ФАС в СМИ: Документы госорганов «для служебного пользования» попали в сеть
Четвертая утечка закрытой информации в поисковые системы за 10 дней. Что происходит?
Сериал с утечками конфиденциальной информации в интернет, начавшийся с появления в Сети SMS-абонентов "МегаФона" и МТС, пополнился новой историей. На этот раз в открытом доступе оказались документы российских госорганов с грифом ДСП - для служебного пользования. Оказалось, что они могут быть найдены с помощью популярного поисковика Google.
Как и во время предыдущих утечек, чтобы найти эти файлы, нужно было просто воспользоваться специальными поисковыми командами. В данном случае запрос выглядел так - allintitle: для служебного пользования site: gov.ru.
Среди файлов, которые попали в выдачу Google, оказались документы Федеральной антимонопольной службы, Счетной палаты, Минэкономразвития, Федеральной миграционной службы и других ведомств. Документы охватывают период с 2004 по 2010 год. Например, желающие могли прочитать отчет об использовании бюджетных средств на социально-экономические проекты в Татарстане в 2007 году. Другой документ - отчет о торгово-экономическом сотрудничестве России и Марокко с 2006 по 2010 год. Там же есть сводный план проведения плановых проверок юридических лиц и индивидуальных предпринимателей подразделениями ФАС и аналогичный план Ямало-Ненецкого управления ФАС.
В ФАС поспешили заявить, что доступные в Сети документы не раскрывают тайн и более того уже не должны носить грифа ДСП. "С принятием федерального закона РФ от 26 декабря 2008 г. N294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля и муниципального контроля" ФАС России и ее территориальные органы обязаны размещать планы проверок хозяйствующих субъектов на своем сайте", - говорится в размещенном на сайте ФАС сообщении для прессы.
В Федеральной миграционной службе и Счетной палате РФ "Известия" также заверили, что никаких секретов Google не раскрыл.
Спокойно на произошедшее отреагировали и в пресс-службе российского представительства Google. "Скорее всего эти дыры существовали и раньше, просто люди нечасто задают поисковику запросы, сформулированные определенным образом", - сказала "Известиям" пресс-секретарь Google Алла Забровская.
Эксперты подтверждают, что возможность доступа к конфиденциальной информации посредством Google существовала и прежде - есть даже термин Google Hacking, то есть взлом с помощью Google.
- Google - самая популярная в мире поисковая система, с ее помощью проще всего находить уязвимости на сайтах, - объяснил Андрей Созыкин, директор IT-компании "Коринф", - У Google более сложный функционал, который дает хакерам информацию о других ресурсах.
Утечка документов с грифом ДСП стала уже четвертой по счету за последние несколько дней. Сначала в поисковую выдачу "Яндекса" попали тексты SMS с сайта "МегаФона", затем - информация о заказах пользователей в интернет-магазинах и электронные железнодорожные билеты пассажиров. Всю эту информацию "Яндекс" почистил, однако специалисты по интернет-разведке говорят, что если знать, как задавать запрос и собственно фамилии нужных людей, то до сих пор можно эти билеты найти.
Эксперты в сфере информбезопасности полагают, что вскрытие нескольких подряд утечек - своего рода цепная реакция: вскрытие "дыр" в информационной защите стало модным занятием.
- Широкая огласка инцидентов с утечками привела к популяризации техник конкурентной разведки и взлома через поисковые системы, раньше это происходило редко, - объясняет ситуацию технический директор компании Positive Technologies Сергей Гордейчик, - Уязвимости, приводящие к утечке информации, содержатся более чем в 50% всех сайтов. Теперь многие пользователи пытаются найти что-то интересное, и это дает результат. По мнению специалистов, в скором времени неминуемы очередные вскрытия.
- Существуют команды, которые позволяют получить несколько тысяч папок с документами на сайте Пентагона. Если покопаться там, можно найти и секретные документы, - рассказал "Известиям" ветеран ФАПСИ Андрей Масалович.
- Подозреваю, что поисковые роботы порой не смотрят на запреты, прописанные в специальных файлах robots.txt., - говорит Масалович, - Все думают, что роботы этичны, а это сказочка - даже если на сайте они находят запрет, но его можно преодолеть, то скорее всего они туда полезут. Защитить от роботов данные на сервере, который смотрит в интернет, очень сложно, поэтому их не надо там хранить. Сериал с утечками конфиденциальных данных может закончиться ужесточением законодательства, регулирующего обращение с информацией. Глава комитета по информационной политике Госдумы РФ Сергей Железняк сообщил вчера журналистам, что комитет намерен рассмотреть возможность законодательного ужесточения ответственности за утечку личной информации.