В последнее время мы начали получать все больше звонков и писем от наших клиентов (и не клиентов тоже) о получении некоего электронного письма от «Россертификации» с предписанием о выполнении мероприятий по защите персональных данных. Поскольку рассылка носит массовый характер и неподготовленных людей вводит в ступор, я решил сделать здесь разбор письма, сайта и всей ситуации в целом.
Подобная рассылка существует уже как минимум год, о чем можно судить немножко погуглив и наткнувшись на обсуждения, например здесь и здесь.
Особенно взял за душу комментарий: «У ребят острая форма шизофрении и желание денег доходящее до ночного бреда».
Я с ним полностью согласен и далее расскажу почему.
Начнем с самого письма.
Здесь мы видим типичный прием социальной инженерии — властное воздействие на неподготовленного читателя путем использования слов «Предписание» и «Россертификация». Неподготовленный читатель думает, что это что-то действительно важное и открывает вложение.
Итак, в шапке документа большими буквами красуется «Россертификация», но пускай вас это не вводит в заблуждение, это обычное ООО (но возможно здесь приплели для солидности систему добровольной сертификации с таким же названием). При этом, реквизиты, указанные ниже принадлежат уже другому ООО — «Единый центр сертификации». Во вложении указана электронная почта получателя, их ИНН и другие реквизиты. Здесь я их замазал, но упомянуть об этом нужно. Письма целенаправленные. Далее мы видим очередной манипулятивный оборот: «Предписание…». Здесь запоминаем раз и навсегда: какие-либо предписания о необходимости разработки системы защиты персональных данных могут выносить только уполномоченные государственные органы (РКН, ФСТЭК, ФСБ) и только по результатам проверки! Всякие ООО с такими претенциозными заявлениями идут далеко и надолго. Запоминаем номер «справочной» и двигаемся дальше.
Смотрим дальше текст вложения.
Тут на нас снова сваливается тонна вранья. «В связи с началом проведения внеплановых проверок с 1 апреля 2018 г.». Извините, а до 1 апреля 2018 г. внеплановых проверок не было?
Далее: «все организации … обязаны уведомить Роскомнадзор и разработать комплект документации…».
Во-первых, не «все организации». Часть 2 статьи 22 закона «О персональных данных» дает нам целых 9 исключений, когда оператор ПДн может обрабатывать персональные данные без уведомления. Во-вторых, операторы ПДн должны выполнить комплекс организационно-технических мер, а не «разработать комплект документации». Комплект документации является только малой частью всех предписываемых законом и подзаконными актами мероприятий.
Далее на арену выходит такой элемент социальной инженерии как запугивание. Непонятно откуда взяты цифры 45000-290000 рублей, но запомним их, дальше с ними будет интересный твист. На всякий случай напомню, что минимальная планка штрафа для юридических лиц согласно статье 13.11 КоАП РФ — 15 000 рублей. Но 45 тысяч звучит конечно же в три раза страшнее! И да, никакой санкции в виде приостановления деятельности предприятия на срок до 90 суток в 13.11 КоАП РФ нет!
Вообще страшилка про закрытие предприятия на 90 суток известная и старая. Появилась она чуть ли не с выходом 152-ФЗ. Ноги тут растут не из статьи 13.11 КоАП РФ, а из статьи 19.5. Полностью статья называется «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль». В ней очень много пунктов, предусматривающих санкции за невыполнение предписаний различных органов государственного контроля. При этом приостановление деятельности предприятия на срок до 90 суток предусмотрено за:
- невыполнение предписания органов строительного надзора;
- невыполнение требований по обеспечению карантина;
- повторное невыполнение требований органов пожарного надзора;
- невыполнение законодательства о защите детей от «вредной» информации.
Ни о каком закрытии предприятия за нарушение закона «О персональных данных» в статье 19.5 КоАП РФ речи не идет.
Хорошо, с этим разобрались, смотрим вложение дальше.
