Незаконно скопировать и распространить информацию государственных баз данных Эстонии, как это сделала Wikileaks, теперь далеко не так просто, и все-таки не невозможно.
Утечка информации из госучреждений — дело непростое
Как сказал генеральный директор Инспекции по защите данных (Andmekaitse inspektsioon — AKI) Вильяр Пеэп, эстонские государственные инфосистемы и базы данных построены таким образом, что любая деятельность в инфосистеме оставляет след о том, кто и какое именно действие совершил.
«Конечно, инспектор по защите данных не может стоять рядом с каждым человеком, работающим с базой данных. Самым эффективным средством для обнаружения источников утечки информации является внутренний контроль в учреждении», — отметил Пеэп.
Согласно данным западных СМИ, виновником нашумевшего на прошлой неделе инцидента с Wikileaks стал служивший в Ираке солдат, который сумел пробраться в американскую военную интернет-сеть, функционирующую параллельно с обычным Интернетом. Копирование секретных данных на диск оказалось очень простым — на работу мужчина пришел с диском музыки Lady Gaga, а ушел с записью совершенно иного рода.
На вопрос Postimees о том, как в Эстонии защищаются сообщения дипломатов, МИД Эстонии ответил целым перечнем законов, в которых говорится о переработке и передаче секретной информации.
«Министерство иностранных дел заверяет, что государственные тайны Эстонии и секретная зарубежная информация защищены в соответствии с требованиями», — ответил МИД.
Система защищает себя сама
Насколько велика вероятность того, что какая-нибудь государственная база данных может быть скопирована и затем распространена в Интернете? «Для копирования большой базы данных все-таки нужно немало времени.
Предположим, что в системе будет сделан массовый запрос на данные с ограниченным доступом — в этом случае должна вмешаться как сама система, так и внутренний контроль учреждения, — пояснил Вильяр Пеэп. — Важно, чтобы к данным не было легкого доступа через обычные поисковики».
В качестве примера Пеэп привел внутренний контроль полиции, который, по его словам, работает очень хорошо, несмотря на величину учреждения и большое количество личных данных. Между AKI и Департаментом полиции и погранохраны заключено соглашение о нулевой толерантности — это означает, что внутренний контроль полиции сообщает инспекции о каждом неверном использовании данных.
Точно такое же соглашение заключено с регистром народонаселения и специалистами, осуществляющими внутренний контроль над электронной системой здравоохранения e-tervis.
Утечку создает человек
Самый известный в истории Эстонии случай с утечкой информации связан с т.н. базой данных Перли. Ее в середине 1990-х составил специалист-компьютерщик Имре Перли, которого уже нет в живых. В этой базе были данные регистра населения, авторегистра, номера телефонов и тому подобное. Диски с этой базой данных можно было купить на рынке.
Так же, как в недавнем интервью ключевая фигура инцидента с Wikileaks Джулиан Ассанж назвал последнее распространение секретной информации «мегаутечкой», базу данных Перли в свое время в Эстонии окрестили «супербазой данных». Скорее всего, она уже устарела и стала непригодной для использования.
Пеэп заверил, что крупные утечки информации из регистров и крупных инфосистем Эстонии остались в 1990-х, когда страна еще только занималась развитием своего электронного администрирования.
В 2009 году достоянием общественности стали данные о пенсионных ступенях из центрального регистра ценных бумаг Эстонии. Тогда причиной утечки были технические неполадки.
«Мы знаем и то, что утечку информации создает, как правило, не машина, а управляющий ею человек — по незнанию или злому умыслу», — отметил Пеэп.