Документы госорганов «для служебного пользования» попали в Сеть

Вчера сериал с утечками конфиденциальной информации в интернет, начавшийся 10 дней назад с появления в сети СМС абонентов «МегаФона» и МТС, пополнился новой историей. На этот раз в открытом доступе оказались документы российских госорганов с грифом «ДСП» - для служебного пользования. Оказалось, что они могут быть найдены с помощью популярнейшего поисковика Google.

Как и во время предыдущих утечек, которые происходили в последнее время, чтобы найти эти файлы нужно было просто воспользоваться специальными поисковыми командами. В данном случае запрос выглядел так allintitle: для служебного пользования site:gov.ru.

Среди файлов, которые попали в выдачу Google, оказались документы Федеральной антимонопольной службы, Счетной палаты, Минэкономразвития, Федеральной миграционной службы и других ведомств. Документы охватывают период с 2004 по 2010 год. Например, желающие могли прочитать отчет об использовании бюджетных средств на социально-экономические проекты в Татарстане в 2007 году. Другой документ -  отчет о торгово-экономическом сотрудничестве России и Марокко с 2006 по 2010 год. Там же есть сводный план проведения плановых проверок юридических лиц и индивидуальных предпринимателей подразделениями ФАС и аналогичный план Ямало-Ненецкого управления ФАС.

В ФАС поспешили заявить, что доступные в сети документы не раскрывают тайн и более того уже не должны носить грифа ДСП. «С принятием Федерального закона РФ от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля и муниципального контроля» ФАС России и ее территориальные органы обязаны размещать планы проверок хозяйствующих субъектов на своем сайте» - говорится в размещенном на сайте ФАС сообщении для прессы.

В Федеральной миграционной службе и Счетной палате РФ «Известия» также заверили, что никаких секретов Google не раскрыл.

В пресс-службе российского представительства Google также отреагировали спокойно.  «Скорее всего эти дыры существовали и раньше, просто люди нечасто задают поисковику такие запросы, сформулированные определенным образом» - сказала «Известиям» пресс-секретарь Google Алла Забровская.

Эксперты подтверждают, что возможность доступа к конфиденциальной информации посредством Google существовала и прежде – есть даже термин «Google Hacking» - то есть взлом с помощью Google.

- Google - самая популярная в мире поисковая система, с ее помощью проще всего находить уязвимости на сайтах - объяснил Андрей Созыкин, директор IT-компании «Коринф» - у Google  более сложный фунционал, который дает хакерам информацию о других ресурсах.

Утечка  документов с грифом ДСП стала уже четвертой по счету за последние 10 дней. Сначала в поисковую выдачу "Яндекса" попали тексты SMS с сайта "МегаФона", затем - информация о заказах пользователей в интернет-магазинах и электронные железнодорожные билеты пасажиров. Всю эту информацию «Яндекс» почистил, однако специалисты по интернет-разведке говорят, что если знать, как задавать запрос и собственно фамилии нужных людей, то до сих пор можно эти билеты найти.
Эксперты в сфере информбезопасности полагают, что вскрытие нескольких подряд утечек – своего рода цепная реакция: вскрытие «дыр» в информационной защите стало модным занятием.

 - Широкая огласка инцидентов с утечками привела к популяризации техник конкурентной разведки и взлома через поисковые системы, раньше это происходило редко - объясняет ситуацию технический директор компании Positive Technologies Сергей Гордейчик - Уязвимости, приводящие к утечке информации, содержатся более чем в 50% всех сайтов. Теперь многие пользователи пытаются найти что-то интересное и это дает результат.

По мнению специалистов, в скором времени неминуемы очередные вскрытия.

- Существуют команды которые позволяют получить несколько тысяч папок с документами на сайте Пентагона. Если покопаться там можно найти и секретные документы» - рассказал «Известиям» ветеран ФАПСИ Андрей Масалович.
- Подозреваю, что поисковые роботы порой не смотрят на запреты, прописанные в специальных файлах robots.txt. – говорит Масалович. - Все думают, что роботы этичны, а это сказочка - даже если на сайте они находят запрет, но его можно преодолеть, то скорее всего  они туда полезут.  Защитить от роботов данные на сервере, который смотрит в интернет, очень сложно, поэтому их не надо там хранить.

Сериал с утечками конфиденциальных данных может закончиться ужесточением законодательства, регулирующего обращение с информацией. Глава комитета Госдумы РФ по информационной политике Сергей Железняк сообщил вчера журналистам, что комитет намерен рассмотреть возможность законодательного ужесточения ответственности за утечку личной информации.