Люди, движимые чувством страха, тревоги и тревожности не задумываются об опасностях, возникающих вследствие преодоления этого чувства, и о целях тех, кто побуждает людей к действиям таким образом.
Система управления государством, эксплуатирующая мотивацию страха у населения, имеет признаки фашистской диктатуры, организованная группа людей – признаки террористической или криминальной группировки, а отдельные члены общества – признаки серийных убийц и маньяков.
Ранее при оценке негативных последствий использования мотивации страхом со стороны государства, мною был сделан вывод о том, что источником опасности является узаконенная безнаказанность представителей власти, их родственников и приближённых к ним лиц, а также узаконенная для этих лиц возможность паразитирования на создаваемых обществом финансовых и материальных ресурсах.
Каковы же возможные цели источника опасности, каковы причины мотивации не через знания, подтверждённые опытом поколений, а через страх?
На что по мнению источника опасности общество, движимое страхом, не должно обращать внимания?
Что общество должно принять безоговорочно и без сопротивления?
С какими своими правами и свободами общество готово расстаться для преодоления чувства страха?
То, о чём сейчас пойдёт речь, возможно позволит читателю ответить на заданные вопросы и частично понять, зачем представителями власти повсеместно начал ограничиваться доступ населения к объектам, обеспечивающим их жизнедеятельность, с использованием QR-кодов.
Если по каким-то причинам у вас не получается осилить «много букв», можете сразу переходить в конец публикации, оставив разбор её содержания полномочным органам в области безопасности, защиты информации, защиты персональных данных и правоприменения.
1. Из всех опасностей, которые несёт QR-код, непосредственно для человека, его предъявляющего, является возможность исполнения закодированных в QR-коде команд через сканирующее устройство.
Тот, кто генерирует и размещает QR-код в личном кабинете пользователя федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)» (далее – ФГИС «Госуслуги») не предаёт огласке ни данное обстоятельство, ни данные о том, какие процессы «зашиты» в самом QR-коде, и передаётся ли совокупность персональных данных предъявителя-субъекта персональных данных третьей стороне, которой субъект не дал разрешения на их обработку.
Данное обстоятельство позволяет считать, что программа, обеспечивающая технологию генерации QR-кода, может иметь недекларированные возможности, а предоставление QR-кода может привести к несанкционированному субъектом разглашению его персональных данных.
2. Получение QR-кода возможно исключительно пользователем, имеющим учётную запись в ФГИС «Госуслуги», оператором которой согласно Постановлению Правительства РФ от 24.10.2011 № 861 является Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее Минцифры России).
Требование о предъявлении QR-кода затрагивает права и законные интересы субъекта персональных данных, а также может породить в отношении него юридические последствия.
На основании статьи 16 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» принятие решений на основании исключительно автоматизированной обработки персональных данных запрещается и становится возможным только при наличии согласия субъекта, выраженного в письменной форме.
При этом оператор обязан разъяснить субъекту не только порядок принятия решения, но и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
На текущий момент времени обязанности оператора, определённые статьёй 16 Федерального закона от 27.07.2006 № 152-ФЗ со стороны Минцифры России не выполнены.
3. В соответствии с частью 3 статьи 13 Федерального закона от 27.07.2006 № 152-ФЗ «не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных».
Минцифры России, обозначив персональные данные привившихся или переболевших пользователей через QR-код, не выполнило требования части 3 статьи 16 Федерального закона от 27.07.2006 № 152-ФЗ, что привело к ограничению прав и свобод граждан России.
4. В соответствии с частью 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.
На текущий момент времени ни документ, определяющий политику Минцифры России в отношении обработки персональных данных пользователей ФГИС «Госуслуги», ни руководство пользователя, следуя которому пользователи смогли бы избежать ошибки распространения своих персональных данных по неосторожности, недоступны ни перед загрузкой мобильного приложения, ни в веб-интерфейсе ФГИС «Госуслуги».
