Власть стала прозрачной

Государственные документы, в том числе для служебного пользования, оказались доступны всем через поисковые системы. Это третья за две недели утечка конфиденциальных данных

Поисковые системы индексируют и выдают теперь уже не только персональные данные пользователей разных сервисов, но и документы госорганов ограниченной доступности. Стоит набрать в поисковой строке «Яндекса», Google или Bing запрос «для служебного пользования site: адрес сайта (например, gov.ru)», и в поисковой выдаче появляются ссылки на документы, в том числе с грифом «для служебного пользования» (ДСП). Поисковики индексировали документы Федеральной антимонопольной службы (ФАС), Федеральной миграционной службы (ФМС), Счетной палаты, региональных отделений органов государственной власти, Минэкономразвития.

Проверят всех

Следственный комитет РФ по городу Москве расследует ситуацию с утечкой в интернет sms-сообщений абонентов «Мегафона». Специалисты по безопасности пришли к выводу, что виноваты в утечке могут быть сотрудники как «Яндекса», так и «Мегафона». У этих компаний следователи запросили заключения о служебных проверках.

Представители «Яндекса», Google и Microsoft говорят, что поисковые роботы индексируют лишь общедоступную информацию. Google и «Яндекс» советуют владельцам сайтов во избежание подобных случаев вписать в файл robots.txt запрет на индексирование определенных страниц.

Поисковики начали индексировать то, чего индексировать не должны, – документы, которых нет на сайте, говорит основатель сервиса статистики Liveinternet Герман Клименко. Они делают это с помощью панели управления для браузера: если пользователь просмотрел конфиденциальную информацию, его панель управления автоматически отправляет ссылку на эту информацию в поисковик. Есть и другой способ – через систему статистики («Яндекс. Метрика» или Google Analytics): счетчик, как и панель управления, укажет поисковому роботу путь к конфиденциальной информации.

Представитель Google говорит, что поисковик не собирает данных так, как описывает Клименко. А «Яндекс» выпустил официальное сообщение, что изменяет настройки доступа в «Яндекс.Метрике», чем косвенно признал, что подобное могло происходить. То, что счетчик может собирать анонимные данные о посещениях сайта и в автоматическом режиме передавать их «Яндексу» для получения статистики, говорится в пользовательском соглашении «Метрики», напоминает представитель «Яндекса» Очир Манджиков. Но если в robots.txt прописаны ограничения для доступа к определенным разделам или они находятся за паролем, то такие данные в поисковую выдачу не попадают, уверяет он.

По словам сотрудника ФСБ, среди просмотренных им документов, попавших в открытый доступ, секретных нет – только ДСП. Но за разглашение такой информации серьезной ответственности нет. ФАС, Счетная палата и ФМС заверили, что в поисковики секретов не попало. ФАС признала, что на одном из документов стоит гриф «ДСП», но он стоит там по ошибке. Документов ДСП Минэкономразвития в открытом доступе нет, сказал представитель министерства. Правда, первый же найденный в Google документ министерства в свойствах содержал пометку «ДСП».

Комитет Госдумы по информационной политике рассматривает ужесточение ответственности за утечку личной информации, заявил его председатель Сергей Железняк.

Это может быть сделано после завершения расследования, которое проводит комитет, правоохранительные органы и Роскомнадзор, говорит Железняк. Закон «О персональных данных» уже ужесточен: президент Медведев одобрил поправки, предусматривающие использование для хранения и обработки персональных данных только средств защиты информации, получивших одобрение ФСБ.

Все решения в отношении операторов персональных данных уже приняты, поисковики – не операторы персональных данных, возражает высокопоставленный чиновник администрации президента. Скорее всего, проблема в безалаберности самих ведомств, считает чиновник Кремля: поисковые системы, конечно, борются за объем базы индексированных данных, но репутацией дорожат и не станут охотиться за секретными документами.

Поисковикам проще отказаться индексировать страницы, ссылок на которые нет на сайте, чем обучать миллионы веб-мастеров заполнению файла robots.txt, считает Клименко. Заполнение файла robots.txt не решает проблемы защиты данных в интернете – больше того, хакеры часто руководствуются этим файлом, чтобы найти скрытые от поисковиков данные, говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.