Сквозь запертую дверь
Рене Магритт. Неожиданный ответ. 1933
Сложность большой информационной системы и ее обслуживания не позволят гарантировать сохранность данных единого реестра граждан. Даже некоторых депутатов беспокоит их сохранность.
В частности, депутат от партии «Справедливая Россия» Олег Нилов рекомендовал сначала запустить пилотный вариант. «Конечно, такой радикальный, такой революционный проект на большую перспективу, на десятилетия без проверки и без пилотного опробования невозможно запускать сразу на всю страну», — заявил он.
Пилотный вариант мог бы выявить недоработки. А у любой сложной программной системы есть ошибки. Сейчас не выпускается больших продуктов вообще без уязвимостей. Тем более сложно представить инфраструктуру без проблем. Слишком высока сложность всех наследуемых цепочек.
В книге «Совершенный код» Стив Макконнелл приводит результаты исследования количества ошибок по отрасли разработки программного обеспечения. Самые совершенные методики позволяют снизить число ошибок при разработке до одной – трех на 1000 строк кода. В некоторых случаях на стадии эксплуатации можно снизить число ошибок до 0,1 на 1000 строк кода (космические, медицинские системы). А в системах, подобных единому регистру граждан, миллионы строк исходного кода.
Также следует отметить, что лишь часть утечек происходит из-за уязвимостей информационных систем. Еще больше данных похищается по вине людей, как сознательно, так и по причине попадания на уловки мошенников. Систему человеческих взаимоотношений тоже надо сначала отладить на пилотном проекте. Но даже это не даст гарантию достаточной технической грамотности и мотивированности людей, которые имеют возможность организовать утечку.
Глава ФНС Даниил Егоров заявил на третьем чтении в Госдуме, что в регистре будут только ключи, оговорившись, что медицинские данные, кредиты и штрафы там будут отсутствовать. Тем не менее, регистр непосредственно дает значительный набор персональной информации — ФИО, дата и место рождения, пол, СНИЛС, ИНН, гражданство.
Кроме того, связанный набор ключей (идентификаторов) поможет структурировать ранее утекшую информацию, а ее много. Если бы базы данных граждан из различных органов и частных структур (например, банков) не использовались, их бы так не стремились получить злоумышленники и не выставляли бы в теневом интернете (darknet) на продажу.
В качестве примеров утечек, чтобы не быть голословным, можно привести два недавних случая. 29 апреля стало известно, что в сеть попали сведения о 12 млн заемщиках микрофинансовых организаций. 14 мая в теневом интернете выставлены на продажу 129 млн записей о владельцах автомобилей. Предполагается, что данные были украдены из реестра ГИБДД России.
И такие утечки происходят по много раз за год. При этом разработчики и администраторы каждой такой системы прикладывают массу усилий для обеспечения сохранности данных.
Автор материала — главный инженер разработки одного из крупнейших российских банков