Forwarded from Ivan Begtin (Ivan Begtin)
Публикую обещанную открытую часть материалов. По ссылке можно прочитать обзор 16 удостоверяющих центров из которых 9 государственные и во всех из них можно получить персональные данные в виде ФИО, места работы, email, ИНН и СНИЛС по физ. лицам через общедоступные реестры сертификатов. В общей сложности это около 63 тысяч записей о физ. лицах.
Ссылка на исследование: https://begtin.tech/pdleaks-p1-uc/
Это очень длинный лонгрид, с документированными примерами и скриншотами по каждому случаю, а также последовательностью воспроизведения.
Обратите внимание на то что:
- исследование проводилось в августе-сентябре 2018 года и в некоторых случаях проблема уже исправлена, но в это меньшая часть УЦ в которых вскрылась подобная ситуация;
- никаких несанкционированных действий в отношении УЦ не проводилось, был анализ только общедоступной информации;
В данном конкретном случае с удостоверяющими центрами проблема в регулировании и в применении этого регулирования УЦ. Подробнее об этом в тексте.
И, я ещё раз оговорюсь, публикуемое - это меньшая часть общего исследования по ситуации с персональными данными в созданных или регулируемых государством информационных системах. Во многих других случаях ситуация значительно хуже.
#data #privacy #personaldata
Ссылка на исследование: https://begtin.tech/pdleaks-p1-uc/
Это очень длинный лонгрид, с документированными примерами и скриншотами по каждому случаю, а также последовательностью воспроизведения.
Обратите внимание на то что:
- исследование проводилось в августе-сентябре 2018 года и в некоторых случаях проблема уже исправлена, но в это меньшая часть УЦ в которых вскрылась подобная ситуация;
- никаких несанкционированных действий в отношении УЦ не проводилось, был анализ только общедоступной информации;
В данном конкретном случае с удостоверяющими центрами проблема в регулировании и в применении этого регулирования УЦ. Подробнее об этом в тексте.
И, я ещё раз оговорюсь, публикуемое - это меньшая часть общего исследования по ситуации с персональными данными в созданных или регулируемых государством информационных системах. Во многих других случаях ситуация значительно хуже.
#data #privacy #personaldata
Ivan Begtin blog
Утечки персональных данных из удостоверяющих центров
В данном исследовании были проанализированы утечки таких видов персональных данных как СНИЛС, паспортные данные, сведения о трудоустройстве, сведения о ситуации с работодателем.
⚡️ Иван всегда был моим героем, но сегодня он герой на всю страну. И дело тут не в хайпе. А потому что нормальные деловые вопросы с государством (или связанными структурами) почему-то решаются зачастую только хайпом. С другой стороны - это ведь и есть одна из задач СМИ и рычаг общественного контроля. Итак:
ПЕРСОНАЛЬНЫЕ ДАННЫЕ В РФ И ИХ СОХРАННОСТЬ
https://t.me/begtin/1385
ПЕРСОНАЛЬНЫЕ ДАННЫЕ В РФ И ИХ СОХРАННОСТЬ
https://t.me/begtin/1385
Telegram
Ivan Begtin
В РБК вышла статья по доступности персональных данных на электронных торговых площадках [1]. Более 2,2 миллиона записей и это продолжение результатов моего исследования о персональных данных в удостоверяющих центрах [2].
В этот раз я, вместо того чтобы самому…
В этот раз я, вместо того чтобы самому…
Forwarded from Ivan Begtin (Ivan Begtin)
Государственная система или реестр без контроля качества данных - это помойка замедленного действия (с)
В который раз слушая сегодня о том как государство выделяет средства на очередную ФГИС, иную ИТ систему, реестр _чего-то там нового_, я не могу не отметить что без нормальной ИТ архитектуры всё это - это преумножение цифрового мусора.
Кроме тех историй о которых много лет, и я, и мои коллеги пишем, про качество данных в Минюсте или в Минэке, не стоит думать что во многих органах ситуация получше.
Вот лишь несколько примеров:
1. Минпросвещения публикует реестры по разным темам (12 файлов за 2 года) в виде PDF сканов и, реже, файлов MS Word. Только с названиями организаций и их адресами, без какой-либо дополнительной идентифицирующей информации.
2. Примерно у 5% организаций на портале ТрудВсем (trudvsem.ru) приведены недостоверные реквизиты в виде кодов ОГРН и ИНН.
