Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор

Законодательство

28-го января, в международный день приватности (защиты прав субъектов персональных данных), проект «Инфокультура» опубликовал исследование о приватности государственных мобильных приложений, сделанных в России. Интерес «Инфокультуры», которая занимается различными аспектами работы с данными, понятен. Как, собственно, понятно и желание государства оснастить своими приложениями мобильные устройства граждан, делая жазнь последних проще и удобнее. Я бы хотел посмотреть на эту проблему немного с иной стороны, а именно с точки зрения информационной безопасности и соблюдения госорганами требований законодательства по ИБ.

Итак, что выяснила «Инфокультура»? 88% из проанализированных приложений, среди которых «Мои документы», «Московский транспорт», «Активный гражданин», «Парковки», «МВД», «Госуслуги» и т.п., имеют как минимум один встроенный трекер. Некоторые имеют 3, 4, 5 и даже 9 трекеров. Большинство приложений используют трекеры Google и Facebook, сервера которых размещаются за пределами РФ. Более того, далеко не всегда можно объяснить, зачем в мобильное приложение встроен тот или иной трекер. Например, зачем парковочному приложению отдавать что-то в Facebook? Ну да ладно, это не является предметом данной заметки. Если резюмировать, программное обеспечение государственной организации, часто являющееся частью государственной информационной системы, а то и объекта КИИ (например, «ковидные» приложения, Мосэнергосбыт или Дептранс, которые работают в сферах здравоохранения, энергетики или транспорта согласно ФЗ-187), осуществляет трансграничную передачу информации за пределы Российской Федерации. При этом сами приложения устанавливается также с серверов, находящихся за пределами Российской Федерации. А теперь посмотрим, что нам говорит на такие фокусы законодательство по защите информации.

Ст.13.2.1 трехглавного закона «Об информации, информационных технологиях и защите информации» говорит, что «технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Операторы государственных информационных систем, муниципальных информационных систем, информационных систем юридических лиц, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 года №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», не должны допускать при эксплуатации информационных систем использования размещенных за пределами территории Российской Федерации баз данных и технических средств, не входящих в состав таких информационных систем«.

Обратите внимание, в первой части этой статьи говорится о любых информационных системах, а не только о государственных ИС. Является ли трекер частью информационной системы? На мой взгляд да. Ведь он же для чего-то используется? Например, для отслеживания работы приложений и сбоев с помощью Google Firebase Analytics. По сути код такого трекера напоминает чужой контейнер или библиотеку, которую мы используем в своем ПО. Поэтому я вполне правомочен считать такой трекер частью ИС, а, следовательно, сервера, с которыми он общается, согласно ФЗ-149 должна располагаться на территории РФ.
Теперь обратимся к закону «О персональных данных», который уже много лет содержит норму, которую сотрудники Роскомнадзора трактуют как «запрет на хранение ПДн россиян заграницей». Мне можно возразить, что собираемая телеметрия не относится к ПДн, но я буду вынужден с вами не согласиться, так как согласно:
  • Определению Московского городского суда от 10.11.2016 по делу № 33-38783/2016
  • Постановлению 13 ААС от 01.07.2016 по делу № А56-6698/2016
  • Решению Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018
  • Решению Арбитражного суда города Москвы по делу А40-14900/2016

cookies, ID пользователя, IP- и MAC-адреса, User Agent, HTTP Referer, данные Google Analytics и Яндекс.Метрики и т.п. являются персональными данными. Тот же Google Crashlytics, который используется многими государственными мобильными приложениями собирает не только уникальный идентификатор устройства, геолокацию, данные об использовании приложения, но и в ряде случаев e-mail. То есть согласно позиции РКН и российских независимых судов, если дело дойдет до них, все данные, собираемые трекерами, будут рассматриваться как персональные, а следовательно снова возникает вопрос, на каком основании они передаются, обрабатываются и хранятся за пределами России.

Наконец, третий закон, с позиции которого я бы хотел посмотреть на работу государственных мобильных приложений, — это ФЗ «О безопасности критической информационной инфраструктуры». И если в самом законе ни слова не сказано о том, где можно или нельзя хранить данные субъектов КИИ и куда могут подключаться объекты КИИ, то в приказе ФСТЭК №239, в пункте 31-м прямо говорится, что «входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)«. То есть и эта ветка отечественного законодательства по ИБ запрещает использование (правда, не для всех объектов КИИ) зарубежных трекеров.

Интересно, что скажут на этот счет регуляторы, призванные следить за законностью в своих сферах компетенции — ФСТЭК и Роскомнадзор? Тут, как говорил бывший вице-премьер Рогозин, «или крест сними, или трусы надень«. Или для всех одни требования (закон-то для всех один), или их надо менять. А то как-то некрасиво получается… 

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Комаров Валерий

    Эти требования из 149-ФЗ должна Минцифра контролировать, а не РКН и ФСТЭК.

    Ответить
  2. Александр Германович

    Может, трекер и является частью ГИС, но тот сервер, куда он отправляет данные, частью ГИС точно не является. Точно так же, как телефон гражданина, на который ГИС "Госуслуги" отправляет какие-то данные.

    И вообще,
    1. РКН всегда прав.
    2. Если РКН не прав, см. п.1.
    Международное право, во всяком случае, работает именно так.

    Ответить
  3. Алексей Лукацкий

    @Александр: в ФЗ-149 в этой части говорится не о ГИС, а о техсредствах. А в ФЗ-187 говорится также не о ГИС, а о передаче телеметрии зарубеж.

    Ответить
  4. Packers And Movers Bangalore

    Этот комментарий был удален администратором блога.

    Ответить