Утечка информации из госучреждений — дело непростое

08.12.2010

Вернуться к списку новостей Незаконно скопировать и распространить информацию государственных баз данных Эстонии, как это сделала Wikileaks, теперь далеко не так просто, и все-таки не невозможно.

Как сказал генеральный директор Инспекции по защите данных (Andmekaitse inspektsioon — AKI) Вильяр Пеэп, эстонские государственные инфосистемы и базы данных построены таким образом, что любая деятельность в инфосистеме оставляет след о том, кто и какое именно действие совершил.

«Конечно, инспектор по защите данных не может стоять рядом с каждым человеком, работающим с базой данных. Самым эффективным средством для обнаружения источников утечки информации является внутренний контроль в учреждении», — отметил Пеэп.

Согласно данным западных СМИ, виновником нашумевшего на прошлой неделе инцидента с Wikileaks стал служивший в Ираке солдат, который сумел пробраться в американскую военную интернет-сеть, функционирующую параллельно с обычным Интернетом. Копирование секретных данных на диск оказалось очень простым — на работу мужчина пришел с диском музыки Lady Gaga, а ушел с записью совершенно иного рода.

На вопрос Postimees о том, как в Эстонии защищаются сообщения дипломатов, МИД Эстонии ответил целым перечнем законов, в которых говорится о переработке и передаче секретной информации.

«Министерство иностранных дел заверяет, что государственные тайны Эстонии и секретная зарубежная информация защищены в соответствии с требованиями», — ответил МИД.

Система защищает себя сама

Насколько велика вероятность того, что какая-нибудь государственная база данных может быть скопирована и затем распространена в Интернете? «Для копирования большой базы данных все-таки нужно немало времени.
Предположим, что в системе будет сделан массовый запрос на данные с ограниченным доступом — в этом случае должна вмешаться как сама система, так и внутренний контроль учреждения, — пояснил Вильяр Пеэп. — Важно, чтобы к данным не было легкого доступа через обычные поисковики».
В качестве примера Пеэп привел внутренний контроль полиции, который, по его словам, работает очень хорошо, несмотря на величину учреждения и большое количество личных данных. Между AKI и Департаментом полиции и погранохраны заключено соглашение о нулевой толерантности — это означает, что внутренний контроль полиции сообщает инспекции о каждом неверном использовании данных.
Точно такое же соглашение заключено с регистром народонаселения и специалистами, осуществляющими внутренний контроль над электронной системой здравоохранения e-tervis.

Утечку создает человек

Самый известный в истории Эстонии случай с утечкой информации связан с т.н. базой данных Перли. Ее в середине 1990-х составил специалист-компьютерщик Имре Перли, которого уже нет в живых. В этой базе были данные регистра населения, авторегистра, номера телефонов и тому подобное. Диски с этой базой данных можно было купить на рынке.
Так же, как в недавнем интервью ключевая фигура инцидента с Wikileaks Джулиан Ассанж назвал последнее распространение секретной информации «мегаутечкой», базу данных Перли в свое время в Эстонии окрестили «супербазой данных». Скорее всего, она уже устарела и стала непригодной для использования.

Пеэп завеил, что крупные утечки информации из регистров и крупных инфосистем Эстонии остались в 1990-х, когда страна еще только занималась развитием своего электронного администрирования.

В 2009 году достоянием общественности стали данные о пенсионных ступенях из центрального регистра ценных бумаг Эстонии. Тогда причиной утечки были технические неполадки.

«Мы знаем и то, что утечку информации создает, как правило, не машина, а управляющий ею человек — по незнанию или злому умыслу», — отметил Пеэп.