3. Более чем у 500 организаций на портале госуслуг Gosuslugi.ru приведены неверные коды ИНН/ОГРН и у неизвестного (но значительного) числа организаций неверные или устаревшие контакты. Неверные реквизиты, в том числе у ФОИВ, например, Росводресурсов
4. Реестр аккредитованных ИТ компаний публикуется так что в поле ОГРН может быть как ОГРН организации, так и ОГРН включая текст о старом коде в случае реорганизации организации. В результате автоматическая загрузка в любую информационную систему потребует ручной/полуручной обработки. И да, около 100 организаций там просто внесены с неверными реквизитами. Интересно как они получают свои льготы?
5. Та же Минцифра не обновляет раздел Открытые данные уже почти 4 года. А какие-либо данные из их ГИСов вообще никогда не публиковались, даже статистика.
6. Похожие проблемы с данными Росздравнадзора и вообще всеми ведомствами.
Это всё помимо, уже привычных проблем, с элементарной доступностью данных которые должны быть доступны.
Главная беда в том что если процесс ведения той или иной базы выстроен неверно изначально, то исправлять это потом очень болезненно.
При этом, я большого секрета не открою, сделать типовое open source ПО для ведения практически любого реестра - несложно. Если реестр "плоский" то даже элементарно, но и даже если к нему привязано несколько понятий (документы, записи, понятия), то и в этом случае - очень просто. Казалось бы, всё это реестростроение, это вторая по популярности деятельность в госаппарате после нормопорождения, но нет, ничего подобного не существует.
Казалось бы такая нужна штука, так почему нет рыночных решений по ведению реестров?
Ситуация, во многом, от:
а) Недостаточной квалификации тех кто за ведение реестров отвечает (до сих пор руководители не понимают что это ИТ задачи).
б) Отсутствия внутренней планки качества во многих организациях.
Публиковать те или иные данные в режиме "и так сойдёт" очень сильно отличается от публиковать в режиме "мы не справляемся, у нас проблемы, помогите нам исправить".
Если первое это от недостатка культуры работы с информацией (к счастью это меняется), то второе это от уважения к аудитории. Этим похвастаться, увы, могут не все(
Ну а самое главное в том что главная причина в низком качестве, не только в государстве, но и в частных компаниях, возникает когда они собираются, но не используются.
Если нет системы поддержки принятия решений, то о качестве данных даже не вспоминают. Если данные портала ТрудВсем никому не нужны, то конечно там будут сплошные ошибки.
Если Минцифра не публикует открытые данные с портала Госуслуг, то конечно там будут ошибки.
Предполагать что данные которые не публикуют "в хорошем качестве и доступны только своим" - это также большое заблуждение. Реальность хуже, реальность прозаичнее.
#data #government
В который раз слушая сегодня о том как государство выделяет средства на очередную ФГИС, иную ИТ систему, реестр _чего-то там нового_, я не могу не отметить что без нормальной ИТ архитектуры всё это - это преумножение цифрового мусора.
Кроме тех историй о которых много лет, и я, и мои коллеги пишем, про качество данных в Минюсте или в Минэке, не стоит думать что во многих органах ситуация получше.
Вот лишь несколько примеров:
1. Минпросвещения публикует реестры по разным темам (12 файлов за 2 года) в виде PDF сканов и, реже, файлов MS Word. Только с названиями организаций и их адресами, без какой-либо дополнительной идентифицирующей информации.
2. Примерно у 5% организаций на портале ТрудВсем (trudvsem.ru) приведены недостоверные реквизиты в виде кодов ОГРН и ИНН.
3. Более чем у 500 организаций на портале госуслуг Gosuslugi.ru приведены неверные коды ИНН/ОГРН и у неизвестного (но значительного) числа организаций неверные или устаревшие контакты. Неверные реквизиты, в том числе у ФОИВ, например, Росводресурсов
4. Реестр аккредитованных ИТ компаний публикуется так что в поле ОГРН может быть как ОГРН организации, так и ОГРН включая текст о старом коде в случае реорганизации организации. В результате автоматическая загрузка в любую информационную систему потребует ручной/полуручной обработки. И да, около 100 организаций там просто внесены с неверными реквизитами. Интересно как они получают свои льготы?
5. Та же Минцифра не обновляет раздел Открытые данные уже почти 4 года. А какие-либо данные из их ГИСов вообще никогда не публиковались, даже статистика.
6. Похожие проблемы с данными Росздравнадзора и вообще всеми ведомствами.
Это всё помимо, уже привычных проблем, с элементарной доступностью данных которые должны быть доступны.
Главная беда в том что если процесс ведения той или иной базы выстроен неверно изначально, то исправлять это потом очень болезненно.
