Вчера я была в гостях у Анатолия Александровича Вассермана на «Спутнике», в программе «Допрос Вассермана». Допрашивал он меня, как специалиста по информационной безопасности и как эксперта, выступающего против кампанейщины и огульной цифровизации. Мы обсудили создание единого федерального регистра лиц с определенными заболеваниями и состояниями. Ниже — самое интересное из программы.
Анатолий Вассерман: Начнем с правового поля. Наталья Ивановна, вы упоминали, что реестр, на Ваш взгляд, может нарушать не только права граждан, но и законы. При этом в официальной справке к постановлению Правительства сказано, что документ не противоречит федеральному законодательству, в том числе закону «О персональных данных» (152-ФЗ). Там указано, что пациент при заключении договора дает согласие на обработку данных. В чем вы видите лукавство?
Наталья Касперская: Лукавство в том, что в постановлении прямо сказано: человек попадает в регистр по факту наличия заболевания или состояния. При этом не проверяется, давал ли он именно на это конкретное согласие или нет. А гражданин имеет право отозвать свое разрешение на обработку персональных данных. Априори получается, что все дали согласие. Но это не так.
Анатолий Вассерман: Второй закон — «Об основах охраны здоровья граждан» (323-ФЗ), закон о врачебной тайне. Там есть исключение для обмена информацией между медицинскими организациями через медицинские информационные системы. Разве реестр не под это подпадает?
Наталья Касперская: Здесь вопрос: что первично? Закон приняли в 2011 году. Потом создали медицинские информационные системы, разместили туда данные, а теперь, по сути, говорят: «Вы уже в системе, теперь мы будем делать с вашими данными что хотим». Но передача данных в единый реестр — это уже не просто обмен между лечебными учреждениями. К нему, вероятно, получат доступ и другие государственные органы, например, МВД, или страховые компании, пусть и с ограничениями, фармкомпании. Информация будет «гулять». И это не то, чего хотят граждане для своих самых чувствительных данных.
Анатолий Вассерман: Поступил вопрос от слушателя Андрея: есть ли связь между этим реестром и периодически звучащими инициативами о лишении водительских прав людей старше определенного возраста?
Наталья Касперская: Прямой связи, наверное, нет. Но связь прослеживается на уровне общего желания всё контролировать. Реестр, основанный на заболеваниях, легко расширять, под него можно подвести новые категории.
Анатолий Вассерман: Вопрос от военнослужащего, участника СВО: как будет обеспечиваться сохранность личной информации военных в таком реестре, особенно в условиях спецоперации?
Наталья Касперская: Боюсь, военнослужащие окажутся в той же ситуации, что и все. А вопрос сохранности крайне важен. Идет война, мы видим попытки покушений. Появление в открытом доступе, или в доступе, откуда возможна утечка, медицинской информации дает врагам дополнительные инструменты для воздействия на конкретных людей. Что касается сохранности в целом — текущими методами она не обеспечивается на должном уровне. Иначе не было бы утечек данных полутора миллиардов записей. Утечки часто идут не с фронтенда — не с «Госуслуг», например, — а из самих баз данных, через человеческий фактор: оператор, получающий небольшую зарплату, может «подкинуть» данные за деньги. Получить информацию о человеке — процедура простая и дешевая. Именно поэтому я бью в колокола: уровень безопасности подобных баз данных недостаточен.
Анатолий Вассерман: Вернемся к реакциям общества. Вы провели опрос в своем Телеграм-канале. Что показали результаты?
Наталья Касперская: 50% респондентов заявили, что с появлением такого реестра они перестанут ходить к врачам. Это ужасающая цифра! Вместо улучшения медицинской статистики и контроля за заболеваниями мы получим обратный эффект: люди будут скрываться. Это как в бизнесе: слишком жесткий контроль заставляет уходить в тень. Люди по природе не любят, когда за ними следят, даже если им нечего скрывать.
Анатолий Вассерман: Поступил вопрос от Жанны, которая работает с недвижимостью. Она опасается «шквала откатов» старых сделок, если одна из сторон окажется в реестре лиц с психиатрическими диагнозами.
