Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор

Дата: 03.02.2021. Автор: Алексей Лукацкий. Категории: Блоги экспертов по информационной безопасности
Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор

28-го января, в международный день приватности (защиты прав субъектов персональных данных), проект «Инфокультура» опубликовал исследование о приватности государственных мобильных приложений, сделанных в России. Интерес «Инфокультуры», которая занимается различными аспектами работы с данными, понятен. Как, собственно, понятно и желание государства оснастить своими приложениями мобильные устройства граждан, делая жазнь последних проще и удобнее. Я бы хотел посмотреть на эту проблему немного с иной стороны, а именно с точки зрения информационной безопасности и соблюдения госорганами требований законодательства по ИБ.

Итак, что выяснила «Инфокультура»? 88% из проанализированных приложений, среди которых «Мои документы», «Московский транспорт», «Активный гражданин», «Парковки», «МВД», «Госуслуги» и т.п., имеют как минимум один встроенный трекер. Некоторые имеют 3, 4, 5 и даже 9 трекеров. Большинство приложений используют трекеры Google и Facebook, сервера которых размещаются за пределами РФ. Более того, далеко не всегда можно объяснить, зачем в мобильное приложение встроен тот или иной трекер. Например, зачем парковочному приложению отдавать что-то в Facebook? Ну да ладно, это не является предметом данной заметки. Если резюмировать, программное обеспечение государственной организации, часто являющееся частью государственной информационной системы, а то и объекта КИИ (например, «ковидные» приложения, Мосэнергосбыт или Дептранс, которые работают в сферах здравоохранения, энергетики или транспорта согласно ФЗ-187), осуществляет трансграничную передачу информации за пределы Российской Федерации. При этом сами приложения устанавливается также с серверов, находящихся за пределами Российской Федерации. А теперь посмотрим, что нам говорит на такие фокусы законодательство по защите информации.

blank

Ст.13.2.1 трехглавного закона «Об информации, информационных технологиях и защите информации» говорит, что «технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Операторы государственных информационных систем, муниципальных информационных систем, информационных систем юридических лиц, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 года №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», не должны допускать при эксплуатации информационных систем использования размещенных за пределами территории Российской Федерации баз данных и технических средств, не входящих в состав таких информационных систем«.

Обратите внимание, в первой части этой статьи говорится о любых информационных системах, а не только о государственных ИС. Является ли трекер частью информационной системы? На мой взгляд да. Ведь он же для чего-то используется? Например, для отслеживания работы приложений и сбоев с помощью Google Firebase Analytics. По сути код такого трекера напоминает чужой контейнер или библиотеку, которую мы используем в своем ПО. Поэтому я вполне правомочен считать такой трекер частью ИС, а, следовательно, сервера, с которыми он общается, согласно ФЗ-149 должна располагаться на территории РФ.
Теперь обратимся к закону «О персональных данных», который уже много лет содержит норму, которую сотрудники Роскомнадзора трактуют как «запрет на хранение ПДн россиян заграницей». Мне можно возразить, что собираемая телеметрия не относится к ПДн, но я буду вынужден с вами не согласиться, так как согласно:
  • Определению Московского городского суда от 10.11.2016 по делу № 33-38783/2016
  • Постановлению 13 ААС от 01.07.2016 по делу № А56-6698/2016
  • Решению Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018
  • Решению Арбитражного суда города Москвы по делу А40-14900/2016

cookies, ID пользователя, IP- и MAC-адреса, User Agent, HTTP Referer, данные Google Analytics и Яндекс.Метрики и т.п. являются персональными данными. Тот же Google Crashlytics, который используется многими государственными мобильными приложениями собирает не только уникальный идентификатор устройства, геолокацию, данные об использовании приложения, но и в ряде случаев e-mail. То есть согласно позиции РКН и российских независимых судов, если дело дойдет до них, все данные, собираемые трекерами, будут рассматриваться как персональные, а следовательно снова возникает вопрос, на каком основании они передаются, обрабатываются и хранятся за пределами России.

Наконец, третий закон, с позиции которого я бы хотел посмотреть на работу государственных мобильных приложений, — это ФЗ «О безопасности критической информационной инфраструктуры». И если в самом законе ни слова не сказано о том, где можно или нельзя хранить данные субъектов КИИ и куда могут подключаться объекты КИИ, то в приказе ФСТЭК №239, в пункте 31-м прямо говорится, что «входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)«. То есть и эта ветка отечественного законодательства по ИБ запрещает использование (правда, не для всех объектов КИИ) зарубежных трекеров.

Интересно, что скажут на этот счет регуляторы, призванные следить за законностью в своих сферах компетенции — ФСТЭК и Роскомнадзор? Тут, как говорил бывший вице-премьер Рогозин, «или крест сними, или трусы надень«. Или для всех одни требования (закон-то для всех один), или их надо менять. А то как-то некрасиво получается… 


Источник — Блог Алексея Лукацкого «Бизнес без опасности».

Алексей Лукацкий

Об авторе Алексей Лукацкий

Алексей Викторович Лукацкий – бизнес-консультант по безопасности, Cisco Systems. Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Алексей Лукацкий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *