Россертификация, Росконтроль – мошенничество в сфере оказания услуг по защите ПДн или нет?
Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС «Росконтроль». Там все по классике — пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история эта началась гораздо раньше, и я бы хотел сначала провести небольшую ретроспективу.
2018 год. Россертификация
В 2018 году в нашу организацию, которая тоже занимается, в том числе, защитой персональных данных, начали поступать многочисленные запросы от юридических лиц о том, что им пришло электронное письмо от какой-то Россертификации и как им на него реагировать.
У нас сохранился образец DOCX-файла , который был прикреплен к тем письмам. Потратив некоторое время и проведя небольшое расследование, мы пришли к выводу, что это мошенники. Извиняюсь, что так вот сходу отменил интригу заголовка, но, поверьте, дальше в статье будет много интересного.
Сразу же с ходу в теме письма начинаются психологические манипуляции, давящие на страх и беспокойство, которые кроются в словах «Предписание Рос… чего-то там». Среднестатистический работник бухгалтерии, знающий, что госорганы готовы выписывать предписания и штрафы за каждый чих, конечно, в первую очередь почувствует запах неприятностей, а потом уже начнет думать и осознавать происходящее.
В самом вложении также в шапке красуется «Россертификация». Пока не понятно, это действительно госконтора или ООО, или еще что-то другое. А вот ниже уже интереснее — указаны реквизиты ИНН, КПП, ОГРН и ОКПО. Быстрый поиск в ЕГРЮЛ дает нам результат — это данные некоего ООО «Единый центр сертификации». Запомним это и едем дальше, осознавая, что подобные «предписания» без каких-либо договоров, например на аттестационные испытания, не имеет права выдавать ни одно ООО.
Далее нам вешают лапшу о «начале внеплановых проверок с 1 апреля 2018 года», как будто ранее РКН не проводил внеплановых проверок по персональным данным. В этом же предложении жирным шрифтом акцентируется, что якобы все организации должны уведомить РКН об обработке персональных данных, хотя в части 2 статьи 22 Федерального закона №152-ФЗ «О персональных данных» приводится целых 9 пунктов исключений, когда оператор ПДн может не подавать такое уведомление.
По штрафным санкциям опять недостоверная на тот момент информация. Нижняя граница штрафа для юридических лиц — 15 тысяч рублей, а не 45.
И под конец моё любимое — страшилка про закрытие предприятия на 90 суток за невыполнение закона «О персональных данных». Я думал, что недобросовестные коллеги оставили эту байку в 2010 году как максимум. И, конечно же, такой нормы нет в упомянутой статье 13.11 КоАП РФ — здесь просто прямое вранье (с этого момента можно начинать считать сколько раз в этой статье будет употреблено слово «вранье»)! А тем, кто не знает/не помнит откуда пошла эта страшилка, добро пожаловать под спойлер.
Откуда пошла страшилка про закрытие предприятия на 90 сутокСтрашилка про закрытие предприятия на 90 суток пошла из статьи 19.5 КоАП РФ «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль».
Статья очень большая, описывает разные санкции за невыполнение предписания всех возможных органов надзора. И, видимо, по логике придумавших эту страшилку всем будет лень читать статью целиком и они просто поверят, что за невыполнение предписания РКН организацию закроют на срок до 90 суток (коммерческой организации можно сразу закрываться навсегда). И самое интересное, что возможность быть закрытым на 90 суток в статье 19.5 КоАП РФ действительно есть, только эта санкция предусмотрена за:
невыполнение предписания строительного надзора;
невыполнение требований карантина;
повторное невыполнение предписания пожарного надзора;
невыполнение законодательства о защите детей от «плохой» информации.
Смотрим дальше текст вложения.
И снова вранье, которое заключается в том, что никакой льготной федеральной программы по разработке документации по защите ПДн не существует и никогда не существовало.
Кстати, в этом месте документа по идее должна быть гиперссылка на сайт, но ее нет. Но тогда, в 2018 году, он нашелся методом беглого гугления, сайт находился по адресу 152-фз.россерт.рф. Находился, т. к. сайт больше недоступен, Wayback Machine выдает что-то внятное только за 2019 год. А мы их анализировали и успели наделать скриншотов в 2018-м (судя по архивному отпечатку, в 2019 году текст сильно поменялся, но не суть), и там тоже много чего важного, что поможет нам в будущем сделать кое-какие выводы, давайте посмотрим.
Читатель, ты, возможно, не понимаешь, зачем я тебе показываю скриншоты уже неработающего сайта, но поверь, это важно для понимания полной картины в наши дни.
Итак, снова у нас тут «Федеральная программа», которой не существует, «главный орган по сертификации Россерт» (а это тоже самое, что и Россертификация или другое? пока не понятно) и прочие громкие фразы типа «Федеральная программа развития бизнеса в России. При аккредитации Росстандарта». Но самое главное — номер телефона в правом верхнем углу совпадает с номером в приложении к письму, а значит, мы точно попали через поиск куда надо.
Дальше нас учат, как же соответствовать закону о персональных данных. Якобы нужно разработать пакет документов и получить на них сертификат соответствия ГОСТ. Стоп, чего? Про пакет документов, в общем-то, правда, да только вот кроме документов, чтобы соответствовать 152-ФЗ нужно еще и выполнить технические мероприятия, поэтому будем считать, что тут не вранье, а недоговорка. А вот про необходимость соответствия комплекта документов по защите персональных данных какому-либо ГОСТ это чистой воды вранье.
Далее нас ожидаемо пугают штрафами. То, что эти цифры не соответствуют действительности сейчас и не соответствовали тогда, мы уже разобрали, но обратите внимание что нижние и верхние границы штрафов не соответствуют таковым в спам-письме. Снова бородатая страшилка про закрытие организации на 90 суток. И лютейший бред про возможное лишение свободы руководителя на срок до 4 лет по 137 УК РФ за нарушение закона «О персональных данных» (эта статья о злонамеренном сборе и распространении данных о частной жизни физического лица с использованием служебного положения — за уши конечно можно притянуть, но все же надо понимать, что такое деяние и отсутствие в организации необходимых документов по 152-ФЗ это совсем разные вещи).
Дальше нам предлагают скачать даже на тот момент сильно устаревшую версию 152-ФЗ. И, конечно же, классика — мошенники предупреждают о мошенниках.
Но самое интересное ждало нас в конце сайта.
В разделе »Лицензия и аккредитация» собственно нет никакой лицензии (да неужели? нас опять обманывают?), зато есть свидетельство о регистрации системы добровольной сертификации «Россертификация». Помните, в самом начале я говорил, что мы не понимаем что такое «Россертификация» и «Россерт» — теперь понятно, это СДС (система добровольной сертификации).
Что такое СДС? В соответствии с 21 статьей ФЗ «О техническом регулировании» любое юрлицо или ИП могут учредить такую систему сертификации, например… орехов. Вы определяете параметры (вкус, форма, цвет) орехов, на которые вы будете выдавать сертификат и те, кто хотят сертифицировать свои орехи в вашей СДС (которую вы конечно же зарегистрировали в Федеральном агентстве по техническому регулированию и метрологии) заключают с вами договор, проводят необходимые испытания и получают или не получают сертификат.
Нужно еще отметить, что зарегистрировать ООО с приставкой «Рос-» ой как не просто. Есть целый список требований, чтобы это было возможно. Видимо, у СДС с этим все гораздо проще. Отмечаем так же, что свидетельство о регистрации СДС выдано ООО «Единый центр сертификации». Реквизиты (ИНН, ОГРН) ООО с таким же названием фигурировали и в шапке спам-письма.
2020 год. Росконтроль
В 2020 году снова активизировалась похожая спам рассылка. В письме ожидаемо грозились штрафами за невыполнение требований по защите персональных данных, давались ссылки на пару проплаченных статей, и предлагалось пройти по ссылке, вбить ИНН своей организации и получить якобы вручную подготовленный отчет по выполнению вашей организацией требований закона «О персональных данных». Пример такого отчета здесь. Но это уже было от лица некого Федерального центра по защите персональных данных СДС «Росконтроль».
К счастью, мы с вами уже знаем, что такое СДС и префиксом «Федеральный центр» нам мозги не запудрить. Но вам ничего не напоминает? Опять СДС, опять в названии «Рос-», опять попытка мимикрии под госорганизацию? У меня подозрение, что на манеже все те же закрались сразу. Но мы же не будем делать бездоказательных выводов, правда?
Давайте посмотрим, чем это письмо отличается от образца 2018 года.
Во-первых, теперь это не «предписание», а «отчет по результатам проверки». Теперь не «Россертификация», а «Росконтроль» и явно указано, что это СДС. Ссылка на другой сайт -rkn.expert (он по сравнению с предыдущим ну совсем маленький и не интересный, поэтому даже подробно анализировать там нечего). Другой телефон. Другой адрес (хотя тоже Питер). Также обращаем внимание на URL сайта, попахивает мимикрией под официальный сайт РКН (rkn.gov.ru).
Установить связь СДС «Россертификация» и СДС «Росконтроль» не составляет особого труда. Просто лезем на сайт Росстандарта и ищем «Росконтроль», находим одну запись и выясняем, что свидетельство, номер которого совпадает с номером в «отчете» выдано ООО «Единый центр сертификации», ОГРН которого совпадает с ОГРН, фигурирующем в спам-письме от 2018 года. На этом, думаю, связь старого спама и нового можно считать установленной. Давайте же дальше смотреть новое письмо.
Кстати, обратите внимание, что свидетельство выдано на СДС «Росконтроль» и никакого префикса «Федеральный центр чего-то там» в реестре нет, поэтому «Федеральный центр» это чистая отсебятина, призванная запутать доверчивых граждан.
Давайте закончим с шапкой письма, ведь здесь самое важное отличие от спама 2018 года — теперь здесь фигурирует персоналия, некий Келлерманн А.М. Вот это уже интересно!
Давайте проверим по реестру, не связан ли этот Келлерманн А.М. с нашими старыми знакомыми ООО «Единый центр сертификации»? Идем в любой каталог организаций и ищем по ИНН. Вот черт! Генеральный директор этой организации некий Катричко Александр Максимович, мимо!
Ладно, не унываем, смотрим дальше «отчет». Смысл там, в общем, такой: этот Росконтроль типа проверил организацию и выяснил, что ее нет в реестре операторов персональных данных. Из чего сделаны выводы:
уровень нарушений — высокий (они не имеют права делать такой вывод, так как, возможно, организация попадает под исключения, когда оператор может не подавать уведомление);
вероятность проверки — высокая (с чего это они взяли тоже абсолютно не понятно, но мы с вами уже предполагаем, что это манипуляция запугивания).
Дальше у меня глаз зацепился за этот блок:
А именно верхний правый буллет. Кто знает, что это за сертификация такая, которая уменьшает риск проведения проверки (кроме противозаконных)? Поделитесь, пожалуйста, в комментариях.
Ну и левый нижний буллет я, как специалист, не могу не прокомментировать. Здесь проблема в том, что подать за вас уведомление никто не имеет права, т. к. уведомление подается в бумажном виде с подписью руководителя и печатью организации (если есть). А вот помочь подготовить можно, но можно подготовиться и самостоятельно, прочитав нашу статью здесь.
В четвертом разделе нас пугают уже многомилионными штрафами. Вот как Гермиона штрафы измениласьись за лето два года!
Как вы догадались, тут тоже вранье. Такими штрафами наказывают за отказ хранить данные граждан РФ на территории РФ, так называемая статья против фейсбука и им подобных. Обычное ООО, которое хранит базы 1С у себя на локальном сервере таким санкциям уж точно не подвержено, но звучит-то страшно, правда? 6 миллионов! А чего тогда господин Келлерманн не ссылается на п. 9 статьи 13.11 КоАП РФ, там за повторное нарушение по п.8 штраф аж до 18 миллионов. Еще страшнее!
Кто-то здесь может возразить, что обычное ООО может попасть под эту статью, если будет хранить свою базу 1С на заграничном облаке. В принципе да, такое возможно, да вот только услуги, которые предлагает г-н Келлерманн (разработка пакета документов) при выявлении такого нарушения проверяющими не спасут.
Еще в этом же четвертом пункте «отчета» приводится список документов. В целом, список как список. Почему нет единого стандарта по составу комплекта документов можно узнать из нашей статьи, но меня смутил вот этот пункт:
Дело в том, что разработка документа «Модель угроз безопасности» являются частью лицензируемого ФСТЭК России вида работ «проектирование систем в защищенном исполнении». Сами для себя вы можете разработать этот документ без лицензии, но если разрабатываете его как услугу, то необходимо получать лицензию ФСТЭК на проведение работ по технической защите конфиденциальной информации (ТЗКИ). ООО «Единый центр сертификации» такой лицензии не имеет, это легко проверить по реестру.
Ладно, долистываем это письмо до конца. Помните, я говорил про персоналию в этом письме? Ниже он подписывается уже более подробно, теперь мы знаем его имя и у нас есть его фото.
Обратите внимание на эволюцию спама — возможно с «Россертификацией» что-то пошло не так и в дело включился «Росконтроль», а для повышения доверия это уже не обезличенное «предписание», а «отчет», подписанный конкретным лицом. Ну что ж, раз этот персонаж решил все же засветиться, считаю незазорным прогуглить его и покопаться в открытых данных с целью установить реальное ли это лицо вообще и может быть найдем еще какую интересную информацию.
Сначала из найденного я зашел на fl.ru. Фото другое, но «rossertrf» кричит нам, что это он. Там 6 фрилансеров ставят этому заказчику »+», мол, молодец, платит вовремя и все такое. Видимо, там он заказывает сайты типа старого уже закрытого и rkn.expert. Ну, что ж, я надеюсь, что фрилансеры искренне не понимали, что помогают дурить людей.
