Разделы

Безопасность Госрегулирование Пользователю Техническая защита

Пенсионный фонд слил в Сеть личные данные граждан

Отделение Пенсионного фонда опубликовало на своем сайте файл с данными нескольких сотен граждан. Перед тем как к файлу закрыли доступ, его успели проиндексировать поисковики.

В интернете оказались доступны данные примерно о 600 пользователях из Пенсионного фонда России (ПФР) – их имена, регистрационные номера ПФР, размер накопительной и страховой части, а также накоплений ФФОМС И ТФОМС.

Файл с этими данными в формате xls (см. скриншот ниже) выложило на днях на сайте одно из управлений ПФР в Тверской области. Спустя некоторое время его убрали из открытого доступа, однако его содержимое к тому моменту успели проиндексировать все основные поисковики.

В ПФР заявляют, что причиной появления файла стала «техническая ошибка» на сайте Тверского отделения фонда. Сам по себе файл содержал список индивидуальных предпринимателей – должников по уплате страховых взносов и суммы их задолженности по Тверской области, утверждают представители ПФР, отмечая при этом, что содержащиеся в нем данные «персональными не являются, поскольку ФИО без паспортных данных не позволяют идентифицировать гражданина».

Представители фонда при этом уверяют, что цифры, приведенные в колонках файла под названием «Страховая часть» и «Накопительная часть» на самом деле таковыми не являются - это, по их словам, тоже суммы долга.

Страница, где размещался указанный файл с данными, не была защищена файлом robots.txt, говорят в «Яндексе». По словам представителей поисковика, сейчас содержимое файла не доступно в «Яндексе», поскольку робот переобошел страницу, на которой он был выложен благодаря инструменту оперативного удаления страниц из выдачи. Спустя какое-то время страница стала также не доступна в Bing и поиске Mail.ru.

В «Яндексе» также напомнили, что любая поисковая система индексирует только открытую часть интернета - те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля.


После удаления файла с сайта ПФР его содержимое можно было найти в кэше поисковиков

В Роскомнадзоре сообщили, что уже направили в адрес ПФР запрос о предоставлении разъяснений относительно причин, повлекших за собой предоставление доступа неограниченному кругу лиц к персональным данным граждан, размещенным на официальном сайте фонда, сведений о мерах, принятых ПФР для устранения неограниченного доступа к персональным данным граждан, а также информацию о мерах, принимаемых ПФР по обеспечению требований конфиденциальности и безопасности обрабатываемых персональных данных застрахованных лиц.

Марина Яловега, «Группа Астра»: Соискателям интересны амбициозные ИТ-проекты, значимые для страны
Цифровизация

Представитель службы Михаил Воробьев также напомнил, что в августе-сентябре 2011 г. Роскомнадзор совместно с ФСБ и ФСТЭК проводили проверку исполнения ПФР законодательства о персональных данных. По ее результатам нарушений требований безопасности при обработке персональных данных в информационных системах фонда не выявили, говорит он.

Стоит напомнить, что в июле в сети оказались доступны несколько тысяч SMS-сообщений абонентов «Мегафона», отправленные через специальную форму на сайте оператора. Как и в этот раз, «Яндекс» ссылался на ошибку администратора сайта, не запретившего индексацию соответствующих страниц файлом robots.txt.

По этому поводу развернулось судебное разбирательство между Роскомнадзором и «Мегафоном», закончившееся в пользу первого. Оператора привлекли к административной ответственности за нарушение тайны связи и предписали уплатить штраф в размере 30 тыс. руб.

Облегченная миграция с Oracle: как осуществить переход на новую СУБД быстрей и проще
Импортозамещение

Позднее в сети оказывались также доступны, например, личные данные клиентов онлайн магазинов, включая секс-шопы, покупателей железнодорожных билетов.

В InfoWatch полагают, что подобные утечки происходят из-за того, что зачастую организации, имеющие дело с персданными, склонны строить защиту, исходя лишь из формальных требований регуляторов, в то время как зачастую этого бывает недостаточно. Главный аналитик компании Николай Федотов при этом склоняется к мнению, что в данном случае пострадавшая сторона не будет подавать судебный иск, поскольку ущерб в таких случаях очень сложно доказать. «Недавние примеры утечек баз и SMS-сообщений в сотовых операторах здесь наиболее показательны», - говорит он.

Наталья Лаврентьева