Головотяпство. Госпортал выложил личные данные соискателей работы
Никакие заклинания чиновников о защите персональных данных в России не действуют. Потому что исполнение суровых российских законов – это творческая такая штука. К нему государственные служащие подходят с выдумкой, а порой в своей неспешной работе проявляют откровенное и вопиющее разгильдяйство.
К примеру, в июне 2019 года государственный портал «Информационно-аналитическая система Общероссийская база вакансий «Работа в России» (Trudvsem.ru) выложил в открытый доступ собственную базу резюме россиян. Вероятно, подразумевалось, что данные будут «обезличенными». Но этого, конечно, никто не проверил.
База данных представляет из себя массив из резюме примерно 906 000 российских граждан «весом» в 3,7 гигабайт. В ней упоминаются в качестве бывших мест работы соискателей наименования около 1,5 миллионов компаний и ИП.
Даже беглый анализ информации из файла показывает: спамеры и мошенники могут найти в нем много полезного для своей деятельности. Как становится понятно при просмотре базы данных, у каждого резюме было поле для свободного заполнения «Прочая информация».
И в этом поле наивные граждане РФ порой писали о себе все, что им придет в голову.
Например, из базы удается извлечь вот такие данные:
Все это вывалено в открытый доступ «как есть». Никому в голову не пришло проверить, что лежит в базе, в «ячейках» «otherinfo». Не нужно быть каким-то крутым специалистом, чтобы просканировать почти миллион резюме и составить любопытную выжимку из личных данных пользователей госпортала.
В базе встречаются, кстати, даже бывшие силовики (которые тоже склонны писать о себе всякое – там, где это не нужно).
Короткий поиск при помощи полученных данных позволяет выяснить, как выглядят соискатели работы, выдавшие порталу слишком много личного. Вот, например, та самая бухгалтер Анна:
А теперь вообразим, что некий мошенник узнает о человеке следующее: домашний и мобильный телефон, когда родился, где учился, где и когда работал, что умеет (например, знает английский), как выглядит. Какой простор для методов «социальной инженерии»!
Достаточно по телефону уверенным тоном представиться «работником государственной ИАС ОБВ «Работа в России», не давать человеку опомниться и… Но не станем популяризировать мошеннические скрипты…
Очевидно, что государственные органы и предприятия всех уровней, которые собирают данные россиян, прямо обязаны всячески охранять их персональные данные от утечек. Когда госконтора совершает такую утечку собственными руками – это просто ни в какие ворота не лезет.
На разработку государственных IT-систем идут серьезные деньги из бюджета страны, который находится в общественной собственности. Граждане РФ наполняют бюджет из личных карманов. Зарплаты тех, кто должен охранять персональные данные россиян, платятся оттуда же.
Зная это, приходишь, мягко говоря, в недоумение: «Я плачу за то, чтобы они там косячили?». Кто, как не государственные служащие, должны знать: многие граждане большой страны могут выложить всю подноготную даже тогда, когда им прямо говорят не делать этого.
Если в военных системах давно работают контуры «защиты от дурака», то почему в государственных IT-системах таких контуров нет? Что, это очень уж дорого и трудно – сделать заполнение полей на Trudvsem.ru таким, чтобы при внесении данных в ячейку «Прочая информация» фильтр отлавливал телефоны, адреса, имена, даты и не давал их публиковать?
И что, это так тяжело – перед публикацией базы данных проверить, а нет ли там персональных данных граждан? Такая проверка заняла бы 10 минут и показала, что база к публикации не готова.
Файл с резюме почти миллиона граждан РФ висит в сети уже месяц. Его скачали 48 687 раз. Вероятно, спамеры и мошенники по этой базе уже работают. Как сделать, чтобы такие идиотские утечки в России стали невозможными, я не знаю. Может быть, максимально громко и публично о них рассказывать?
Что делать, если ваши персональные данные попали в открытый доступ
Допустим вы обнаружили, что ваши данные оказались доступными онлайн. В этом случае первое, что нужно сделать – это написать обращение в Роскомнадзор.
В обращении следует указать адрес сайта, на котором оказалась чувствительная информация о вас. Если возможно – то URL конкретной страницы.
В случае, если сайт государственный или принадлежит известной компании с репутацией, то имеет смысл написать администрации ресурса требование об удалении сведений о вас, ссылаясь на закон «О персональных данных» № 152-ФЗ.
Если сайт «мусорный» – не имеет страницы контактов, неизвестно, в какой юрисдикции находится, непонятно, кому принадлежит, то здесь поможет именно Роскомнадзор.
Если вы уверены, что ваши персональные данные выложены в Сеть злонамеренно, возможно, имеет смысл проконсультироваться с юристом и, если он одобрит такой шаг – написать заявление в полицию. При этом обращаться нужно не в любое отделение, а в ваше региональное Управление «К» – найдите его контакты.
Изучите на досуге специальную Памятку МВД РФ об интернет-мошенничестве. В ней описаны несколько типичных мошеннических сценариев.
Будьте готовы к тому, что вам будут звонить очень уверенные в себе люди и представляться сотрудниками государственных органов, банков и т. п. Ни в какие разговоры с ними вступать не стоит – госорганы по юридическим вопросам общаются с гражданами письменно, посредством обычной почты. С банками же разговаривать следует только лично, очно – в их офисах.
На электронную почту, личные сообщения в соцсетях или SMS с любыми заявлениями о том, что вам нужно что-то «урегулировать», также не реагируйте.