Rkn moscow что это
Rkn moscow что это
ВНИМАНИЮ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ: о массовой рассылке фейковых уведомлений от имени Роскомнадзора
По сообщению ряда операторов персональных данных, зафиксирована массовая рассылка неизвестными лицами фальшивых информационных уведомлений от имени Роскомнадзора. Рассылка производится якобы от имени Сокоушина Дмитрия Валерьевича с электронного адреса «pd.rkn4@roskomnadzor.org».
В письме (PDF, 1.08 Mb) содержится требование о предоставлении в Роскомнадзор перечня документов о намерении осуществлять обработку персональных данных под угрозой привлечения к административной ответственности. Организаторы рассылки рекомендуют организациям «разработать комплект организационно-распорядительной документации… …и направить его в Роскомнадзор в течение десяти дней с даты получения данного запроса».
Обращаем внимание, что распространяемая информация не соответствует действительности. При осуществлении деятельности по ведению реестра операторов персональных данных Роскомнадзор не запрашивает указанный в письме перечень документов.
Рассылка производится с почтового сервера с доменным именем, которое не используется Роскомнадзором. Официальные сообщения Службы могут быть отправлены исключительно с адресов электронной почты сервера @rkn.gov.ru.
Операторов персональных данных, получивших подобные письма, просим сообщить о фактах получения неправомерных требований по адресу rsoc_in@rkn.gov.ru.
Время публикации: 28.05.2019 12:01
Последнее изменение: 30.05.2019 12:49
RKN Moscow – пришло письмо: что это такое
30.03.2020 787 Просмотры
Роскомнадзор – федеральная служба России, которая контролирует и регулирует работу и состояние информационной среды: сетей, сотовой связи, СМИ, интернета и др. Федеральный орган был создан в 2008 году указом президента Д. Медведева, подчиняется Минкомсвязи Российской Федерации. Роскомнадзор следит за исполнением законов в информационной среде и занимается поиском нарушений и злоупотреблений, а связывается с субъектами информсреды при помощи деловой переписки.
Далее разберемся в вопросе: что представляет себой официальное письмо от RKN Moscow, его ключевые атрибуты и характеристики.
Наверное, почти каждый читал или видел мельком в интернете новости по теме рассылки официальных писем предпринимателям, отправителем которых якобы выступает Роскомнадзор. В электронных письмах требуется выслать документы о деятельности предприятия, а также прилагается краткая инструкция по созданию дополнительных файлов в корневой папке веб-сайта. Далее в тексте следуют угрозы: если инструкция не будет выполнена, ваш сайт заблокируют на территории РФ.
Но перед тем как сломя голову бежать и что-то менять, нужно проверить: а действительно ли запрос вы получили от Роскомнадзора, или же это были мошенники, которые желают получить доступ к вашему сайту?
Официальное письмо должно быть написано в деловом нейтральном тоне, а поднимаемые вопросы изложены ясно и лаконично. Соответственно, никаких угроз о «закрытии и прекращении» работы сайта и подобных запугиваний не должно быть. В начале письма описывается повод обращения и далее по тексту идут постоянные сноски на пункты законов РФ, регулирующие работу в сфере информационных технологий.
Если же корреспонденция действительно была прислана из RKN Moscow, нужно внимательно отнестись к запросу и ответить на него в срок. В тексте официального обращения будут описаны причины написания письма, а также указания на соответствующие нормативные правовые акты. Найти и ознакомиться с их содержанием можно на сайте http://pravo.gov.ru/.
В любом случае на официальный запрос от федеральной службы нужно реагировать следующим образом: составить ответное письмо, предоставить требуемые документы и прочее. Кроме электронного письма рекомендуется составить заказное бумажное письмо с указанием ценности. Оно будет вручено лично адресату с подтверждающей подписью, а доставку можно будет отслеживать с помощью трек-номера. Ответ на официальный запрос нужно отправить в течение 30 дней со дня получения обращения (закон РФ «О персональных данных»).
Пришло письмо от postbox rkn.moscow: что это?
Роскомнадзор (rkn) — организация, созданная в связи с указом тогдашнего президента Д. Медведева в 2008. Целью этой российской федеральной службы является осуществление контроля, а также регулирование состояния и работы информационного пространства, куда входят:
РКН следит за соблюдением нормативных правил и законов РФ в информсреде, а также проводит действия по выявлению правонарушений в этой сфере. Для связи с организациями, ведущими свою деятельность в информационном пространстве, Роскомнадзор использует почтовую переписку. 
И, для того чтобы быть уверенным, что почтовое отправление пришло именно от rkn.moscow, следует знать его характерные свойства. Это поможет отличить официальное письмо от поддельного.