Данное обстоятельство позволяет сделать вывод о том, что Минцифры России не выполнило обязанности, определённые частью 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, что создало условия нарушения определённой статьёй 7 указанного закона конфиденциальности персональных данных.
5. Вход в личный кабинет ФГИС «Госуслуги» пользователи осуществляют через ФГИС «Единая система идентификации и аутентификации» (далее – ФГИС ЕСИА).
Пользователями ФГИС ЕСИА визуально воспринимается как веб-интерфейс своего профиля в ФГИС «Госуслуги». Оператором ФГИС ЕСИА также является Минцифры России.
На главной странице в ФГИС ЕСИА отображаются следующие персональные данные пользователя:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- адрес электронной почты;
- мобильный телефон;
- домашний телефон;
- почтовый адрес;
- адрес регистрации;
- гражданство (для стандартной и подтвержденной учётной записи);
- СНИЛС (для стандартной и подтвержденной учётной записи);
- ИНН (для стандартной и подтвержденной учётной записи);
- реквизиты удостоверяющих личность документов (для стандартной и подтвержденной учётной записи);
- реквизиты водительского удостоверения;
- государственный регистрационный знак транспортного средства и реквизиты свидетельства о регистрации транспортного средства.
В соответствии с классификацией, определённой Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» только по этим данным ФГИС ЕСИА может быть классифицирована как информационная система, обрабатывающая персональные данные иных категорий субъектов, не являющихся сотрудниками оператора.
По данным Минцифры России в 2020 году количество зарегистрированных пользователей ФГИС «Госуслуги» превысило 78 млн граждан. Это означает, что в ФГИС ЕСИА обрабатываются персональные данные более чем 100000 субъектов, не являющихся сотрудниками оператора.
ФГИС «Госуслуги» без ФГИС ЕСИА не сможет выполнить своего назначения, из чего следует, что эти системы неразрывны и не могут рассматриваться отдельно друг от друга.
Совокупность персональных данных, обрабатываемых в ФГИС ЕСИА, и данных ФГИС «Госуслуги» о состояния здоровья, к которым относятся данные о перенесённом пользователем заболевании, данные об иммунологических прививках пользователя, а также данные о взаимодействии пользователя с органами здравоохранения (к примеру, запись ко врачу) позволяет классифицировать ФГИС «Госуслуги» как информационную систему, обрабатывающую специальные категории персональных субъектов, не являющихся сотрудниками оператора.
Не исключается, что среди персональных данных, обрабатываемых в системе вполне могут оказаться отнесённые Указом Президента РФ от 30.11.1995 № 1203 к государственной тайне сведения, раскрывающие принадлежность конкретных лиц к кадровому составу:
- органов внешней разведки Российской Федерации;
- органов контрразведки;
- подразделений, непосредственно осуществляющих борьбу с терроризмом, организованной преступностью и коррупцией;
- подразделений, непосредственно осуществляющих борьбу с терроризмом, организованной преступностью и коррупцией.
6. Согласно данным, приведённым в ФГИС «Госуслуги»
«Ваши персональные данные в безопасности. Они хранятся в полном соответствии с требованиями к информационной безопасности, принятыми в России. Данные защищены от неправомерного или случайного доступа.
Для защиты данных используются технологии, аттестованные по требованиям ФСБ и ФСТЭК. Программное обеспечение Госуслуг ежегодно проходит сертификацию и аттестацию. За безопасность ваших данных на портале отвечает Минцифры России»
Однако согласно Государственному реестру сертифицированных средств защиты информации срок действия сертификата на программное обеспечение «Единый портал государственных и муниципальных услуг (функций)» №2868/1 закончился 28.12.2018 и более не имел продления.
В Выписке из перечня средств защиты информации, сертифицированных ФСБ России, данное программное обеспечение не указывается.
