели обработки данных, после чего информация подлежит уничтожению в течение трех дней. Имеются в виду именно персонифицированные данные. Информация, которую нельзя сопоставить с конкретным человеком, может храниться и дальше - например, для статистических целей. Некоторые представители банков и других организаций уже заявили, что положения закона трудновыполнимы, но обойти их вряд ли удастся.

Лицо, занимающееся сбором и обработкой персональных данных, должно уведомить о своих действиях контролирующий орган, объяснив преследуемые цели. Перечень держателей персональных данных должен быть открытым, и любой гражданин имеет право осведомиться у той или иной организации, что она о нем знает. Упоминается в законе и то, что для получения данных следует заручиться согласием лица, их предоставившего.

Интересно, что этот закон был одним из немногих (если не единственным) российских нормативных актов, непосредственно связанных с приватностью граждан, который не вызвал возмущения у правозащитников. Правда, когда законопроект только поступил на рассмотрение в Думу, депутаты были настроены куда менее благодушно. Они протестовали против двух пунктов закона, предусматривающих создание единой системы персонального учета населения (СПУН), в которую должны были быть занесены, помимо всего прочего, и биометрические данные. Но президент порекомендовал эти положения из закона исключить, и во втором чтении о них речи уже не шло. Правда, единая база в России все же будет. Для такого дела в Госдуме обещают со временем принять отдельный закон. Только теперь говорят не СПУН, а госрегистр, и фигурирует в проекте не девятнадцать параметров, а только шесть: ФИО, пол, дата, год рождения. Но все это о нас можно разузнать и сегодня из баз, украденных в госведомствах, так что хуже уже не будет.

Потенциальных источников утечки данных о заемщиках летом прошлого года было предостаточно. Помимо банков, эта информация имелась у розничных сетей, бюро кредитных историй, коллекторских агентств, а также в Центральном каталоге кредитных историй в ЦБ. Представители последнего, правда, постарались откреститься от причастности к столь масштабному хищению конфиденциальных данных, заявив, что в Банк России поступает не вся информация; а та, что доходит, хранится в зашифрованном виде. Хотя, конечно, памятуя о прошлых инцидентах с российским ЦБ, безоговорочно отметать причастность к делу его сотрудников сложно.

Почти сразу отпали бюро кредитных историй, которые не так долго работают, чтобы собрать данные о 700 тысячах клиентов. Вне подозрений оказались и коллекторские агентства, владеющие только списками должников, тогда как в базе имелись данные и о добросовестных плательщиках. Таким образом, среди потенциальных источников утечки остались крупные банки, специализирующиеся на рынке потребительского кредитования, среди которых Инвестсбербанк, Росбанк, Русский Стандарт, Хоум Кредит и др.

ОГОРОД КОЗЛОВСКОГО: Кода, пуля и звезды

Автор: Сергей Голубицкий

После "Голубятни" про Висту ("Как я кормил обезьяну") нарисовалась серьезная непонятка, на которую читатели разом затыкали пальцем по мылу в личку (во фраза, а?!). Во избежание недопониманса вношу ясность в скользкие моменты.

Первое. Бдительный Алексей Писклюков заподозрил старого голубятника в джинсовой подлянке: "Собственно, самой статьей (несмотря на немотивированно восторженные интонации), вы не проговариваетесь. Проговариваетесь вы той парой строк, которые в статье отсутствуют - я не нашел ни слова о системе активации. Где же камлание про бакунианские развалы и хакера Иванопуло в духе традиционного культур-повидла? Нету его - как же так, что случилось? От заказного характера статьи я лично получил только дополнительную порцию удовольствия - мне как игроку в покер всегда интересно видеть, блефует человек или нет".

Начну с афедрона - про "заказной характер". Его нет и быть не может по банальной причине - у меня нет прямых сношений с Микрософтом. Никаких копий Висты никто мне на тестирование не предоставлял, насколько знаю - в редакцию "Компьютерры" они тоже не поступали. В ситуации, когда нет заказчика, не может быть и заказухи. А потому все акты киллерства и триумфа, наблюдаемые читателями в "Голубятнях", являются сугубо добровольными и глубоко народными по духу.

Второе. Почему ни словом не обмолвился об активации Висты? Опять же по простой причине - темы такой больше не существует! Раз нет темы, нет и разговора. Для особо непонятливых: в конце февраля состоялся, геноссен, полный абгемахт иванович - защита операционной системы Виста была окончательно сломлена. Со всеми потрохами активации, WGA и прочими глупостями, на бессмысленность и бесперспективность которых вменяемые люди указывали редмондским фантазерам всегда и априорно. Речь идет не о паллиативных "тайм-стопперах", появившихся еще в конце 2006 года, - системах остановки таймера, отсчитывающего тридцатидневный льготный полнофункциональный период пользования Вистой, а о полноценной активации ОС - с генерацией валидных номеров и онлайн (псевдо) регистрацией. Потрясает прорыв защиты одновременно по всем мыслимым и немыслимым направлениям: сперва китайцы создали имитацию дистанционного сервера Key Management Server для активации версии Vista Enterprise, затем запустили brute-force-генератор номеров активации, который примитивно, но оттого не менее эффективно подбирает нужные ключи, наконец - венец творения - создали тулкит, эмулирующий OEM BIOS и позволяющий регистрировать уже любую потребительскую версию ОС на любом компьютере (драйверы, разработанные хакерской группой Paradox).

Спрашивается: чего ж еще рассказывать про хакера Иванопуло. Все уже сказано; вернее, сломано. Ну а джига жизнерадостного козла над трупом поверженного льва никогда не входила в мои этнические традиции.

Третья непонятка, связанная с кормлением обезьяны, возникла из-за неуклюжей формулировки: "Те, кто чувствуют уверенность в своих силах, меняют встроенные гадости (брандмауэр и антивирус) на нормальные аналоги сторонних производителей (Agnitum Outpost и Eset Nod32 в моем случае), а UAC’у просто сворачивают шею (полностью отключают, то бишь)". Счастливые гоблины, в предвкушении замоча, мигом затоварили мылом редакционную почту: "Хочу обратиться к Сергею Голубицкому, может он поделится секретом, как ему удалось скрестить Vista и Agnitum Outpost? Может он вообще не ставил себе новую ось?" - кайфует анонимный Рома. Разочаровываю Рому: во-первых, насколько мне известно, Outpost с Вистой уже совокупляется, поскольку ведется тестирование внутренней беты (при желании мог бы ее получить у разработчиков); во-вторых, фраза "в моем случае" относится к тому, какие программы я считаю "нормальными аналогами", а не к самоличному тестированию Outpost под Вистой. Выразился неудачно, согласен, однако всякий пожиратель культур-повидла со стажем (а не случайно шагающий мимо) должен был бы знать, что уже который год как я отказался от программных файрволлов, обходясь железным экраном моего маршрутизатора - о чем неоднократно писано в "Голубятнях".