Ну что. Очередная радость, особенно для мошенников, которым СНИЛСы людей нужны. Федеральная служба по надзору в сфере образования и науки раздает персональные данные. А именно, с их сайта спокойно скачали:
- Таблицу с дипломами об образовании (серия, номер, год поступления, год окончания, СНИЛС!, ИНН!!, дата рождения, национальность (зачем?), учебная организация, выдавшая документ), таблицу с гражданами с образованием (там всё проще: ФИО и всё), таблицу с пользователями системы (стандартно, логин, email, и, НЕОЖИДАНО, md5 хэш пароля, хоть не сам пароль), отдельная таблица admin с одной записью (так же: логин, хэш пароля и прочее), таблица с информацией об учебных заведениях (кто начальник, email, телефон, лицензия — в общем всё, что и так есть в открытом доступе) и ещё кучу вспомогательных таблиц.
- По объёмам получилось: около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочее. База весом 5 гб.
Источник: https://habrahabr.ru/post/347760/
Все это УЖЕ в свободном доступе. Получается, и мои данные тоже. СНИЛСы очень нужны мошенникам из левых пенсионных фондов, чтобы ловко переводить туда пенсионные накопления граждан с далеко идущими целями. Эти номера мошенники пытаются выведать обходами по домам, на вокзалах, а тут на ка, 14 млн. в открытом доступе и с ФИО.
Для понимания:
В России действует ФЗ «О защите персональных данных», целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Техническая сторона вопроса регулируется приказом № 21 ФСТЭК от 18.02.2013 г. ««Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Согласно данному приказу, должно быть обеспечено:
- проведение мер по контролю (анализу) защищенности персональных данных, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных;
- реализация мер по запрету неавторизованного доступа пользователей к персональным данным, содержащимся в информационной системе.
В случае соответствия информационной системы требования 21 приказа ФСТЭК, соответствующая лицензированная организация выдает аттестат соответствия данной информационной системы.
В итоге, персональные данные 14 млн студентов (включая и несовершеннолетних), утекли в сеть, требования приказа ФСТЭК не выполнены, доступ к данным получен неуполномоченным лицом, требования по защищенности не выполнены.
Поэтому вопрос: КТО и как аттестовывал данный объект, кто понесет за это ответственность? Собственно, понятно кто аттестовывал, приближенные, за немалое бабло.
А посему:
На интернет сайте Хабрахабр опубликована статья с заголовком «И так сойдет...», из текста которой следует, что персональные данные 14 миллионов россиян оказались в руках постороннего человека, в результате несанцкионированного доступа к ним через сайт Федеральной службы по надзору в сфере образования и науки.
Статья размещена по адресу: https://habrahabr.ru/post/347760/
Согласно действующему законодательству, а именно 152-ФЗ, а также 21 и 17 приказам ФСТЭК России, персональные данные россиян подлежат особой защите, и информационные системы с персональными данными такого объема должны быть в обязательном порядке защищены и аттестованы.
Аттестацию таких систем проводят организации, аккредитованные ФСТЭК России на проведение таких действий и гарантируют соответствие объекта информатизации требованиям по защите информации от несанкционированного доступа.
Вместе с тем, как показала практика, в данном конкретном случае, требования по защите информации от несанкционированного доступа не были выполнены.
В этой связи, прошу организовать проверку, в ходе которой не только поручить ФСТЭК России установить причины и условия, приведшие к утечке персональных данных россиян, но и привлечь к установленной законом ответственности лиц, по вине которых она произошла: как непосредственного оператора обработки персональных данных так и орган аттестации.
Отправил сюда: http://ipriem.genproc.gov.ru/contacts/ipriem/
Прошу распространить:
Обращение в Генпрокуратуру по поводу персональных данных 14'000'000 россиян в свободном доступе
Понравилась статья? Подпишитесь на канал, чтобы быть в курсе самых интересных материалов
Подписаться
Свежие комментарии