«Активный гражданин» хранит и обрабатывает в Москве данные жителей провинции в нарушение объявленных правил
Спустя 5 лет после скандалов с голосованием в Москве сервис «Активный Гражданин» по-прежнему не защищен от накруток – теперь и за пределами столицы.
Созданный в 2014 году мэрией Москвы для голосования по городским проектам сервис «Активный гражданин» спустя два года после запуска в регионах оказался уязвим к накруткам: как убедились «Открытые медиа», любой пользователь, зарегистрированный в «Госуслугах», может пройти опрос во всех регионах, чья администрация использует платформу по соглашению с московской мэрией. Данные местных жителей, участвующих в голосовании, без их ведома хранятся и обрабатываются в Москве. Эксперты указывают, что персональные данные жителей, вопреки пользовательскому соглашению, никак не защищены, а сами опросы в такой системе без труда можно накрутить.
Как смоляне оказались москвичами
Администрация города Смоленска 20 апреля сообщила на своем сайте о старте голосования за строительство на месте зелёной зоны между жилыми домами на проспекте Строителей фермерского рынка «Смоляне для смолян». Для голосования по этому вопросу горожан призвали регистрироваться в системе «Активный гражданин. Россия».
Строительство рынка ещё в феврале инициировал губернатор области Алексей Островский: на рабочем совещании 28 февраля он потребовал от подчинённых, чтобы к августу 2020 года рынок начал свою работу, и пригрозил принять кадровые решения в случае «саботажа» его поручения.
Для того чтобы заручиться поддержкой общественности, 9 апреля, несмотря на введённый в конце марта режим «повышенной готовности», состоялось заседание Совета Общественной палаты по поводу строительства. Глава ОП Игорь Титов сообщил, что с ходатайством о строительстве рынка к губернатору обратилась общественная организация ветеранов войны. Те признались, что «с воодушевлением узнали о создании в городе современного фермерского рынка».
Письма жильцов близлежащих домов с просьбой отказаться от проекта, собранные инициативной группой во главе с Людмилой Савиной, губернатор проигнорировал. «Мы все в ужасе, единственный клочок земли остался зелёным. Мы просим наоборот посадить кустарник и организовать площадку для выгула собак, у нас школы кругом, поликлиника», — рассказала Савина «Открытым медиа».
Смоленских бюджетников стали просить регистрироваться на «Госуслугах», а после объявления о старте голосования призвали их в нём поучаствовать. Об этом, в частности, рассказала изданию сотрудница детского сада в Промышленном районе. «Я должна проголосовать и отчитаться перед руководителем, но через его подчиненного, — рассказывает сотрудница. — Если не голосуют, потом начинаются придирки. Люди держатся за место, боятся».
Подтверждают эти слова и преподаватели школы № 37 в том же районе. 20 апреля руководители школы разослали в чате Viber сообщения преподавателям, призвав всех зарегистрироваться и проголосовать на сайте ag.smolensk.ru.
Когда пришло время голосования, жители города обнаружили, что для этого необходимо сначала зарегистрироваться на сайте мэра Москвы: после авторизации через «Госуслуги» и согласия на обработку данных система автоматически переводила пользователя к регистрации учетной записи на mos.ru, где уже были заполнены данные из аккаунта на «Госуслугах». Затем пользователи получали письмо с адреса [email protected] с оповещением об успешной регистрации на столичном портале.Руководство для пользователей «Активный гражданин. Смоленск» при этом никак не оповещает жителей о том, что для голосования необходимо соглашаться на обработку персональных данных в столице. На сайте «Активный гражданин. Россия» утверждается, что для каждого региона создано «отдельное пространство, которое будет гарантировать защищённость всех данных и изоляцию от данных других регионов».
Через неделю, 28 апреля, на сайте уже были опубликованы результаты опроса смолян о строительстве фермерского рынка. Из 6348 человек за высказались 4938 — около 78%.
Все сведения — в столицу
Впервые о тиражировании опыта «Активного гражданина» в других регионах в администрации президента задумались в конце 2016 года. Через полтора года — в мае 2018 — пилотные проекты стартовали в Орловской и Кемеровской областях. Тогда с сайта «Активный гражданин. Россия» можно было перейти к каждому региону, подключённому к программе, но сейчас на сайте можно только запросить «демонстрацию».
В официальном приложении можно принять участие в опросах в десяти регионах.
Бывший руководитель ДИТ Москвы Артём Ермолаев в разговоре с «Открытыми медиа» отмечает, что «экономная» модель распространения сервиса на регионы предполагает использование инфраструктуры столичного правительства, в том числе для авторизации и доставки сообщений: это позволяет местным администрациям не тратить бюджетные средства на создание аналогичного сервиса «с нуля».
Данные пользователей при этом обезличены, а результаты голосования хранятся на местах, уверяет Ермолаев, но уточняет: «Просто для того чтобы появился новый пользователь, его нужно в систему как-то записать, поэтому он проходит авторизацию через mos.ru. Если [у региона] совсем денег нет, могут теоретически храниться данные и в Москве, в этом ничего страшного нет».
Все данные местного проекта, включая результаты голосования, действительно хранятся и обрабатываются в Москве, сообщил «Открытым медиа» председатель комитета по информационным ресурсам администрации Смоленска Сергей Пивоваров: «Чтобы у нас тут не разворачивать. Это тоже „Активный гражданин“, один подход, одна заготовка, одна болванка такая общая, большая, но для Смоленска отдельная база данных».
Проблема «Активного гражданина» в его неотделимости от московской инфраструктуры, отмечает директор АНО «Инфокультура» Иван Бегтин: «У системы нет открытого кода, нет архитектуры передачи и хранения данных, а доверия ему ровно столько, сколько доверия к исполнительной власти Москвы». Платформе можно не доверять до тех пор, пока её оператором не будет организация, не связанная с властью, раскрывающая исходный код системы и предусматривающая независимый технический аудит, уверен эксперт.