Многие знакомы с рядом новостей о том, что осуществлялась якобы официальная почтовая рассылка от Роскомнадзора широкому кругу различных предпринимателей. Там выдвигались требования прислать документацию, которая подтверждает деятельность фирмы, плюс к этому, требовалось поместить определённые дополнительные файлы в структуре интернет-сайта компании. Заканчивалось послание угрозой, что в случае отказа выполнить предлагаемые действия, сайт компании будет заблокирован.
Но не стоит при получении подобного письма лихорадочно предпринимать какие-либо из требуемых действий. Прежде рекомендуется проверить, что послание действительно является официальным запросом Роскомнадзора. Существует вероятность того, что это злоумышленники пытаются обманным путём получить свободный доступ к веб-сайту.
Главным отличием подлинного письма от мошеннического будет адрес эл.почты отправившего. На сайте РКН указан их подлинный почтовый адрес — rsoc_in@rkn.gov.ru. Только если в строке «От кого» прописан этот атрибут, письмо может считаться официальным. В таком послании будет содержаться наряду с обоснованной причиной обращения и список сносок на правовые государственные акты.
В том случае, когда почтовое отправление, полученное пользователем, отличается от описанного либо по адресу отправителя, либо содержанием, то велика вероятность того, что кто-то с помощью угроз через почтовый спам предпринимает попытки взломать интернет-сайт.
Но если письмо было отправлено действительно из Роскомнадзора, то следует со всей ответственностью отнестись к его содержимому и в указанные сроки выполнить предлагаемые федеральной службой действия.
Россертификация, Росконтроль – мошенничество в сфере оказания услуг по защите ПДн или нет?
Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС «Росконтроль». Там все по классике – пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история эта началась гораздо раньше, и я бы хотел сначала провести небольшую ретроспективу.
2018 год. Россертификация
В 2018 году в нашу организацию, которая тоже занимается, в том числе, защитой персональных данных, начали поступать многочисленные запросы от юридических лиц о том, что им пришло электронное письмо от какой-то Россертификации и как им на него реагировать.
Сразу же с ходу в теме письма начинаются психологические манипуляции, давящие на страх и беспокойство, которые кроются в словах «Предписание Рос… чего-то там». Среднестатистический работник бухгалтерии, знающий, что госорганы готовы выписывать предписания и штрафы за каждый чих, конечно, в первую очередь почувствует запах неприятностей, а потом уже начнет думать и осознавать происходящее.
В самом вложении также в шапке красуется «Россертификация». Пока не понятно, это действительно госконтора или ООО, или еще что-то другое. А вот ниже уже интереснее – указаны реквизиты ИНН, КПП, ОГРН и ОКПО. Быстрый поиск в ЕГРЮЛ дает нам результат – это данные некоего ООО «Единый центр сертификации». Запомним это и едем дальше, осознавая, что подобные «предписания» без каких-либо договоров, например на аттестационные испытания, не имеет права выдавать ни одно ООО.
Далее нам вешают лапшу о «начале внеплановых проверок с 1 апреля 2018 года», как будто ранее РКН не проводил внеплановых проверок по персональным данным. В этом же предложении жирным шрифтом акцентируется, что якобы все организации должны уведомить РКН об обработке персональных данных, хотя в части 2 статьи 22 Федерального закона №152-ФЗ «О персональных данных» приводится целых 9 пунктов исключений, когда оператор ПДн может не подавать такое уведомление.
По штрафным санкциям опять недостоверная на тот момент информация. Нижняя граница штрафа для юридических лиц – 15 тысяч рублей, а не 45.
И под конец моё любимое – страшилка про закрытие предприятия на 90 суток за невыполнение закона «О персональных данных». Я думал, что недобросовестные коллеги оставили эту байку в 2010 году как максимум. И, конечно же, такой нормы нет в упомянутой статье 13.11 КоАП РФ – здесь просто прямое вранье (с этого момента можно начинать считать сколько раз в этой статье будет употреблено слово «вранье»)! А тем, кто не знает/не помнит откуда пошла эта страшилка, добро пожаловать под спойлер.
Откуда пошла страшилка про закрытие предприятия на 90 суток
Страшилка про закрытие предприятия на 90 суток пошла из статьи 19.5 КоАП РФ «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль».