Наталья Касперская: Это очень интересный и важный практический аспект. Действительно, наличие такой справки может стать формальным основанием для оспаривания дееспособности человека в сделке, даже совершенной годы назад. Это создаст огромную правовую неопределенность и поле для злоупотреблений. В Госдуме как раз рассматриваются варианты защиты добросовестных приобретателей, но реестр эту проблему может серьезно обострить.
Анатолий Вассерман: Особенно остро, судя по обсуждениям, стоит вопрос о внесении в реестр данных о психических заболеваниях.
Наталья Касперская: Безусловно. Это сверхчувствительная сфера. У человека могло быть временное расстройство, он обратился за помощью, и вот он уже навсегда в регистре, из которого нельзя исключиться. Это отбивает всякое желание обращаться к специалистам, когда это необходимо. Люди будут бояться стигмы и последствий. Законодателям стоит очень хорошо подумать над тем, как учитывать такие состояния, возможно, в отдельных, максимально защищенных системах.
Анатолий Вассерман: Вы говорили о рисках тотального контроля через цифровые технологии. В чем главная опасность, помимо нарушения приватности?
Наталья Касперская: Первое — непонятно, кто и по каким критериям будет судить, что правильно, а что нет. Чиновник не может знать за всех. Второе — это перетекание реальной власти. Мечта чиновника — не нести ответственность. В новой системе решения будут фактически принимать не они, а айтишники — разработчики и администраторы систем. У сисадмина есть техническая возможность, например, исключить себя из реестра или внести в него кого-то. Возникает чудовищное неравенство и возможность доминирования одной группы над другой. Денежные потоки тоже перераспределятся в их пользу. Эффект может быть обратным ожидаемому: контроль ускользнет от тех, кто его задумывал.
Анатолий Вассерман: Слушатель Валерий из Москвы задал вопрос: раз всех оцифруют, не значит ли это, что народ сможет напрямую, через те же Госуслуги, чаще выражать свою волю, проводить референдумы и влиять на решения?
Наталья Касперская: Оцифровка для контроля и оцифровка для волеизъявления — это две разные вещи. Надеть «электронный ошейник» — это одно. А спросить мнение — совсем другое. Чтобы спрашивать, нужно желание это делать, нужно создавать соответствующие институты. По поводу реестра граждан никто не спрашивал. Места, куда можно прийти и легитимно выразить протест против таких инициатив, не создано. Ситуация с пандемией COVID-19 показала: много людей были против, но их мнение не повлияло на решения. Техническая возможность тотального опроса есть, но политической воли его проводить — нет.
Анатолий Вассерман: Поступают реплики от слушателей. Один пишет, что цель реестра — чтобы МВД могло оперативно узнавать, например, о том, что у человека, имеющего право на оружие, появились психиатрические проблемы.
Наталья Касперская: Да, видимо, в этом одна из заявленных благих целей. Но вопрос в том, какой ценой и с какими побочными эффектами это достигается.
Анатолий Вассерман: Другой слушатель цинично, но честно замечает: «Все будут знать, у кого квартиру отжимать, кому "таблеточку не ту подсунуть"... Менты сольют всё, они на маленькую зарплату жалуются».
Наталья Касперская: К сожалению, это серьезное и обоснованное опасение. Сливать данные будут все, у кого есть доступ. А как с этим бороться — неизвестно. Риски утечки и злонамеренного использования конфиденциальной медицинской информации колоссальны.
Анатолий Вассерман: В качестве итога: что вы, как специалист с 30-летним опытом в информационной безопасности, хотите донести до тех, кто принимает решения?
Наталья Касперская: Я вижу в создании такой единой информационной системы очень высокие риски с точки зрения информационной безопасности и непредсказуемые негативные социальные последствия. Это «глас вопиющего в пустыне», но я надеюсь, что нам удастся привлечь внимание к этим проблемам. Возможно, еще есть время внести коррективы, пока система не запущена в полной мере. Нужно тщательно взвесить, что мы хотим контролировать, сможем ли мы это технически безопасно контролировать, и главное — согласны ли на это граждане. Пока ответ на последний вопрос, судя по всему, отрицательный.
Анатолий Вассерман: Наталья Ивановна Касперская — с подробным и тревожным анализом ситуации, связанной с появлением регистра определенных медицинских заболеваний и состояний. Будем надеяться, что к мнению экспертов прислушаются.