А потом я зашел в его Instagram (профиль открыт) и тут началось. То, что это именно он, сомнений нет, там есть та же фотка, что и в «отчете» и фото с fl.ru тоже имеется. Бегло пролистав фотки с тачкой и котиком (котик классный, да), взгляд, конечно, же остановился на этой фотке и на посте под ней:
Ну, во-первых — «Росконтроль». Обратите внимание на сайт на табличке (rkn.moscow) — опять мимикрия под официальный сайт РКН (он просто редиректит на rkn.expert). Во-вторых, сам пост в стиле «Вы все дураки и не лечитесь…». Тут я не удержался и написал комментарий. Я, честно говоря, ни на что не надеялся, был уверен, что комментарий проигнорируют или удалят, но нет.
На что было получено 2 ответа и второй говорит сам за себя.
Кстати, да, Роскомнадзор действительно в курсе.
А еще в курсе другой Росконтроль, который СМИ.
Вместо заключения
Зачем это все нам (как компании) и зачем я писал всю эту статью (кроме того, что никто не любит мошенников и нужно их выводить на чистую воду)?
Дело в том, что когда наши добросовестные коллеги предлагают людям свои услуги, нам потом не пишут и не звонят с вопросами «Нам позвонил лицензиат ФСТЭК, предлагает свои услуги по защите информации, подскажите, стоит ли с ними работать?». И совершенно другая картина, когда людей заваливает спамом от рос-гос-чего-то-там со словами «предписание» и «штраф до 6 млн. рублей», вот тогда мы можем терять много драгоценного рабочего времени на такие консультации, за которые мы денег не берем.
Кто-то может сказать, что г-н Келлерманн правильно написал в комментарии, что у него все зарегистрировано и так далее, и называть его мошенником не правильно, но у нас регистрировать ООО и ИП могут и «экстрасенсы» с гадалками, а гомеопаты совершенно официально продают в аптеках сахар по цене золота.
В конце концов, мы установили, что «Россертификация» и «Росконтроль» это одна и та же лавочка, поэтому все их грехи можно суммировать, давайте подытожим, какие признаки мошенничества можно выделить:
регистрация и использование СДС с приставкой «Рос-», что вводит незадачливых пользователей в заблуждение, причем в случае с «Россертификацией» спамеры даже не добавляли «СДС» в начале, видимо потом им дали понять, что так делать нехорошо;
грубая эксплуатация страха адресата манипулятивными методами: «вам выдано предписание», «вас оштрафуют», «к вам придет проверка». Напоминаю, что никаких предписаний эти жулики выдавать не имеют права;
попытка замещения функций государственных органов с помощью несуществующих «Федеральных программ» и «Федеральных центров»;
притягивание за уши санкций для операторов персональных данных (штраф 6 миллионов, статья 137 УК РФ, закрытие организации на 90 суток), абсолютно не применимых или никак не связанных с услугами, предлагаемыми спамерами;
фишинговые техники. Вряд ли рядовой пользователь помнит точно домен РКН, в крайнем случае, если он ходил когда-то на их сайт, может помнить, что это rkn.«че-то там». Таким образом, использование доменов rkn.expert и тем более rkn.moscow призваны ввести пользователей в заблуждение;
использование безаппеляционного «все организации должны подать уведомление об обработке персональных данных», хотя закон предполагает ряд исключений;
безаппеляционное утверждение того, что комплект документов по защите персональных данных должен соответствовать каким-либо ГОСТ, что противоречит действующему законодательству;
оказание услуг по разработке проектной документации на систему защиты информации (Модель угроз) без лицензии ФСТЭК России;
заверение о проведении какой-то сертификации вашей организации (какой именно сертификации спамеры умалчивают), которая уменьшит риск проведения проверки, что не соответствует действительности (никаких индульгенций от проверок не существует);
ну и вишенка на торте — пост и комментарий в Инстаграме причастного лица (я уж не знаю, один ли он работает или в составе группы). Пост о том, что люди не умеют читать документы, сайты, договора говорит о вполне сознательных и намеренных описанных выше манипуляциях.
Кто-то может сказать, что несведущие люди сами виноваты, что их обманывают, но это уже самый настоящий victim-blaming (насильник тоже не виноват, это девушка надела короткую юбку). В наше время невозможно быть специалистом во всем. Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову.
Если у вас есть знакомые бухгалтеры, руководители небольших фирм (или даже больших) и другие лица, которым могла быть интересна эта статья, покажите им её.