Программист и представитель «Общества защиты интернета» Александр Исавнин замечает, что представители ДИТ не раскрывают механизмов деперсонализации данных пользователей и регулирующие это нормативы, но предлагают «верить на слово». «Данные конечно утекут. Но меня больше интересует, кто оплачивает банкет? Если Москва даёт это для области бесплатно, то почему тратит свои ресурсы не по назначению?» — возмущается эксперт.
Что происходит с персональными данными
Глава ДИТ Смоленской области Андрей Рудометкин признаёт, что условия соглашения позволяют напрямую идентифицировать пользователя: учитывая, что проголосовать могут только пользователи, авторизованные в «Госуслугах», «данная система как раз позволяет обличить человека […] Когда вы проходите авторизацию, вводите логин и пароль, система понимает, что это Иванов Иван Иванович, проживающий там-то, с паспортными данными такими-то».
В согласии на обработку персональных данных, размещённом на странице пользовательского соглашения «Активный гражданин. Россия», содержится в том числе согласие на идентификацию пользователя, включая Ф. И. О., телефон, адрес электронной почты, пол, дату рождения, семейное положение, род деятельности и наличие детей, а обработка данных со стороны АО «Электронная Москва» может производиться в ручном режиме.
При таком наборе данных сложно говорить о деперсонализации, отмечает старший юрист «Роскомсвободы» в области приватности и данных Владимир Ожерельев. Сама по себе обработка персональных данных жителей регионов на серверах в Москве не означает нарушение их прав, указывает юрист. Но с учётом непрозрачности технических процессов обработки данных, потенциально риски и нарушения могут иметь место.
Губернатор Орловской области Андрей Клычков, первым запустивший пилотный проект «Активного гражданина» за пределами Москвы в Орле в 2018 году, рассказал «Открытым медиа», что после непродолжительного «пилота» эксперимент решили прекратить в пользу локального проекта — «для того чтобы упростить и обезопасить в том числе данные наших жителей».
Нет защиты от накруток
Проголосовать по проекту рынка, не будучи жителем области, на сайте «Активный гражданин. Смоленск» смог и корреспондент «Открытых медиа» — баллы за участие в опросе теперь отображены в личном кабинете. Также беспрепятственно удалось проголосовать за установку светофора в Нальчике и оценить качество мобильной связи на территории Дагестана — единственные активные опросы в мобильном приложении «Активный гражданин. Россия» на момент подготовки статьи. Для повторного участия в опросе в другом регионе достаточно выйти и заново зайти под данными аккаунта на «Госуслугах».На похожую уязвимость сервиса в Москве в 2015 году обращал внимание ведущий «Эха Москвы» Александр Плющев — проголосовать мог пользователь любого региона, достаточно было иметь российскую сим-карту или даже воспользоваться сервисом «виртуальной симки». Куратор «Активного гражданина», председатель комитета госуслуг Москвы Елена Шинкарук сказала тогда, что не видит в этом проблемы, так как вопросы, вынесенные на портал, «интересны только москвичам».
Сейчас в разговоре с «Открытыми медиа» Шинкарук сказала, что никак не может прокомментировать текущую работу «Активного гражданина», так как уже полтора года не занимается проектом, но заверила, что в Москве для борьбы с накрутками оператор начал раздельно подводить статистику проголосовавших с московских и немосковских номеров, хотя ещё в 2015 году чиновница настаивала, что «отсеивать» пользователей по номеру телефона необязательно — голосовать могли и жители Москвы с сим-картами других регионов.
На сайте Смоленской администрации утверждается, что авторизация через «Госуслуги» сделана специально для защиты от «накруток», а согласно пункту 2.8 пользовательского соглашения АО «Электронная Москва», принять участие в опросах может «только пользователь, указавший соответствующие территории в качестве места проживания», в противном случае голосование для него недоступно.
В самом Департаменте информационных технологий мэрии Москвы подтвердили, что получили запрос «Открытых медиа», но за три недели ответ так и не поступил. «История, конечно, странная, — признался в разговоре с изданием собеседник, курирующий отраслевой проект в ДИТ, но отметил, что не видит в этом проблемы. — Ничего страшного не случится, если один человек ради эксперимента вот так проголосует».
Глава ДИТ Смоленской области Рудометкин отказался предоставлять «Открытым медиа» копию соглашения и заявил, что прописывать в нём территориальное разграничение, несмотря на условия пользовательского соглашения, не имеет смысла, так как задействована федеральная система. По его словам, в момент голосования любые голоса не из региона «отсеиваются», но как это происходит и почему результаты голосования отображаются в личном кабинете пользователя, Рудометкин не уточнил.
Юрист «Роскомсвободы» Ожерельев отмечает, что согласно условиям пользовательского соглашения АО «Электронная Москва», доступ к голосованию действительно ограничен по территориальному признаку, но лишь в контексте прав и обязанностей пользователя — соответствующих обязательств со стороны разработчика в соглашении не обозначено. Если же такое требование на уровне функциональности платформы есть в договоре, по которому АО «Электронная Москва» осуществляет разработку и поддержку сервиса, то это может свидетельствовать о нарушении договора с их стороны, указывает юрист.
При описанном сценарии работы защита от накруток сведена на нет, настаивает Ожерельев: «При намерении сделать накрутку злоумышленник будет ограничен одним инструментом — сервисом „Активный гражданин“. Но использование сервиса для голосования с отключённым ограничением по территории открывает злоумышленникам ещё больше возможностей и упрощает их задачу».