На что здесь нужно обратить внимание кроме корявого русского языка? Конечно на «льготную федеральную программу». Здесь поражает конечно цинизм авторов письма, поскольку никакой льготной федеральной программы по разработке документации и внесению в единый реестр не существует. ООО «Единый центр сертификации» просто выдает свои скидки за льготную федеральную программу. Как вам такое?
Здесь по идее в документе должна была быть ссылка на сайт этой самой федеральной программы, но в пересланном нам документе ее не оказалось (это просто форматирование текста такое). Но немного погуглив можно найти и сайт. Здесь ссылку оставлять не буду по понятным причинам. Давайте теперь посмотрим сайт.
Выглядит солидно, правда? Только как мы уже выяснили никакой федеральной программы не существует. Помните я просил запомнить телефон справочной? На сайте тот же телефон, значит это точно они.
В разделе «Как соответствовать?» нас пытаются убедить, что комплект документов по защите ПДн должен соответствовать ГОСТ Р 52069.0-2013. Это конечно же не так и нас опять обманывают. Для того чтобы «соответствовать», как я уже говорил в этом посте, нужно выполнить то, что предписывает закон и подзаконные акты. Соответствие документов никакому ГОСТ не требуется.
На сайте нас конечно же снова пугают штрафами, закрытием предприятия и уголовной ответственностью (что тоже довольно-таки притянуто за уши). Помните я просил запомнить диапазон штрафов из письма? Так вот, тут уже 45-290 тысяч превращаются в 40-300, определитесь уже.
Далее нам предлагают скачать 152-ФЗ в очень устаревшей редакции (последние правки от 29.07.2017, а здесь в редакции от 03.07.2016 — как же так?). Ну и классика жанра — мошенники предупреждают о мошенниках! =)
Ну и последнее на что я хотел бы обратить внимание это на раздел «Лицензия и аккредитация».
Здесь мы видим обычное информационное письмо и свидетельство о регистрации в едином реестре зарегистрированных систем добровольной сертификации.
Получается ребята еще и путают понятия «Свидетельство» и «Лицензия». Интересно, какого же качества документы, которые толкает ООО «Единый центр сертификации», если они путают эти две вещи? Кстати, если у кого-то есть эти документы, буду благодарен, если пришлете их мне на анализ.
Увидев слово «Лицензия» сразу решил проверить в соответствующем реестре, есть ли у ребят лицензия ФСТЭК на проведение работ по ТЗКИ. Конечно же я не удивился, обнаружив, что ООО «Единый центр сертификации» в этом реестре нет. Что это значит? Это значит, например, что такая организация не сможет разработать на законных основаниях для вас например модель угроз безопасности персональных данных и техническое задание на создание системы защиты персональных данных. Разработка этих документов в качестве услуги расценивается как проектирование систем защиты, что является лицензируемым видом деятельности. А без указанных проектных документов вы не пройдете ни одну проверку, какими бы бумажками о соответствии комплекта документов вы бы ни прикрывались.
Итак, отвечая на вопрос заголовка. Все-таки это агрессивный маркетинг или мошенничество?
Давайте посмотрим. Некое ООО регистрирует в Федеральном агентстве по техническому регулированию и метрологии свою систему добровольной сертификации. Сочиняет (или качает из интернета) комплект документов по защите персональных данных и дает на этот комплект свою же бумагу «о соответствии». Пытаясь замещать функции государственного органа своими «предписаниями» вводит людей в заблуждение, убеждая их, что такой комплект должен быть сертифицирован. Далее, это некое ООО предоставляет скидку на свой комплект болванок, но выдает это за Федеральную льготную программу субсидирования. Плюс на лицо «торговля страхом». Я считаю, что это мошенничество, а агрессивный маркетинг это то что изображено на первой картинке поста.
Единственный способ не попадаться на удочку таких людей, это повышать свою осведомленность и проверять информацию. Эти ребята не первые и я уверен, что не последние.