Страницы

Об интернет-дневниках


Как то так сложилось, что я никогда и ничего не слышал об интернет-дневниках в контексте защиты информации и, в частности, персональных данных. А ведь только один Dnevnik.ru обрабатывает сведения о 8 миллионах россиян: родителях и учениках из 30 тысяч школ по всей России! Такому объему могут позавидовать даже госорганы.


Кроме того Дневник.ру интересен тем, что является коммерческой компании, основанной выпускником Колумбийского университета (США), которая потратила значительные средства для организации бесплатной школьной социальной сети. Любопытно, не правда ли?

Просмотрев сайт dnevnik.ru я нашел пару интересных вещей.

ООО "Дневник.ру" - весьма продвинутая компания. Для защиты от DDoS Дневник.ру использует сервис Qrator (который, к слову, обладает закрытым ключом шифрования https и заглядывает в любой пролетающий мимо пакет), для техподдержки используется американский сервис ZenDesk,
для хранения пользовательских файлов и кэширования - облако Microsoft Azure и Amazon AWS, физически расположенное за пределами России, например, в Ирландии или США. Нужно сказать, что с точки зрения американского законодательства и сноуденовской практики, доступ к информации, витающей в этих облаках, для западных спец.служб полностью легален.
Однако персональные данные самих школьников, по уверению техподдержки, обрабатываются исключительно в России на серверах Селектела. В Ажур по-тихому улетают только аватарки, фотки, видео, библиотека и все прикрепленные учениками или преподавателями файлы...

В пользовтельском соглашении сервиса Дневник.ру есть пару интересных моментов, о которых, думаю, знают далеко не все.
Если кратко, то предоставляемые ребенком персональные данные будут считаться общедоступными и будут использоваться для таргетированной рекламы. В новом веке потребителя профилируют с пелёнок. Получил двойку по физкультуре? Будешь смотреть на баннеры с рекламой спортивного питания до самой старости.

При этом информационная система ООО "Дневник.ру" аттестована по классу ИСПДн К2 (в реестре РКН указан класс К3. Код уведомления 09-0062296) и имеет сертификат ФСТЭК, который, правда, истёк и так и не был продлён.

В уведомлении РКН нет ни слова про обработку персональных данных 3 миллионов родителей, а описание мер защиты, предусмотренных законом, звучит просто и понятно: все ПДн 8 миллионов граждан "хранятся на электронных носителях с паролем"...

Набросав короткое резюме, я решил поинтересоваться у главного защитника детей от всего всего всего - Роскомнадзора - что он думает о написанном выше. Реакция Роскомнадзора мне показалась достойной поста на блоге:
1.
2. 
3. 
Вот так и живём. Я сижу 5 месяцев жду от Роскомнадзора ответа, а Роскомнадзор, сменив 3 исполнителей, сидит и ждёт ответа от администрации сайта. Поэтому в следующий раз когда к вам придёт запрос от Роскомнадзора - не спешите с ответом, торопить вас никто не будет!

[UPDATE] Коллеги в твиттере подсказывают, что Ирландское файлохранилище Дневник.ру на Azure неплохо гуглится. Можно даже списки детей нагуглить.

12 комментариев:

  1. Уважаемый Артем!
    Команда Дневник.ру ознакомилась с Вашим постом. Мы подготовили ответы и комментарии к интересующим Вас вопросам: http://company.dnevnik.ru/presscenter/?news=701162
    Спасибо!

    ОтветитьУдалить
    Ответы
    1. Спасибо большое за Ваш ответ! Это круто, что Вы так быстро реагируете.

      Сведения о просроченном сертификате я взял из реестра ФСТЭК. Это очень странно, что они не обновили информацию спустя более чем полгода.

      Я так же не совсем понимаю, зачем Вам писать в пользовательское соглашение про рекламу и третьих лиц, если де-факто Вы так не поступаете? Вы так же можете убрать от туда про общедоступность, так как доступ к профилям имеют только зарегистрированные пользователи Дневник.ру. Так ведь?

      Удалить
    2. Этот комментарий был удален автором.

      Удалить
    3. Артем, спасибо за вопрос!
      Отвечаю:
      Мы неоднократно обращались в ФСТЭК с просьбой обновить информацию на сайте, но, к сожалению, пока этого не произошло.

      Мы не можем убрать указание на общедоступность из Пользовательского соглашения, так как зарегистрированные пользователи Дневник.ру- это тоже общественность в числе 8 млн пользователей. Принимая пользовательское соглашение, пользователь берет на себя ответственность за те данные, которые он «открывает» в своем профиле для внутренней аудитории Дневник.ру.

      Предоставляя основные сервисы пользователям бесплатно, Дневник.ру вынужден монетизировать ресурс за счет рекламы, чтобы иметь возможность его содержать и развивать. Принимая пользовательское соглашение, пользователь соглашается с этим.


      Удалить
    4. А почему в пользовательском соглашении не изменить формулировку на вашу - "..пользовательское соглашение, пользователь берет на себя ответственность за те данные, которые он «открывает» в своем профиле для внутренней аудитории Дневник.ру."?

      Удалить
    5. Дневник.ру не считает целесообразным менять формулировку в Пользовательском соглашении по следующей причине: Пользовательское соглашение фактически представляет собой договор, которым регулируются правоотношения между сторонами этого соглашения (Администрацией и пользователем). Тот язык, которым написано пользовательское соглашение, характерен для подобного рода документов и содержит термины и обороты, применяемые в юридической практике и законодательных актах. Важно понимать, что вкладываемый смысл при этом не меняется, однако текст написан соответствующим для таких документов языком.

      Удалить
    6. Дело в том, что формулировка "общедоступные персональные данные" в Вашем соглашении предоставляет Вам избыточные полномочия по обращению с персональными данными детей.

      Да и монетизация сервиса за счет таргетированной рекламы для детей - это ужасно.

      Удалить
    7. Уважаемый Артем, спасибо за Ваше мнение.

      Удалить
  2. Анна, прокомментируйте пожалуйста запись в блоге Артёма. Как так получается ?

    ОтветитьУдалить
    Ответы
    1. Развернутый комментарий Вы найдете по ссылке: http://company.dnevnik.ru/presscenter/?news=701162.

      Удалить
  3. Минобрнауки и Минкомсвязи свою базу успеваемости (и не только) учеников хотят создать: http://www.rg.ru/2014/11/19/dosie.html И, естественно, "Система будет создана в строгом соответствии с Законом о защите персональных данных"

    ОтветитьУдалить
  4. При удачной настройке iptables nginx попросту блокирует атакующие адреса и они не нагружают системные ресурсы сервера, ну а для решения серьезных проблем нужная хорошая аппаратная защита. Могу порекомендовать ребят из Simplyway.net, отлично справляются с ддос атаками

    ОтветитьУдалить