“Как уже неоднократно писала «РосКомСвобода», последнее время российские власти усиленно внедряют технологии слежки за россиянами, и особенную интенсивность этот процесс приобрёл во время борьбы с пандемией коронавируса. Камеры с функцией распознавания лиц, биометрические паспорта, QR-коды, цифровые пропуска — все эти способы контроля за действиями россиян внедрялись во многих регионах России. Но при этом государство не дало никаких гарантий сохранности собираемых данных, а утечки, между тем, не заставили себя долго ждать. «РосКомСвобода» решила провести собственный мониторинг чёрного рынка данных, чтобы понять — исправили ли чиновники ситуацию с утечками из камер «Безопасного города» и системы распознавания лиц Москвы?
В рамках проведенного эксперимента стало понятно: ничего не изменилось. Утечки и неавторизованный доступ к технологиям распознавания лиц позволяют следить за любым. РосКомСвобода готовит иск к столичному МВД и ДИТ и требует немедленно наложить мораторий на использование технологий распознавания лиц.
В декабре 2019 года журналист Андрей Каганских сделал репортаж про уязвимости в московской системе распознавания лиц и выяснил, что в московской системе видеослежки практически нет препятствий для утечек данных: полицейские и, возможно, другие чиновники с доступом к системе интеллектуального видеонаблюдения продают данные из нее на форумах и чатах по «пробиву» (так называют незаконный поиск информации). Среди возможных покупателей — частные детективы и коллекторы.
В декабре прайс-лист был вот таким:
3000 рублей за пятидневный доступ к к прямому эфиру одной столичной камеры из системы “Безопасный город” и недолгому архиву ее записей;
10000 рублей за поиск человека по системе распознавания лиц по наземным камерам — в результате можно получить выписку в формате PDF со всеми адресами камер, где был замечен объект слежки (в основном — камер подъездов) и фотографиями за 30 дней.
В отсутствие подробных официальных комментариев, по просьбе «РосКомСвободы» Андрей Каганских провел небольшой мониторинг предложений о продаже таких данных на черных рынках: в конце зимы он завел свежий анонимный аккаунт в Telegram и примерно раз в месяц делал рассылку по специализированным чатам с текстом о желании купить информацию из московской системы распознавания лиц (по идее, примерно таким мониторингом утечек должна заниматься служба безопасности МВД, чтобы ловить сливающих данные сотрудников на контрольных закупках).
Выяснилось следующее:
Доступ к камерам по прямой ссылке, а также уязвимость (возможность копировать ссылки на доступ и передавать их третьим лицам — она описана в официальном руководстве пользователя) все еще на месте, цены тоже не изменились;
Зато изменилось предложение на данные из систем распознавания лиц. Некоторое время купить выписку из данных московских «умных камер» было невозможно, однако примерно к концу карантина услуга вернулась на рынок — сперва по завышенным ценам, которые сейчас упали практически до значений конца 2019 года.
Один из собеседников, с которыми говорил Каганских в процессе мониторинга, — администратор исторического русскоязычного Даркнет-форума по торговле данными и схемами нелегального заработка, — в переписке через мессенджер Jabber объяснил пропажу этой услуги тем, что после освещения проблемы утечек в СМИ, в МВД «был ряд разборок на эту тему» и, как следствие, изменились необходимые сотрудникам МВД для поиска людей по камерам уровни доступа к информации. По словам собеседника, это не помогло полностью устранить утечки, но подняло цены на черном рынке. Он закончил переписку такими словами: «Разжигали все оппозиционеры, мол, дыряво. Вот стало менее дыряво».
Сейчас один поиск человека по камерам стоит в районе 15 тысяч рублей. Такую услугу редко рекламируют в спам-рассылках и на теневых форумах — по личным впечатлениям Андрея Каганских, эти данные еще не пользуются громадным спросом и встречаются в продаже редко. Их продаёт всего несколько дилеров, однако, по словам игроков рынка пробива, на них все равно есть свои продавцы и покупатели.
Например, только запрашивая у продавцов данных примеры продаваемой ими информации, нам удалось найти свидетельства утечек данных семи жителей Москвы — в виде результатов поиска людей для заказчиков с черного рынка (PDF-выписки и сделанные полицейскими фотографии экранов).
Департамент информационных технологий Москвы (ДИТ — именно это ведомство занимается установкой камер видеонаблюдения и оснащения их системой распознавания лиц) на любые вопросы журналистов о сохранности данных московских камер отвечает одной и той же фразой: «Доступ к данным ЕЦХД [Единого центра хранения данных — это там обрабатываются данные московского видеонаблюдения — прим.] имеют только уполномоченные сотрудники органов исполнительной власти и правоохранительных органов». Такой же (слово в слово) ответ по разным поводам уже получал РБК, а также «Ъ» и «МБХ-Медиа».
Фактически пресс-служба ДИТ обманывает. Доступ к данным имеют не только силовики, но и все те, кому полицейские и чиновники готовы эти данные отдать либо продать.
Судя по результатам мониторинга, устройство систем уличного видеонаблюдения и распознавания лиц до сих пор не защищает данные от утечек и неавторизованного доступа.
В июле также сообщалось, что по информации из картотеки Мосгорсуда, жители столицы сейчас оспаривают более 16 тысяч штрафов за нарушение самоизоляции, введенного под эгидой борьбы с пандемией. Часть заявителей было признано виновными только на основании данных с городских камер видеонаблюдения. При этом, суды никак не смущает 20% вероятность ошибки распознавания человека при вынесении постановлений по делам о нарушении самоизоляции и карантина, даже несмотря на то, что КоАП и УК прямо устанавливают, что любые сомнения в виновности обвиняемого, трактуются в его пользу. Вместе с тем, в текущем законодательстве никаких критериев соответствия не существует.
Чтобы понять, пытаются ли московские чиновники бороться с утечками данных из этих систем и проводят ли они мониторинг предложений черного рынка, «РосКомСвобода» отправила запросы в МВД и ДИТ, но пока не получила ответов. Зато и без ответов из министерств уже точно известно, что системы видеонаблюдения и распознавания лиц активно вводятся (в последнее время также и под предлогом борьбы с пандемией) в российских регионах — в Москве же аналогичные системы теперь собираются запустить в школах и поездах метро столицы.
Мы также обратились к нашей аудитории, и нашелся волонтер, который предложил поучаствовать в эксперименте и «пробить» собственное лицо. Результат не заставил себя долго ждать: Анна, наш волонтер, за небольшую плату получила весьма подробный отчет с результатом от 79 московских камер с точностью определения лица 71%, с указанием всех адресов, где она была за последний месяц”.
Источник: roskomsvoboda.org/62591/