В совокупности с выводом о том, что программа, обеспечивающая технологию генерации QR-кода может иметь недекларированные возможности, отсутствие сертификата безопасности и непредоставление пользователям со стороны Минцифры России в виде общедоступной информации сведений о реквизитах соответствующих актов сертификации и аттестации позволяет сделать вывод о том, что сертификация и аттестация не пройдены по причинам, одной из которых могли являться недекларированные возможности программного обеспечения.
Таким образом согласно Постановлению Правительства РФ от 01.11.2012 № 1119 для ФГИС «Госуслуги»:
- являются актуальными угрозы 2-го типа, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении;
- необходимо выполнить меры по обеспечению 1-го уровня защищенности персональных данных.
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, определён приказом ФСТЭК России от 18.02.2013 № 21.
Следует понимать, что в соответствии с ГОСТ Р 51583-2014 информационной системой является совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств, а в соответствии с Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» информационные технологии – это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Другими словами, в состав ФГИС «Госуслуги» входит не только несертифицированная программа, но и сервера этой системы, обеспечивающие системы, система защиты информации, но самое главное – мобильные устройства и каналы связи между такими устройствами и ФГИС «Госуслуги».
То есть, при принятии решения о подключении к ФГИС «Госуслуги» мобильных устройств утверждённые приказом ФСТЭК России от 18.02.2013 № 21 требования должны быть применены к мобильным устройствам и каналам связи.
Насколько выполнены эти требования может убедиться каждый пользователь, ознакомившись с приложением к приказу ФСТЭК России от 18.02.2013 № 21.
К явно невыполненным требованиям относится:
- ЗИС.20. Защита беспроводных соединений, применяемых в информационной системе;
- ЗИС.3. Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи;
- АВЗ.1. Реализация антивирусной защиты;
- УПД.15. Регламентация и контроль использования в информационной системе мобильных технических средств;
- УПД.14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа;
- УПД.13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети.
Согласно Банку данных угроз ФСТЭК России угроза агрегирования данных, обрабатываемых с помощью мобильного устройства (УБИ.184)
заключается в возможности осуществления нарушителем сбора и анализа информации, обрабатываемой с помощью мобильного устройства, за счёт использования специального программного обеспечения, встраиваемого пользователем в системное программное обеспечение мобильного устройства, а также встраиваемого в мобильные программы под видом программной платформы для их разработки другими компаниями.
Данная угроза обусловлена наличием в мобильном устройстве множества каналов передачи данных, а также сложностью контроля потоков информации в таком устройстве.
Реализация данной угрозы возможна при условии использования мобильных устройств пользователями. В качестве собираемой информации могут выступать:
– персональные данные пользователя и контактирующих с ним лиц (пол, возраст, религиозные и политические взгляды и др.);
– информация ограниченного доступа (история браузера, список контактов пользователя, история звонков и др.);
– данные об окружающей среде (текущее местоположение мобильного устройства, маршруты движения, наличие беспроводных сетей в радиусе доступа);
– видеоданные, снимаемые видеокамерами мобильного устройства;
– аудиоданные, снимаемые микрофоном устройства
Согласно исследованию, опубликованному членом правления Общественного движения «Информация для всех» Евгением Валерьевичем Альтовским в статье «Небезопасные госуслуги»:
Результаты мониторинга показывают, что сотни миллионов рублей, выложенных налогоплательщиками на разработку и поддержание порталов государственных услуг, не сказались на качестве соответствующих работ. «Защищенное» соединение с этими порталами, обрабатывающими персональные, финансовые и другие чувствительные данные миллионов россиян, заключается скорее в имитации защиты, когда идентификатор используемого протокола меняется с http на https.
Интернет-пользователям простительно не знать, что на самом деле стоит за добавлением одной буквы в URI, но, как показывают результаты мониторинга, в этом не сильно разбираются и администраторы порталов госуслуг, которые «поддерживают» небрежно настроенные web-серверы с незакрытыми уязвимостями.
