27.05.15
Депутат Госдумы Илья Костунов опубликовал утром вторника в Твиттере текст своего запроса главе Роскомнадзора Александру Жарову по поводу потенциальной угрозы, которую представляют для персональных данных граждан счётчики посещаемости, устанавливаемые на веб-сайтах органов государственной власти. По данным, полученным нами от экспертов, потенциальная опасность таких счётчиков – не депутатская фантазия. У владельцев сервисов учёта посещаемости есть техническая возможность добраться до множества данных, и посетитель сайта будет перед ними беззащитен.
Несколько слов о технической стороне дела. Веб-сайт, в отличие от бумажного издания или телевизора, интерактивен: чтобы узнать, сколько людей, откуда, в какое время посетили сайт, на каких страницах побывали и сколько времени там провели, не нужно прибегать ни к опросам, ни к сложным специальным методам.
Например, для оценки аудитории телеканала нужно составить репрезентативную выборку телезрителей, договориться с каждым из них об установке специального оборудования в дополнение к телеприёмнику, провести эксперимент, обработать собранную статистику переключения с канала на канал в подопытных домохозяйствах, распространить наблюдения на генеральную совокупность граждан, грамотно оценив погрешность измерений. Можно, конечно, сэкономить и обойтись соцопросом, дополнительно пожертвовав точностью.
Ничего такого в Интернете не требуется. Достаточно на веб-странице установить код счётчика, который зафиксирует, с какого IP-адреса, с какого сайта, с какого устройства, с какой операционной системой, через какой браузер, в какое время человек зашёл на сайт, какие страницы, в какой последовательности и как долго он рассматривал.
Написать счётчик можно самостоятельно, но зачем, если администратору сайта бесплатно предлагают такой сервис, причём качества, которое кустарным методом не обеспечить? Посмотрите, например, насколько подробно стенографирует действия пользователей Вебвизор от «Яндекса» на примере нашего сайта:
Это часть сервиса «Метрика», который предоставляет богатейшие возможности для анализа трафика на сайте. Будь то СМИ, интернет-магазин, информационный сервис, корпоративный ресурс – в любом случае ценность предоставляемой «Яндекс.Метрикой» информации нельзя переоценить.
(Отметим сразу, что в отличие от описанного выше метода изучения ТВ-аудитории у пользователя согласия не спрашивают.)
Функционально аналогичными возможностями обладает и сервис Google Analytics, и другие. В России популярны также Liveinternet и счётчик Mail.ru, некогда знаменитый Rambler, место в рейтинге которого когда-то дорогого стоило, тоже пока жив.
Информацию о посещаемости сайтов любой сервис статистики забирает и неопределённо долго хранит на своих серверах. Это полезно – хотя бы потому, что позволяет построить рейтинги посещаемости различных ресурсов, сравнить их по популярности с помощью одного и того же измерителя. При этом владелец статистического сервиса получает обобщённые, но весьма подробные данные об интернет-аудитории, которые может использовать, как вариант, для консалтинга. Здесь и возникает потенциальная, но одновременно и реальная угроза персональным данным.
C точки зрения безопасности, пояснил Экспертному центру эксперт Руслан Курепин (index.ru), принципиально важно, загружает ли счётчик на компьютер пользователя свой скрипт в процессе работы. Например, Liveinternet не делает этого, на сайте работает только не подлежащий модификации код счётчика, который владелец сайта сам на него установил при создании ресурса. Код счётчика Liveinternet может быть подвергнут аудиту: какая информация фиксируется, а какая – нет, понятно.
Иное дело, например, Rambler. Вот код его счётчика:
<script id=«top100Counter» type=«text/javascript» src=«http://counter.rambler.ru/top100.jcn?2159155»></script>
Не обязательно быть программистом, чтобы увидеть, что обработку данных ведёт код на языке Javascript, загружаемый с сервера Rambler.
То же имеет место в случае «Яндекс.Метрики» и Google Analytics. Эти сервисы вправе – так прописано в пользовательских соглашениях – загружать скрипт, обрабатывающий статистику, в процессе работы. Курепин говорит, что проконтролировать этот скрипт невозможно: он может быть разным для разных пользователей, разных сайтов, разного времени суток. Герман Клименко, хозяин Liveinternet, выражается ещё определённее: «Там можно и вправду все что угодно».
Точнее, можно всё, что может браузер – именно он интерпретирует и исполняет загруженный скрипт. Браузер – не ядро операционной системы, сделать с компьютером всё что автору кода заблагорассудится он не может, скажем, жёсткий диск не отформатирует. Но копировать данные, которые пользователь ввёл в форму – например, пару логин-пароль – это запросто
Если, конечно, эти поля не помечены специальными тегами, скажем, забегая вперёд – но есть эти теги или нет, остаётся на совести или внимательности веб-мастера. Если по глупости или небрежности администратора ресурса код счетчика стоит на странице с формой обращения за, например, госуслугой, и теги, запрещающие копировать содержимое полей, отсутствуют, персональные данные расстанутся с владельцем.
