Канал Нецифровая экономика пишет с критикой [1] про Ашота Оганисяна, технического директора компании Device Lock и автора канала об утечках данных. Пишут справедливо про ситуацию с публикациями про утечки с сайта Госуслуг, но всей картины явно не знают. Device Lock не только активно торгует продуктом по выявлению утечек, но и одним из их клиентов является Ростелеком. Как минимум 2017 и 2018 годах их продукт продавался через Акционерное общество "Смарт Лайн Инк" (владельцем которого является также Ашот Оганесян) и которые заключили договора 31806519034-01 и 57707049388170034600000, а может быть и в этом году было, точно не скажешь потому что Правительство позволяет с 2018 года скрывать поставщиков по 223-ФЗ, но желающие быстро найдут список клиентов по ключевым словам "DeviceLock" в базах госконтрактов [2]. Сам продукт DeviceLock, видимо, на одноимённой компании где, опять же, Ашот Оганесян является владельцем (иначе говоря технический директор это совсем не то что конечный бенефициар).
Поэтому, при всей моей малой любви к тому же Ростелекому проблема с публикациями об утечках, к сожалению, несёт большой этический вопрос:
1. Публикация любых сведений об утечках до предупреждения и разумного времени на устранение проблем у компании - это, в первую очередь, создание ситуации когда страдают все те граждане сведения о которых в утечках содержаться. Более того, обнародование непубличных канал потенциальной утечки и придание им публичности - это и есть утечка. Иначе говоря - утечка персональных данных становится не "потенциальной", а реальной именно тогда когда ей придаётся максимальная публичность.
2. Наличие у владельца компании контрактных отношений с Ростелекомом и одновременно публикации об их утечках можно трактовать как "шантаж" потенциального или прошлого клиента. Если Ростелеком и Минкомсвязь найдут зацепку засудить DeviceLock за подобное - они будут совершенно правы.
Я напомню что этические вопросы в проблемах с утечками персональных данных являются первоочередными. При передаче РБК материалов по утечкам персональных данных [3] лично я выдержал паузу более чем в 8 месяцев после уведомления Роскомнадзора.
2020 год пройдет под эгидой этики, поверьте моему слову, "этика" будет главным словом.
Ссылки:
[1] https://t.me/antidigital/2088
[2] https://clearspending.ru/contract/?productsearch=DeviceLock&search-submit=&grbs=®num=&daterange=&price_gte=&price_lte=&customerregion=&address=&budgetlevel=&okdp_okpd=&sort=-signDate&fz=None&customerinn=&customerkpp=&supplierinn=&supplierkpp=
[3] https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5
#dataleaks #leaks #data #personaldata
Поэтому, при всей моей малой любви к тому же Ростелекому проблема с публикациями об утечках, к сожалению, несёт большой этический вопрос:
1. Публикация любых сведений об утечках до предупреждения и разумного времени на устранение проблем у компании - это, в первую очередь, создание ситуации когда страдают все те граждане сведения о которых в утечках содержаться. Более того, обнародование непубличных канал потенциальной утечки и придание им публичности - это и есть утечка. Иначе говоря - утечка персональных данных становится не "потенциальной", а реальной именно тогда когда ей придаётся максимальная публичность.
2. Наличие у владельца компании контрактных отношений с Ростелекомом и одновременно публикации об их утечках можно трактовать как "шантаж" потенциального или прошлого клиента. Если Ростелеком и Минкомсвязь найдут зацепку засудить DeviceLock за подобное - они будут совершенно правы.
Я напомню что этические вопросы в проблемах с утечками персональных данных являются первоочередными. При передаче РБК материалов по утечкам персональных данных [3] лично я выдержал паузу более чем в 8 месяцев после уведомления Роскомнадзора.
2020 год пройдет под эгидой этики, поверьте моему слову, "этика" будет главным словом.
Ссылки:
[1] https://t.me/antidigital/2088
[2] https://clearspending.ru/contract/?productsearch=DeviceLock&search-submit=&grbs=®num=&daterange=&price_gte=&price_lte=&customerregion=&address=&budgetlevel=&okdp_okpd=&sort=-signDate&fz=None&customerinn=&customerkpp=&supplierinn=&supplierkpp=
[3] https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5
#dataleaks #leaks #data #personaldata
Telegram
Нецифровая экономика
⚔Рыцарь утечек
Вчера федеральные СМИ наперебой перепечатывали новость про утечку в Ростелекоме, которую впоследствии опровергли. За валом недовольных комментариев и хором экспертных мнений легко не заметить уши, которые торчат буквально из всех статей про…
Вчера федеральные СМИ наперебой перепечатывали новость про утечку в Ростелекоме, которую впоследствии опровергли. За валом недовольных комментариев и хором экспертных мнений легко не заметить уши, которые торчат буквально из всех статей про…
По поводу "утечки паспортов" с электронным голосованием не могу не продолжить. Много лет назад, когда деревья были большими, а я меньше работал с большими данными, я начал (и, эх, не закончил) книгу под названием "скрытые данные" которая была посвящена извлечению данных из многочисленных кодов, численных и буквенных, которые нас окружают. Там было о том как читать ОГРН, ИНН и так далее, бесконечное число кодов для расшифровки. Более 99 я тогда проанализировал и, даже, вздох, тогда ещё думал формулировать их онтологию ибо многие были взаимосвязаны.
Номера паспортов в России - это тоже некоторые уникальные коды, не менявшиеся структурно десятилетия, чем-то похоже на Social Security Numbers в США, с одной стороны объект пристального внимания и страха, с другой стороны малозначащие сами по себе.
Что важно знать о номере паспорта:
- номера паспортов не уникальны (не спрашивайте меня, я не отвечу), просто посмотрите на портал госуслуг и вспомните что там СНИЛС, а не номер паспорта. Подробностей тут не расскажу
- в отличие от других кодов у него нет проверочного номера
- первые 2 цифры серии паспорта - это код субъекта федерации, следующие 2 цифры серии - это номер года печати бланка, как правило соответствует или предшествует дате выдачи паспорта.
- остальные цифры инкрементальны, но нет какого-то известного алгоритма как они распределялись по УФМС/ОВД для выдачи поэтому нельзя оценить по номерам паспортов, например, общее число выданных паспортов за год или дату выдачи конкретного.
Из-за всего этого прямое раскрытие номеров паспортов проголосовавших дистанционно - это, конечно, не раскрытие персональных данных. Это раскрытие факта голосования, да, но не персональных данных формально.
Фактически эту базу стоит воспринимать как состоящую из 3 значений:
- номер паспорта
- признак что его владелец жив
- признак что его владелец использовал интернет-голосование (имеет телефон, компьютер и тд.)
Для всех кто находится в правовом поле эти данные ничего не дадут потому что большинство подобных пользователей не оперируют базами с паспортными данными людей.
А вот если мы говорим о неэтичных/пограничных моделях использования данных, то они, конечно, есть.
1. Всяческие торговцы базами "база покупателей БАДов", "база игроков Форекс", "база посетителей казино" могут теперь обогащать свои данные дополнительной информацией, голосовал ли человек онлайн. Можно ли это применить во вредоносных целях? Я по прежнему не могу придумать. Вижу лишь возможность обогащения одних баз данных другими данными.
2. Контроль голосования на крупных предприятиях. Если предположить что на некоторых предприятиях контролируют явку граждан на выборы, то о проверке голосовавших на УИКах руководство предприятий может договориться на месте, а проверку проголосовавших онлайн можно сделать только с помощью вот такой вот базы
3. Косвенная социология, вроде той что делала медуза по номерам бланков паспортов, выявляя потенциальные возрастные и территориальные группы голосовавших. Очень сомнительная социология, потому что нет возможности сравнить с демографией голосовавших в принципе, а не только онлайн.
Выводов у меня нет, я по прежнему считаю что персональных данных здесь нет, но публикация базы паспортов (базы хэшей) - это ошибка.
