Перевозчиков обяжут передавать в единую базу данные о банковских картах путешественников, их IP-адреса, телефоны, электронную почту и пароли учетных записей. Оператором будет ФГУП Минтранса. По данным «Коммерсанта», такое требование введут с 1 сентября 2024 года.
Сейчас в единую государственную информационную систему обеспечения транспортной безопасности, которую ведет подведомственное предприятие, вносятся только паспортные данные, дата поездки и маршрут. Как пишет издание, к ним могут добавить дополнительные сведения. В обновленный список входят:
- номер телефона;
- адрес электронной почты;
- сведения о билете;
- данные учетной записи (логин и пароль) на сайте или в приложении;
- IP-адрес и номер порта, с которого передавалась информация;
- последние четыре цифры банковской карты и название банка;
- стоимость билета;
- класс обслуживания.
Хранить все эти сведения будут семь лет. Новые требования, как ожидается, охватят все виды транспорта, в том числе автобусный на межмуниципальных маршрутах. Исключение сделали только для поездок из Москвы в Подмосковье и обратно и рейсов между Ленинградской областью и Санкт-Петербургом.
Как сообщил «Коммерсант», в Ассоциации эксплуатантов воздушного транспорта отозвались о документе критически, указав на формальные и технические сложности в реализации требований, и попросили доработать проект. В РЖД и крупнейших авиакомпаниях инициативу официально не прокомментировали, но один из неназванных источников издания признался, что пока невозможно оценить, насколько она реализуема, а второй особо выделил риски, связанные с необходимостью собирать и хранить такой объем персональных данных, особенно с учетом ужесточения наказания за утечки.
Эксперт по городскому транспорту Роберт Ян в беседе с «Ямал-Медиа» заметил, что пока тоже относится к инициативе министерства с осторожностью. У Минтранса нет значимых успешных проектов по цифровизации на федеральном уровне, что вызывает опасения по поводу того, как будет реализован сбор данных, подчеркнул он. Если к процессу подключатся другие государственные ведомства с опытом в этой сфере, то шансов на успех будет больше.
«Например, сейчас идет внедрение государственной системы «Такси», разработанной Минтрансом. К ней очень много нареканий у участников отрасли, есть там недоработки, провалы, потери данных. Пока об утечках речи нет, к ней самой по себе претензии — и у уполномоченных органов, представителей власти. <...> Поэтому у меня осторожное отношение к таким проектам».
Роберт Янэксперт по городскому транспорту
У силовых ведомств, считает Роберт Ян, запроса на получение перечисленных изданием данных нет: они и так могут собрать нужную информацию. «Наверное, у Минтранса есть какие-то свои соображения, для чего это нужно, но я лично не вижу оснований», — резюмировал он.
Российский ученый, преподаватель, подполковник спецслужб в отставке, IT-специалист по информационной безопасности, OSINT и конкурентной разведке Андрей Масалович предположил, что инициатива в этом случае исходила как раз от силовиков, располагающих доступом к единой базе (он есть у МВД и ФСБ). В противном случае пришлось бы допустить, что Минтранс, который по закону не относится к субъектам оперативно-разыскной деятельности, решил без каких-то видимых причин произвольно расширить перечень собираемых данных.
При этом без дополнительного согласия пассажиров часть сведений, которые планирует собирать министерство, не может быть передана, так как это конфиденциальная информация, а некоторые из пунктов выглядят просто невыполнимыми, отметил эксперт. Например, интернет-сервисы — как раз из соображений безопасности — не имеют доступа к паролям: их получают и хранят только в хешированном виде, зашифрованными специальной функцией в строку символов; с ней сличаются введенные пользователем комбинации, подвергнутые такому же преобразованию, чтобы убедиться, что последовательность совпадает.
«Мне это представляется сырым, и я не понимаю, зачем это делается. Нашу безопасность это точно не усилит. Утечек данных было много. Как раз вчера <...> вышел очередной отчет — 120 крупных компаний потеряли [данные]. Если вы его откроете, каждый пятый-десятый заголовок — база авиаперевозчика утекла, база железнодорожного резервирования утекла, база автоперевозок... Процентов 10—15 всех утечек — базы перевозчиков. Могу заключить, что защищены они не ахти как».
Андрей МасаловичIT-специалист
Многие из игроков рынка будут не готовы к тому, чтобы экстренно модифицировать свои системы для их соответствия требованиям предполагаемого приказа, предположил Андрей Масалович. При этом, отметил он, по данным близких к Минтрансу источников, дорабатывать сам документ уже не планируют — он выйдет в неизменном виде.
Ранее стало известно, что только за первые дни 2024 года хакеры выложили в сеть пять терабайт данных о российских пользователях с различных сервисов. По итогам 2023 года, по сведениям Роскомнадзора, в открытый доступ попали более 300 миллионов записей, содержавших персональные данные граждан РФ.
Самые важные и оперативные новости — в нашем телеграм-канале «Ямал-Медиа».