Вот первый попавшийся пример – запись на пример к врачу в Красноярском крае.
Баннер «Яндекс.Метрики» присутствует. Google Analytics тоже используется, но обнаружить это можно только анализом кода страницы
Ситуация, когда пользователя не информируют о фиксации его поведения на сайте сервисами сбора статистики, типична, для государственных сайтов в том числе. Браузер между тем немало может отдать вовне по указанию загруженного скрипта – данные, введённых в поля форм, сведения о выгружаемых и скачиваемых файлах, выделении и копировании текста, информацию из файлов cookies (следы предыдущих посещений сайтов). Несложно выудить из этого, как вариант, информацию о поле, возрасте, национальности и месте жительства.
Защита канала связи тут никак не поможет, поскольку данные «снимаются» до того, как поступают в канал. Передача же идёт чисто, с точки зрения внешнего наблюдателя сайт совершает только разрешённые действия.
Если совсем уж впасть в паранойю и допустить (а никаких теоретических ограничений для такого допущения нет), что браузер, произведённый той же компанией, что и сервис статистики, может иметь недокументированные функции (и Goоgle, и «Яндекс» производят собственные браузеры, оба популярны), возможен захват полной власти над пользовательским устройством
Теперь вернёмся к депутатскому запросу и попытаемся оценить масштаб потенциальной угрозы. В распоряжении Экспертного центра есть статистика установки счётчиков на 343 сайтах органов государственной власти, как федеральной, так региональной и муниципальной. На 125 из них использован сервис Google Analytic, а «Яндекс.Метрику» применяют 295.
Рейтинг популярности сервисов статистики, используемых для государственных онлайн-ресурсов в России (источник: index.ru)
Полный набор сведений об использовании официальными веб-сайтами органов власти внешнего кода см. в таблице:
Какой реакции на депутатский запрос следует ждать от Роскомнадзора? Хотелось бы конструктивной и технически грамотной: претензии, если они справедливы, надо адресовать госорганам – владельцам сайтов, а не сервисам веб-статистики. Техническая возможность запрета сбора персональных данных у веб-мастера существует, при использовании «Яндекс.Метрики» достаточно, например, пометить поле формы тегом «password», и его содержимое не уйдёт наружу.
В условиях использования Google Analytics прямо сказано, что клиентам (владельцам сайтов) запрещается отправлять в Google информацию, которая позволяет установить личность пользователя. Юридическая ответственность за утечку персональных данных вместе со статистикой посещаемости лежит на администраторе сайта. Пользователю, однако, всё равно, по чьей вине такая утечка случится.
Если «Яндекс» и Google в пользовательских соглашениях страхуются и возлагают ответственность за обработку персональных данных на администраторов сайтов, то последние не предупреждают посетителей о том, какие из введённых ими данных попадают к третьей стороне. Это кажется совершенным естественным, «так принято». Предложи веб-мастерам предупреждать посетителей о передаче их данных на сторону, возмущению и недовольству не будет конца. Но вот фраза из пользовательского соглашения, которое администраторы, использующие Google Analytics, обязуются соблюдать: «You must disclose the use of Google Analytics, and how it collects and processes data (Вы должны раскрывать использование Google Analytics и способ, которым он собирает и обрабатывает данные)».
А вот с чем предлагают согласиться пользователям «Яндекс.Метрики»: «Пользователь понимает, что в результате использования Сервиса он может получить доступ к Охраняемой информации, в связи с чем Пользователь обязуется не предпринимать целенаправленных действий, направленных на получение такой Охраняемой информации, а также обязуется в максимальной степени соблюдать все требования действующего законодательства к сбору, обработке и защите персональных данных и иной Охраняемой информации, полученной при использовании Сервиса, и самостоятельно несет все риски, связанные с получением такой Охраняемой информации, и ответственность за несоблюдение требований законодательства».
Так что с владельцев статистических сервисов взятки гладки: если обнаружится, что данные из веб-формы отправляются на внешний сервер и это станет поводом для разбирательства, отвечать будет владелец проштрафившегося сайта.
Во многом аналогичный прецедент имел место в 2011 году, когда в поисковую выдачу попали персональные данные посетителей интернет-секс-шопов, только потому, что нерадивый веб-мастер не запретил поисковым машинам индексировать сайт. В произошедшем «интернет-общественность» сгоряча обвинила «Яндекс», но, к счастью, быстро разобрались.
Радикальным решением (которое, разумеется, вызовет свою порцию традиционной критики со стороны «интернет-общественности») была бы разработка правильного, заведомо безопасного счётчика посещаемости государственных ресурсов. Минэкономразвития уже разработало систему мониторинга сайтов госорганов. Нет объективных препятствия к тому, чтобы не «докрутить» её, разработав ещё одну функцию – счётчик, сервис статистики. В России сразу несколько компаний могли бы это сделать.
http://d-russia.ru/pochemu-deputat-schyol-schyotchiki-poseshhaemosti-ugrozoj-personalnym-dannym-grazhdan.html http://creativecommons.org/licenses/by/3.0/legalcode
