Общественная организация «Роскомсвобода» в суде потребовала от властей Москвы остановить работу уличной системы по распознаванию лиц. Организацию и сторонних экспертов беспокоит защищенность информации: в даркнете можно легко купить подробные данные о передвижениях, которые собираются с помощью городских камер, или даже доступ ко всей системе видеонаблюдения. В мэрии настаивают, что изображения с камер не содержат персональных данных граждан.
Волонтер «Роскомсвободы» Анна Кузнецова 16 сентября подала в Тверской районный суд Москвы административный иск к департаменту информационных технологий (ДИТ) мэрии и ГУ МВД Москвы с требованием прекратить использование уличной системы распознавания лиц, а в будущем принять акт, который будет регламентировать работу подобных систем. Об этом “Ъ” рассказала юрист «Роскомсвободы» и адвокат истца Екатерина Абашина, прислав копию иска со штампом суда.
Истец также требует от ответчиков 100 тыс. руб. компенсации за вред, причиненный утечкой данных. «Наш волонтер нашла в интернете барыгу, торгующего данными, и анонимно заказала «пробив» своего лица. Она дала ему фото и через два дня получила отчет за предыдущий месяц с подробной информацией о том, где ее лицо было зафиксировано.
Почти все адреса совпали с фактическим маршрутом девушки.
Это стоило 16 тыс. руб. Получается, что за символические деньги любой может получить данные о вашем передвижении»,— рассказала “Ъ” госпожа Абашина. Это серьезное нарушение права на неприкосновенность частной жизни, власти Москвы не гарантируют защищенность данных, подчеркнула она.
В октябре 2019 года «Роскомсвобода» уже пыталась запретить мэрии Москвы использовать систему распознавания лиц, однако безрезультатно.
В ДИТ и сейчас не видят поводов для претензий. «Записи с камер городской системы видеонаблюдения представляют собой исключительно изображения и не содержат персональных данных граждан»,— заявили “Ъ” в пресс-службе ДИТ.
В Москве, по данным мэрии, установлено 193 тыс. камер видеонаблюдения — на улицах, во дворах и подъездах. Информация с них стекается в единый центр хранения данных (ЕЦХД). Оттуда ее запрашивают ведомства, например МВД. В ДИТ уверяют, что доступ к ЕЦХД получают только уполномоченные сотрудники ведомств.
Но ДИТ и раньше подвергался критике за слабую защищенность системы. О случаях продажи доступа к городским камерам за 5–10 тыс. руб. сообщали, например, «МБХ-медиа» и эксперты группы Shadow Intelligence. Летом “Ъ” также находил на профильных форумах предложения по «пробиву» людей по городским камерам. В ДИТ тогда сообщали, что информация об утечках «передается компетентным органам».
Но эксперты ставят эффективность борьбы с утечками под вопрос. «На черном рынке продаются аккаунты, предоставляющие доступ к ЕЦХД, где можно просматривать как текущую картинку, так и записи с камер. Цена такого аккаунта — около 30 тыс. руб.»,— подтверждает основатель DeviceLock и сервиса разведки утечек DLBI Ашот Оганесян. Это свидетельствует о крайне слабом контроле за подключением пользователей к системе и их действиями внутри нее, уверен он.
Источник “Ъ”, курирующий цифровизацию ряда ведомств, согласен, что столичные камеры видеонаблюдения защищены слабо и доступ к ним может получить фактически любой человек, «занимающийся взломом на самом примитивном уровне».
«Наименее защищенный сегмент — это сами устройства: камеры, коммутаторы, серверы. Разрывы в системе обеспечения защиты информации при доступе к IP-камерам, несовершенство защиты распределенной системы серверов в Москве, а также пробелы в защите при интеграции серверов со сторонними системами позволяют получить доступ к данным довольно легко и без применения спецсредств»,— говорит собеседник.
Вопросы вызывает не только безопасность, но и планы ДИТ по использованию собранных данных. В августе, изучив ряд тендеров, “Ъ” обнаружил, что в графе «цели» госконтрактов по передаче видеопотоков с камер в ЕЦХД ДИТ прописал «возможность передачи данных на возмездной основе».
Теоретически шансы на положительный для истца исход дела есть, рассуждает исполнительный директор НП «Содействие развитию корпоративного законодательства» Елена Авакян. «В России нет запрета на применение распознавания лиц. Однако как только ваши данные будут персонализированы по изображению, то есть будет установлено, что это фото принадлежит конкретному лицу, начинается нарушение.
Тот факт, что истец смогла через даркнет персонализировать данные с камер, говорит о том, что была допущена утечка из государственной системы, и это уже нарушение»,— говорит юрист.
Если закон нарушен, наказание виновных — стандартная процедура, отмечает учредитель и ведущий эксперт по защите персональных данных Б-152 Максим Лагутин. Другое дело, добавляет он, что вряд ли кто-то будет закрывать целую систему из-за одного нарушения.
Фото: Дмитрий Лебедев / Коммерсантъ