PRISM, NSA и ваши данные в Microsoft 365: что спрашивают клиенты
Разоблачения о программе PRISM подняли волну вопросов про облачные сервисы Microsoft и Google. Разбираем, что реально хранится за рубежом и что говорит 152-ФЗ.
Разоблачения о программе слежки PRISM Агентства национальной безопасности США стали публичными в июне 2013 года.
В начале июня один клиент прислал сообщение примерно следующего содержания: «Видел новости про то, что американские спецслужбы читают почту в Microsoft и Google. У нас Exchange Online - это проблема?» Через неделю похожий вопрос пришёл ещё от двух компаний. Все трое раньше про облака особо не беспокоились.
Речь идёт о PRISM - программе АНБ, о которой стало известно из слитых документов. По имеющимся данным, американские спецслужбы имели доступ к серверам Microsoft, Google, Apple и ряда других крупных провайдеров. Масштаб и механика до конца не ясны, официальные опровержения противоречат друг другу - но достаточно, чтобы корпоративные IT-менеджеры начали задавать вопросы.
Что реально происходит с данными в Microsoft 365 и Google Apps
Если коротко: данные хранятся на серверах в американских датацентрах. Это не новость, это написано в соглашениях об обслуживании - просто раньше мало кто читал эти разделы внимательно.
Microsoft публично уточняет, что корпоративные данные в Office 365 хранятся в дата-центрах в той юрисдикции, которая указана при регистрации аккаунта. Для российских клиентов через Microsoft Россия это формально европейские дата-центры. Но в самом соглашении есть важный пункт: Microsoft оставляет за собой право перемещать данные для технических нужд и обязана исполнять американское законодательство, в том числе требования FISA и запросы по постановлению суда. Это не означает, что за вашей почтой следят прямо сейчас, - это означает, что правовой механизм доступа существует и лежит за пределами российской юрисдикции.
Google Apps Marketplace примерно в той же ситуации. Сервера в США и Европе, политика конфиденциальности с аналогичными оговорками про исполнение американских законов.
Что это значит для 152-ФЗ
Здесь интереснее. Требования 152-ФЗ с поправками 2011 года не запрещают трансграничную передачу персональных данных как таковую - но обязывают оператора убедиться, что иностранное государство обеспечивает «адекватную защиту» прав субъектов ПДн. США в список таких государств, утверждённый Роскомнадзором, не входят.
На практике это означает следующее.
Первое - согласие субъекта. Трансграничную передачу данных граждан РФ в страны без «адекватной защиты» можно делать при наличии письменного согласия субъекта на такую передачу. Это решение - не техническое, а организационное: нужен отдельный пункт в согласии на обработку ПДн. У большинства компаний, которые мы видим, в согласиях про трансграничную передачу ничего нет.
Второе - категории данных. Для общедоступных данных (публичные контакты, рабочий адрес) режим менее строгий, чем для специальных категорий: медицинские данные, биометрия, данные о судимостях, религиозных убеждениях. Специальные категории за рубеж без согласия - очевидная проблема. Рабочая переписка и обычные кадровые данные - серая зона, которую надо анализировать конкретно.
Третье - что реально хранится в облаке. Многие компании перенесли почту в Exchange Online или Google Apps, не задумываясь, что туда попадает. А туда попадает переписка с клиентами (ФИО, контакты, детали договоров), HR-документы (паспортные данные, данные о зарплате), иногда медицинские справки, которые кто-то прислал на рабочую почту. Не потому что так задумано, а потому что люди пользуются корпоративной почтой для всего.
Как мы разбираем этот вопрос с клиентами
Когда приходит такой вопрос, первое что мы делаем - аудит фактического состава данных, которые попадают в облачный сервис. Без этого разговор про риски абстрактный.
Типичная картина: в Exchange Online у клиента хранится почта за несколько лет. В ней гарантированно есть сканы паспортов (кто-то прислал для оформления командировки), данные о зарплатах (кто-то переслал расчётный лист), контактные базы клиентов. Всё это - персональные данные в смысле 152-ФЗ.
Дальше разбираем по нескольким осям.
Что можно оставить как есть. Общедоступные корпоративные данные, рабочая переписка без ПДн, документы без персональной составляющей. Для этого никаких дополнительных требований нет.
Что требует доработки документов. Если ПДн всё равно уходят в облако - проверить согласия субъектов на трансграничную передачу. Это не защищает от АНБ, но закрывает регуляторный риск по 152-ФЗ.
Что лучше убрать из облака. Специальные категории ПДн, критичные для бизнеса документы с персональными данными - по возможности в локальные системы. Это сложнее и дороже, но при наличии требований регулятора или конкретных рисков - оправдано.
Честный ответ про АНБ
Если задача - гарантированно защититься от американских спецслужб, то Microsoft 365 и Google Apps для этого не подходят. Не потому что они плохие, а потому что они американские компании, подчиняющиеся американскому праву. Это не паранойя, это просто факт юрисдикции.
Если задача - корректно обрабатывать персональные данные по 152-ФЗ и минимизировать регуляторный риск, то это решаемо: аудит данных, доработка согласий, сегрегация по типам данных. Это не требует отказа от облаков, но требует понимания что туда уходит.
Большинство компаний, которые к нам обратились после новостей про PRISM, раньше не задумывались ни о том, ни о другом. Сноуден невольно сделал работу за нас.
- 152-ФЗ, плановые проверки и бумажные журналы: что нашли при аудите · 14 марта 2013
- Spear phishing: когда письмо пришло от директора · 4 апреля 2013