Порталы госуслуг также не защищены от несанкционированного внедрения стороннего контента и кода. Более того, они сами включают на свои страницы такой код, не контролируя его, и полагаясь исключительно на порядочность третьих лиц, владельцев систем аналитики и прочих «бесплатных» сервисов, которая уже неоднократно и небезосновательно была поставлена под сомнение.
Особое удивление вызывают ресурсы рекламной сети, загружаемые на московский портал госуслуг, а также трех систем аналитики на всероссийском портале. Наличие иностранных систем аналитики и прочих загружаемых из-за рубежа ресурсов на порталах госуслуг переводит это удивление уже в правовую плоскость, поскольку ставит под вопрос национальную информационную безопасность.
Согласно пункту 2.1 статьи 13 Федерального закона от 27июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации.
Согласно пункту 31 приказа Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 года № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», входящие в состав значимого объекта 1 и 2 категорий значимости программные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации. В значимом объекте не допускаются:
– наличие удаленного доступа к программным средствам для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, а также работниками его дочерних и зависимых обществ;
– передача информации, в том числе технологической информации, разработчику (производителю) программных средств или иным лицам без контроля со стороны субъекта критической информационной инфраструктуры.
Как показали результаты мониторинга, все порталы госуслуг используют технические средства ин формационных систем, размещенные за пределами территории Российской Федерации, предоставляют удаленный доступ к используемым программным средствам для обновления или управления посторонним лицам, а также передают им информацию без контроля со своей стороны.
Таким образом, использование мобильных устройств для доступа к ФГИС «Госуслуги» может причинить ущерб не только более 50 млн. пользователей, использующих такие устройства, но и подключенным организациям, а также государству.
Показательно, что в работе ФГИС «Госуслуги» нередко возникают «отказы в обслуживании». В частности, запись в некоторые МФЦ также использующих систему для выдачи QR-кодов осуществляется по очереди на 7-10 дней вперёд. А без QR-кодов некоторые больницы отказывают в плановой и экстренной медицинской помощи пациентам. Косвенным показателем отказа в медицинской помощи является стремительное увеличение смертности населения за период ввода QR-кодов.
Стоит напомнить о том, что несанкционированный доступ привёл к модификации информации в ФГИС «Госулуги», когда чат-бот Макс отвечал пытавшимся получить QR-коды пользователям, что коронавируса не существует.
7. Давайте ещё раз обратимся к формулировке, опубликованной на сайте Госуслуг: «Для защиты данных используются технологии, аттестованные по требованиям ФСБ и ФСТЭК. Программное обеспечение Госуслуг ежегодно проходит сертификацию и аттестацию. За безопасность ваших данных на портале отвечает Минцифры России».
В соответствии с приказом ФСТЭК России от 29.04.2021 №77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» работы по аттестации проводятся в отношении объектов информации, а не в отношении информационных технологий.
На соответствие каким требованиям, определённым приказом ФСТЭК России от 29.04.2021 №77, и кем были аттестованы «технологии и программное обеспечение» Минцифры России ответ не даёт:
- или на соответствие Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17;
- или на соответствие Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25.12.2017 № 239;
- или на соответствие Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 №21.
Данные обстоятельства в совокупности с содержанием формулировки позволяет сделать только выводы о том, что:
- проект ФГИС «Госуслуги» разрабатывался специалистами, далёкими от защиты информации;
- не система обеспечивает выполнение алгоритма предоставления законодательно определённых государственных услуг, а услуги предоставляются и конституируются государством, исходя из функционала системы;
- Минцифры России знает о данной проблеме, и заинтересовано в сокрытии масштаба обмана (действует умышленно).
Следует обратить внимание на то, что в Методических рекомендациях по использованию Единой системы идентификации и аутентификации Версия 2.84 (2021 год) не только не приводятся перечисленные в публикации нормативно-правовые акты в области защиты информации, но полностью исчезла формулировка из Версии 2.20 о том, что «ЕСИА обеспечивает защиту размещённой в ней информации в соответствии с законодательством Российской Федерации».
8. Перечисленные в публикации нарушения Минцифры России имеют признаки уголовно наказуемых преступлений, определённых:
- статьёй 274 УК РФ (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей);
- частями 3 и 4 статьи 274.1 УК РФ (Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации)
и административных нарушений, определённых:
- частями 2 и 6 статьи 13.12 КоАП (Нарушение правил защиты информации)
- статьёй 13.11 КоАП (Нарушение законодательства Российской Федерации в области персональных данных).
Думаю, что и для ФСБ России, и для ФСТЭК России, и для Роскомнадзора, и даже для Генеральной прокураторы России изложенное в публикации было давно известно. Не исключаю, что по роду деятельности к аналогичным выводам могли подойти и другие ведомства.
Так почему же стало возможным нарушение законодательства Российской Федерации, неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации и массовое нарушение прав и свобод граждан с использованием имеющей признаки недекларированных возможностей программы?
Да потому что, в этих ведомствах служат и работают люди, и ими тоже движет чувство страха, тревоги и тревожности. Мало того, эти люди подчиняются приказам, и правило гласит «вначале выполнить приказ, а затем его обжаловать».
Поэтому и эти надзорные органы могли быть вовлечены в действия Минцифры посредством разговоров, уговоров и неофишируемых договоров, именуемых в уголовно-процессуальном законодательстве сговором, а в специфических кругах «политическим» решением.
9. Для ответа на вопросы, прозвучавшие в начале публикации, нужно использовать математический метод решения системы неравенств графическим способом, который каждый из нас применял в средней школе. На пересечении неравенств будет искомое множество значений.
9. Подытожим, что получилось в «сухом остатке»?
- Мотивация страха у населения осуществлена с целью установки на мобильные устройства пользователей программного обеспечения, отсутствие недекларированных возможностей в котором, не подтверждено.
- К мотивации причастно Минцифры России.
- Мотивация населения и разработка программного обеспечения осуществлены с нарушением законодательства Российской Федерации.
- Мотивация явилась деструктивной в связи с масштабом нарушенных прав и свобод граждан и производных от них негативных последствий в виде ущерба жизни и здоровью населения, финансового ущерба организациям и нарушению их деятельности, финансового и внутриполитического ущерба государству.
- Полномочные органы и ведомства могут иметь веские для них основания для того, чтобы не пресекать деструктивную деятельность.
- Источником страха, относящимся к «веским основания» могут являться структуры, находящиеся на более высоком уровне вертикали власти, или находящиеся функционально ближе к таким структурам на горизонтальном уровне.
- Наиболее вероятно, что источники страха полномочных органов и населения пересекаются и имеют конкретное множество значений.
- Организация и координация деятельности, обеспечивающей устранение источников страха, со стороны полномочных органов будет поддержана большинством населения, заинтересованного в достижении позитивных общественно-значимых целей и в предотвращении установления в стране, победивший вооруженные силы фашизма, фашистской диктатуры.
Нефедьев С.Г.
Автор будет признателен за распространение этой публикации.
Относитесь снисходительно к тем, чьи знания об источниках страха подменены пропагандой, и к тем, кто принуждён к проверке QR-кодов, используя в качестве аргументов полученные в этой публикации знания. Вместе мы – сила. Отдельные представители органов власти – это не всё государство, а тем более не вся Россия.
Согласны с автором? Поставьте «лайк» или подпишитесь на канал.
Материалы, повышающие уровень осведомлённости по теме публикации:
Референдум, как метод устранения источника страха
Куда мы пришли, Сусанин Иван?
ИБ. Госуслуги остались без защиты?
Власти заявили об атаке на «Госуслуги» после сообщений о боте-антиваксере