При этом, я большого секрета не открою, сделать типовое open source ПО для ведения практически любого реестра - несложно. Если реестр "плоский" то даже элементарно, но и даже если к нему привязано несколько понятий (документы, записи, понятия), то и в этом случае - очень просто. Казалось бы, всё это реестростроение, это вторая по популярности деятельность в госаппарате после нормопорождения, но нет, ничего подобного не существует.
Казалось бы такая нужна штука, так почему нет рыночных решений по ведению реестров?
Ситуация, во многом, от:
а) Недостаточной квалификации тех кто за ведение реестров отвечает (до сих пор руководители не понимают что это ИТ задачи).
б) Отсутствия внутренней планки качества во многих организациях.
Публиковать те или иные данные в режиме "и так сойдёт" очень сильно отличается от публиковать в режиме "мы не справляемся, у нас проблемы, помогите нам исправить".
Если первое это от недостатка культуры работы с информацией (к счастью это меняется), то второе это от уважения к аудитории. Этим похвастаться, увы, могут не все(
Ну а самое главное в том что главная причина в низком качестве, не только в государстве, но и в частных компаниях, возникает когда они собираются, но не используются.
Если нет системы поддержки принятия решений, то о качестве данных даже не вспоминают. Если данные портала ТрудВсем никому не нужны, то конечно там будут сплошные ошибки.
Если Минцифра не публикует открытые данные с портала Госуслуг, то конечно там будут ошибки.
Предполагать что данные которые не публикуют "в хорошем качестве и доступны только своим" - это также большое заблуждение. Реальность хуже, реальность прозаичнее.
#data #government
Forwarded from Комиссия по Регуляторике
💥 Резонансный проект постановления Правительства РФ о передаче операторами связи информации, необходимой для мониторинга достоверности сведений об абонентах вызвал широкое обсуждение в СМИ - @izvestia публикуют мнение доцента ВШЭ и заместителя председателя профильной комиссии Московского отделения АЮР Александра Савельева, которое цитируют каналы @privacyexperts @Orwell_Reality
✍ Не отрицая значимость аргументов, указанных А.Савельевым, отметим, что операторам связи стоит поучиться у @usher2 тому, как писать в Минэкономразвития (@MinEconomyrf) жалобы по факту неверного определения степени регулирующего воздействия проекта.
🎯 Потому что переквалификация на высокую степень воздействия сразу же "включает" правило #ОдинЗаОдин #1in1out об отмене соразмерного объема требований, которое разработчику придется как-то исполнять.
👉 Обращаем внимание, что публичное обсуждение проекта продлится до 5 апреля 2021 г.
#Минцифры #ОРВ #связь #телеком #PersonalData #data #данные
✍ Не отрицая значимость аргументов, указанных А.Савельевым, отметим, что операторам связи стоит поучиться у @usher2 тому, как писать в Минэкономразвития (@MinEconomyrf) жалобы по факту неверного определения степени регулирующего воздействия проекта.
🎯 Потому что переквалификация на высокую степень воздействия сразу же "включает" правило #ОдинЗаОдин #1in1out об отмене соразмерного объема требований, которое разработчику придется как-то исполнять.
👉 Обращаем внимание, что публичное обсуждение проекта продлится до 5 апреля 2021 г.
#Минцифры #ОРВ #связь #телеком #PersonalData #data #данные
Известия
Семь нянек
Юрист Александр Савельев — о том, к чему может привести новая инициатива Роскомнадзора по борьбе с серыми SIM-картами
Forwarded from Комиссия по Регуляторике
Монетизация обезличивания
Активное обсуждение проекта федерального закона, посвященного изменению регулирования обезличенных персональных данных идет последние две недели во многих каналах:
@rspectr @ict_moscow_ai @DataEconomyRU @GDPRru @privacyexperts @bureaucraticsecurity @Lgltech @Persdata @rks_legal_talk @roskomsvoboda @antidigital
Но пока аргументы всех сторон про обезличивание / анонимизацию носят исключительно качественный характер.
Ни пояснительная записка к законопроекту, ни традиционно пустое ФЭО, ни обсуждаемые поправки не содержат никаких расчетов:
- издержки операторов персональных данных на сбор / хранение согласий на обработку данных;
- издержки операторов на обезличивание;
- оценка ущерба субъектов персональных данных при использовании их данных без согласия или при де-обезличивании;
- объем рынка big data (ведь весь сыр-бор именно из-за него) и перспективы его роста в России.
При отсутствии этих данных любые правовые модели носят исключительно умозрительный характер, скрывая реальные цели лоббистов любой из продвигаемых моделей регулирования.
Короче, покажите вашимозоли расчёты!
