Кибервойна

Как госорганы оправдываются за утечки данных

Что делают госорганы, допустившие утечку данных? Ищут способ избежать наказания в 60 тысяч рублей. Как именно, посмотрим на примере Минпросвещения и Федеральной таможенной службы.

Минпросвещения привлекли к ответственности за июньскую утечку базы данных образовательной платформы «Российская электронная школа». Утекли данные более 9 млн пользователей, включая ФИО, email, хэшированный пароль, пол, дата рождения, для некоторых пользователей — телефон и идентификатор в Госуслугах.

Оправдания министерства в суде:

— Мы не являемся оператором данных: «Министерство просвещения Российской Федерации не является оператором персональных данных сайта "Российская электронная школа", так как ответственность за обеспечение функционирование данной платформы возложена приказом Минобрнауки на подведомственное Министерству ФГАУ ГНИИ ИТТ "Информатика"», — из материалов дела следует, что оператором было всё-таки именно-министерство;
— У нас не было возможности обновить ПО: «Министерство не имело возможности принять меры к предотвращению взлома базы данных из-за отсутствия обновлений программного обеспечения», — это можно не комментировать.

Федеральная таможенная служба привлечена к ответственности за утечку, которая произошла в апреле во время атаки на системы ведомства. Была слита база на 78 тысяч строк с персданными сотрудников ФТС, в том числе ФИО, email, паспортные данные, адрес, сведения о трудовой деятельности, должность, звание, департамент, награды и пр.

Оправдания таможни в суде:

— Утечка не доказана, потому что Роскомнадзор указал дату публикации данных, а не дату их похищения: «Если предположить, что утрата имела место быть, то данное событие, в том числе могло произойти за пределами срока давности привлечения к административной ответственности, что является обстоятельством, исключающим производство по делу об административном правонарушении», — операторы персданных, допустившие утечку, привлекаются к ответственности по статье 13.11 ч.1. КоАП, по смыслу которой дата утраты принципиальной роли не играет, поскольку для правонарушения достаточно самого факта, что данные доступны не тем людям, то есть слиты в телеграм-канале, например;
— Роскомнадзор не исследовал обстоятельства утраты данных: «Обстоятельства утраты или передачи персональных данных третьим лицам Управлением Роскомнадзора по ЦФО не исследовались и не устанавливались. Материалы по делу об административном правонарушении также не содержат фактических обстоятельств, свидетельствующих об утрате госорганом персональных данных», — опять же по нынешнему законодательству это особой роли не играет;
— Вы не привлекли к делу тех, чьи данные утекли: «Субъекты персональных данных в рамках производства по делу об административном правонарушении не опрашивались, обстоятельства наличия возможного согласия на обработку персональных сданных, а также возможной утечки персональных данных со стороны должностных лиц ФТС России не устанавливались», — опять же какая разница? Другое дело, что субъектов персданных действительно надо информировать, но вряд ли ФТС была бы рада, если бы все затронутые сотрудники получили полное представление о том, почему и в каком объёме утекли их данные. Кстати, интересно, уведомляли ли сотрудников после утечки?
— А также разные процессуальные моменты. Например: «В Протоколе имеется отсылка на нарушение ФТС России "ч. 1 ст. 6, ст. 7, ст. 10.1 Закона", при этом отсутствуют полные реквизиты данного нормативного правового акта», — суд, естественно, счёл это технической ошибкой, а не основанием избавлять ФТС от ответственности.

В обоих случаях довольно убедительно доказывается, что утечки действительно произошли, а не были выдуманы. И обе организации были оштрафован на 60 тысяч. На мой взгляд, размер штрафа вполне сопоставим с убедительностью оправданий.

