Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор

28-го января, в международный день приватности (защиты прав субъектов персональных данных), проект "Инфокультура" опубликовал исследование о приватности государственных мобильных приложений, сделанных в России. Интерес "Инфокультуры", которая занимается различными аспектами работы с данными, понятен. Как, собственно, понятно и желание государства оснастить своими приложениями мобильные устройства граждан, делая жазнь последних проще и удобнее. Я бы хотел посмотреть на эту проблему немного с иной стороны, а именно с точки зрения информационной безопасности и соблюдения госорганами требований законодательства по ИБ.

Итак, что выяснила "Инфокультура"? 88% из проанализированных приложений, среди которых "Мои документы", "Московский транспорт", "Активный гражданин", "Парковки", "МВД", "Госуслуги" и т.п., имеют как минимум один встроенный трекер. Некоторые имеют 3, 4, 5 и даже 9 трекеров. Большинство приложений используют трекеры Google и Facebook, сервера которых размещаются за пределами РФ. Более того, далеко не всегда можно объяснить, зачем в мобильное приложение встроен тот или иной трекер. Например, зачем парковочному приложению отдавать что-то в Facebook? Ну да ладно, это не является предметом данной заметки. Если резюмировать, программное обеспечение государственной организации, часто являющееся частью государственной информационной системы, а то и объекта КИИ (например, "ковидные" приложения, Мосэнергосбыт или Дептранс, которые работают в сферах здравоохранения, энергетики или транспорта согласно ФЗ-187), осуществляет трансграничную передачу информации за пределы Российской Федерации. При этом сами приложения устанавливается также с серверов, находящихся за пределами Российской Федерации. А теперь посмотрим, что нам говорит на такие фокусы законодательство по защите информации.

Ст.13.2.1 трехглавного закона "Об информации, информационных технологиях и защите информации" говорит, что "технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Операторы государственных информационных систем, муниципальных информационных систем, информационных систем юридических лиц, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 года №223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц", не должны допускать при эксплуатации информационных систем использования размещенных за пределами территории Российской Федерации баз данных и технических средств, не входящих в состав таких информационных систем".

Обратите внимание, в первой части этой статьи говорится о любых информационных системах, а не только о государственных ИС. Является ли трекер частью информационной системы? На мой взгляд да. Ведь он же для чего-то используется? Например, для отслеживания работы приложений и сбоев с помощью Google Firebase Analytics. По сути код такого трекера напоминает чужой контейнер или библиотеку, которую мы используем в своем ПО. Поэтому я вполне правомочен считать такой трекер частью ИС, а, следовательно, сервера, с которыми он общается, согласно ФЗ-149 должна располагаться на территории РФ.

Теперь обратимся к закону "О персональных данных", который уже много лет содержит норму, которую сотрудники Роскомнадзора трактуют как "запрет на хранение ПДн россиян заграницей". Мне можно возразить, что собираемая телеметрия не относится к ПДн, но я буду вынужден с вами не согласиться, так как согласно:

• Определению Московского городского суда от 10.11.2016 по делу № 33-38783/2016
• Постановлению 13 ААС от 01.07.2016 по делу № А56-6698/2016
• Решению Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018
• Решению Арбитражного суда города Москвы по делу А40-14900/2016

cookies, ID пользователя, IP- и MAC-адреса, User Agent, HTTP Referer, данные Google Analytics и Яндекс.Метрики и т.п. являются персональными данными. Тот же Google Crashlytics, который используется многими государственными мобильными приложениями собирает не только уникальный идентификатор устройства, геолокацию, данные об использовании приложения, но и в ряде случаев e-mail. То есть согласно позиции РКН и российских независимых судов, если дело дойдет до них, все данные, собираемые трекерами, будут рассматриваться как персональные, а следовательно снова возникает вопрос, на каком основании они передаются, обрабатываются и хранятся за пределами России.

Наконец, третий закон, с позиции которого я бы хотел посмотреть на работу государственных мобильных приложений, - это ФЗ "О безопасности критической информационной инфраструктуры". И если в самом законе ни слова не сказано о том, где можно или нельзя хранить данные субъектов КИИ и куда могут подключаться объекты КИИ, то в приказе ФСТЭК №239, в пункте 31-м прямо говорится, что "входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)". То есть и эта ветка отечественного законодательства по ИБ запрещает использование (правда, не для всех объектов КИИ) зарубежных трекеров.

Интересно, что скажут на этот счет регуляторы, призванные следить за законностью в своих сферах компетенции - ФСТЭК и Роскомнадзор? Тут, как говорил бывший вице-премьер Рогозин, "или крест сними, или трусы надень". Или для всех одни требования (закон-то для всех один), или их надо менять. А то как-то некрасиво получается...