#PersonalData #data #данные #BigData #EvidenceBased
Активное обсуждение проекта федерального закона, посвященного изменению регулирования обезличенных персональных данных идет последние две недели во многих каналах:
@rspectr @ict_moscow_ai @DataEconomyRU @GDPRru @privacyexperts @bureaucraticsecurity @Lgltech @Persdata @rks_legal_talk @roskomsvoboda @antidigital
Но пока аргументы всех сторон про обезличивание / анонимизацию носят исключительно качественный характер.
Ни пояснительная записка к законопроекту, ни традиционно пустое ФЭО, ни обсуждаемые поправки не содержат никаких расчетов:
- издержки операторов персональных данных на сбор / хранение согласий на обработку данных;
- издержки операторов на обезличивание;
- оценка ущерба субъектов персональных данных при использовании их данных без согласия или при де-обезличивании;
- объем рынка big data (ведь весь сыр-бор именно из-за него) и перспективы его роста в России.
При отсутствии этих данных любые правовые модели носят исключительно умозрительный характер, скрывая реальные цели лоббистов любой из продвигаемых моделей регулирования.
Короче, покажите ваши
#PersonalData #data #данные #BigData #EvidenceBased
sozd.duma.gov.ru
№992331-7 Законопроект :: Система обеспечения законодательной деятельности
Информационный ресурс Государственной Думы. Здесь собрана информация о рассмотрении законопроектов и проектов постановлений Государственной Думы
Forwarded from Госдума РФ. Движение законопроектов
⚡️⚡️⚡️ Я конечно такое предполагал, но не верил. Интегрити у базы Госдумы как на городской свалке. И естественно позволяет стыдливо прикрыться фиговым листком.
👉 Вот посмотрите:
https://sozd.duma.gov.ru/bill/407652-8
🤷♂️ Гдеденьги, Лебовски, события 1.3 (Регистрация писем и документов об изменении текста и паспортных данных законопроекта) в ленте событий? (да-да, туда 1.3 полне попадает, в том числе и со снятием инициатора):
https://sozd.duma.gov.ru/oz?b[NumberSpec]=407652-8&b[NumberSpec][]=407652-8&b[ClassOfTheObjectLawmakingId]=1&#data_source_tab_b
(в ленте всегда только последнее событие)
👉 Вот посмотрите:
https://sozd.duma.gov.ru/bill/407652-8
🤷♂️ Где
https://sozd.duma.gov.ru/oz?b[NumberSpec]=407652-8&b[NumberSpec][]=407652-8&b[ClassOfTheObjectLawmakingId]=1&#data_source_tab_b
(в ленте всегда только последнее событие)
Forwarded from Эксперт по Госдуме
На этой неделе Госдума впервые планирует скорректировать нормы федерального закона и принять в трех чтениях инициативу Парламента Чеченской Республики.
Речь идет о законопроекте, который
1) определяет в качества суда первой инстанции по делам о признании
информационных материалов экстремистскими региональный суд,
2) определяет необходимость привлечение судом к участию в деле правообладателей, издателей, авторов произведений
и (или) перевода,
3) суд должен будет вызвать на судебное заседание специалиста, обладающего специальными знаниями по соответствующей религии.
Вероятно, поводом для законодательной инициативы послужила реакция на вынесенные ранее судебные решения.
Если верить данным думской базы, до этого ни одна инициатива из чеченского парламента, даже на схожую тематику, кроме технических о переименовании районных судов и установлении числа судебных участков, не доходила до принятия.
Ситуация на самом деле не уникальная - например, в этом созыве половина регионов либо не выступили с инициативами, либо их проекты так и не дошли, по разным причинам, до принятия.
В этот раз всё сошлось. Можно поздравить парламент Чеченской республики с таким знаменательным событием в законотворческой жизни.
Речь идет о законопроекте, который
1) определяет в качества суда первой инстанции по делам о признании
информационных материалов экстремистскими региональный суд,
2) определяет необходимость привлечение судом к участию в деле правообладателей, издателей, авторов произведений
и (или) перевода,
3) суд должен будет вызвать на судебное заседание специалиста, обладающего специальными знаниями по соответствующей религии.
Вероятно, поводом для законодательной инициативы послужила реакция на вынесенные ранее судебные решения.
Если верить данным думской базы, до этого ни одна инициатива из чеченского парламента, даже на схожую тематику, кроме технических о переименовании районных судов и установлении числа судебных участков, не доходила до принятия.
Ситуация на самом деле не уникальная - например, в этом созыве половина регионов либо не выступили с инициативами, либо их проекты так и не дошли, по разным причинам, до принятия.
В этот раз всё сошлось. Можно поздравить парламент Чеченской республики с таким знаменательным событием в законотворческой жизни.