Хабр

DLBI: хакер выложил в открытый доступ базу данных пользователей образовательной платформы «Российская электронная школа»

2 июня 2023 года в открытый доступ попал дамп из PostgreSQL с базой данных зарегистрированных пользователей предположительно государственной образовательной платформы «Российская электронная школа» (...

www.group-telegram.com/sg/cyberguerre.com/1443

14.3K viewsedited  Oct 14, 2023 at 18:43

Как госорганы оправдываются за утечки данных

Что делают госорганы, допустившие утечку данных? Ищут способ избежать наказания в 60 тысяч рублей. Как именно, посмотрим на примере Минпросвещения и Федеральной таможенной службы.

Минпросвещения привлекли к ответственности за июньскую утечку базы данных образовательной платформы «Российская электронная школа». Утекли данные более 9 млн пользователей, включая ФИО, email, хэшированный пароль, пол, дата рождения, для некоторых пользователей — телефон и идентификатор в Госуслугах.

Оправдания министерства в суде:

— Мы не являемся оператором данных: «Министерство просвещения Российской Федерации не является оператором персональных данных сайта "Российская электронная школа", так как ответственность за обеспечение функционирование данной платформы возложена приказом Минобрнауки на подведомственное Министерству ФГАУ ГНИИ ИТТ "Информатика"», — из материалов дела следует, что оператором было всё-таки именно-министерство;
— У нас не было возможности обновить ПО: «Министерство не имело возможности принять меры к предотвращению взлома базы данных из-за отсутствия обновлений программного обеспечения», — это можно не комментировать.

Федеральная таможенная служба привлечена к ответственности за утечку, которая произошла в апреле во время атаки на системы ведомства. Была слита база на 78 тысяч строк с персданными сотрудников ФТС, в том числе ФИО, email, паспортные данные, адрес, сведения о трудовой деятельности, должность, звание, департамент, награды и пр.

Оправдания таможни в суде:

— Утечка не доказана, потому что Роскомнадзор указал дату публикации данных, а не дату их похищения: «Если предположить, что утрата имела место быть, то данное событие, в том числе могло произойти за пределами срока давности привлечения к административной ответственности, что является обстоятельством, исключающим производство по делу об административном правонарушении», — операторы персданных, допустившие утечку, привлекаются к ответственности по статье 13.11 ч.1. КоАП, по смыслу которой дата утраты принципиальной роли не играет, поскольку для правонарушения достаточно самого факта, что данные доступны не тем людям, то есть слиты в телеграм-канале, например;
— Роскомнадзор не исследовал обстоятельства утраты данных: «Обстоятельства утраты или передачи персональных данных третьим лицам Управлением Роскомнадзора по ЦФО не исследовались и не устанавливались. Материалы по делу об административном правонарушении также не содержат фактических обстоятельств, свидетельствующих об утрате госорганом персональных данных», — опять же по нынешнему законодательству это особой роли не играет;
— Вы не привлекли к делу тех, чьи данные утекли: «Субъекты персональных данных в рамках производства по делу об административном правонарушении не опрашивались, обстоятельства наличия возможного согласия на обработку персональных сданных, а также возможной утечки персональных данных со стороны должностных лиц ФТС России не устанавливались», — опять же какая разница? Другое дело, что субъектов персданных действительно надо информировать, но вряд ли ФТС была бы рада, если бы все затронутые сотрудники получили полное представление о том, почему и в каком объёме утекли их данные. Кстати, интересно, уведомляли ли сотрудников после утечки?
— А также разные процессуальные моменты. Например: «В Протоколе имеется отсылка на нарушение ФТС России "ч. 1 ст. 6, ст. 7, ст. 10.1 Закона", при этом отсутствуют полные реквизиты данного нормативного правового акта», — суд, естественно, счёл это технической ошибкой, а не основанием избавлять ФТС от ответственности.

В обоих случаях довольно убедительно доказывается, что утечки действительно произошли, а не были выдуманы. И обе организации были оштрафован на 60 тысяч. На мой взгляд, размер штрафа вполне сопоставим с убедительностью оправданий.

BY Кибервойна