Кстати, когда в мае 2019 года я писал о том как реально извлекать закодированные персональные данные из цифровых подписей к документам - вот это была реальная утечка данных. Хочешь узнать чей-то СНИЛС, найди документ который этот человек подписал цифровой подписью (с)
Там тоже применялось "кодирование информации", но без хэш сумм.
Вся эта ситуация и многочисленные ранее говорят нам постоянно лишь об одном непреложном факте - в России нет регулятора защищающего права граждан на приватность. Обсуждать роль Роскомнадзора - это просто бессмысленно тратить время. Нужна ли реформа в этой сфере? Необходима.
#privacy #personaldata
Номера паспортов в России - это тоже некоторые уникальные коды, не менявшиеся структурно десятилетия, чем-то похоже на Social Security Numbers в США, с одной стороны объект пристального внимания и страха, с другой стороны малозначащие сами по себе.
Что важно знать о номере паспорта:
- номера паспортов не уникальны (не спрашивайте меня, я не отвечу), просто посмотрите на портал госуслуг и вспомните что там СНИЛС, а не номер паспорта. Подробностей тут не расскажу
- в отличие от других кодов у него нет проверочного номера
- первые 2 цифры серии паспорта - это код субъекта федерации, следующие 2 цифры серии - это номер года печати бланка, как правило соответствует или предшествует дате выдачи паспорта.
- остальные цифры инкрементальны, но нет какого-то известного алгоритма как они распределялись по УФМС/ОВД для выдачи поэтому нельзя оценить по номерам паспортов, например, общее число выданных паспортов за год или дату выдачи конкретного.
Из-за всего этого прямое раскрытие номеров паспортов проголосовавших дистанционно - это, конечно, не раскрытие персональных данных. Это раскрытие факта голосования, да, но не персональных данных формально.
Фактически эту базу стоит воспринимать как состоящую из 3 значений:
- номер паспорта
- признак что его владелец жив
- признак что его владелец использовал интернет-голосование (имеет телефон, компьютер и тд.)
Для всех кто находится в правовом поле эти данные ничего не дадут потому что большинство подобных пользователей не оперируют базами с паспортными данными людей.
А вот если мы говорим о неэтичных/пограничных моделях использования данных, то они, конечно, есть.
1. Всяческие торговцы базами "база покупателей БАДов", "база игроков Форекс", "база посетителей казино" могут теперь обогащать свои данные дополнительной информацией, голосовал ли человек онлайн. Можно ли это применить во вредоносных целях? Я по прежнему не могу придумать. Вижу лишь возможность обогащения одних баз данных другими данными.
2. Контроль голосования на крупных предприятиях. Если предположить что на некоторых предприятиях контролируют явку граждан на выборы, то о проверке голосовавших на УИКах руководство предприятий может договориться на месте, а проверку проголосовавших онлайн можно сделать только с помощью вот такой вот базы
3. Косвенная социология, вроде той что делала медуза по номерам бланков паспортов, выявляя потенциальные возрастные и территориальные группы голосовавших. Очень сомнительная социология, потому что нет возможности сравнить с демографией голосовавших в принципе, а не только онлайн.
Выводов у меня нет, я по прежнему считаю что персональных данных здесь нет, но публикация базы паспортов (базы хэшей) - это ошибка.
Кстати, когда в мае 2019 года я писал о том как реально извлекать закодированные персональные данные из цифровых подписей к документам - вот это была реальная утечка данных. Хочешь узнать чей-то СНИЛС, найди документ который этот человек подписал цифровой подписью (с)
Там тоже применялось "кодирование информации", но без хэш сумм.
Вся эта ситуация и многочисленные ранее говорят нам постоянно лишь об одном непреложном факте - в России нет регулятора защищающего права граждан на приватность. Обсуждать роль Роскомнадзора - это просто бессмысленно тратить время. Нужна ли реформа в этой сфере? Необходима.
#privacy #personaldata