Статья очень большая, описывает разные санкции за невыполнение предписания всех возможных органов надзора. И, видимо, по логике придумавших эту страшилку всем будет лень читать статью целиком и они просто поверят, что за невыполнение предписания РКН организацию закроют на срок до 90 суток (коммерческой организации можно сразу закрываться навсегда). И самое интересное, что возможность быть закрытым на 90 суток в статье 19.5 КоАП РФ действительно есть, только эта санкция предусмотрена за:
невыполнение предписания строительного надзора;
невыполнение требований карантина;
повторное невыполнение предписания пожарного надзора;
невыполнение законодательства о защите детей от «плохой» информации.
Смотрим дальше текст вложения.
И снова вранье, которое заключается в том, что никакой льготной федеральной программы по разработке документации по защите ПДн не существует и никогда не существовало.
Кстати, в этом месте документа по идее должна быть гиперссылка на сайт, но ее нет. Но тогда, в 2018 году, он нашелся методом беглого гугления, сайт находился по адресу 152-фз.россерт.рф. Находился, т. к. сайт больше недоступен, Wayback Machine выдает что-то внятное только за 2019 год. А мы их анализировали и успели наделать скриншотов в 2018-м (судя по архивному отпечатку, в 2019 году текст сильно поменялся, но не суть), и там тоже много чего важного, что поможет нам в будущем сделать кое-какие выводы, давайте посмотрим.
Читатель, ты, возможно, не понимаешь, зачем я тебе показываю скриншоты уже неработающего сайта, но поверь, это важно для понимания полной картины в наши дни.
Итак, снова у нас тут «Федеральная программа», которой не существует, «главный орган по сертификации Россерт» (а это тоже самое, что и Россертификация или другое? пока не понятно) и прочие громкие фразы типа «Федеральная программа развития бизнеса в России. При аккредитации Росстандарта». Но самое главное – номер телефона в правом верхнем углу совпадает с номером в приложении к письму, а значит, мы точно попали через поиск куда надо.
Дальше нас учат, как же соответствовать закону о персональных данных. Якобы нужно разработать пакет документов и получить на них сертификат соответствия ГОСТ. Стоп, чего? Про пакет документов, в общем-то, правда, да только вот кроме документов, чтобы соответствовать 152-ФЗ нужно еще и выполнить технические мероприятия, поэтому будем считать, что тут не вранье, а недоговорка. А вот про необходимость соответствия комплекта документов по защите персональных данных какому-либо ГОСТ это чистой воды вранье.
Далее нас ожидаемо пугают штрафами. То, что эти цифры не соответствуют действительности сейчас и не соответствовали тогда, мы уже разобрали, но обратите внимание что нижние и верхние границы штрафов не соответствуют таковым в спам-письме. Снова бородатая страшилка про закрытие организации на 90 суток. И лютейший бред про возможное лишение свободы руководителя на срок до 4 лет по 137 УК РФ за нарушение закона «О персональных данных» (эта статья о злонамеренном сборе и распространении данных о частной жизни физического лица с использованием служебного положения – за уши конечно можно притянуть, но все же надо понимать, что такое деяние и отсутствие в организации необходимых документов по 152-ФЗ это совсем разные вещи).
Дальше нам предлагают скачать даже на тот момент сильно устаревшую версию 152-ФЗ. И, конечно же, классика – мошенники предупреждают о мошенниках.
Но самое интересное ждало нас в конце сайта.
Что такое СДС? В соответствии с 21 статьей ФЗ «О техническом регулировании» любое юрлицо или ИП могут учредить такую систему сертификации, например… орехов. Вы определяете параметры (вкус, форма, цвет) орехов, на которые вы будете выдавать сертификат и те, кто хотят сертифицировать свои орехи в вашей СДС (которую вы конечно же зарегистрировали в Федеральном агентстве по техническому регулированию и метрологии) заключают с вами договор, проводят необходимые испытания и получают или не получают сертификат.
Нужно еще отметить, что зарегистрировать ООО с приставкой «Рос-» ой как не просто. Есть целый список требований, чтобы это было возможно. Видимо, у СДС с этим все гораздо проще. Отмечаем так же, что свидетельство о регистрации СДС выдано ООО «Единый центр сертификации». Реквизиты (ИНН, ОГРН) ООО с таким же названием фигурировали и в шапке спам-письма.
2020 год. Росконтроль
В 2020 году снова активизировалась похожая спам рассылка. В письме ожидаемо грозились штрафами за невыполнение требований по защите персональных данных, давались ссылки на пару проплаченных статей, и предлагалось пройти по ссылке, вбить ИНН своей организации и получить якобы вручную подготовленный отчет по выполнению вашей организацией требований закона «О персональных данных». Пример такого отчета здесь. Но это уже было от лица некого Федерального центра по защите персональных данных СДС «Росконтроль».
К счастью, мы с вами уже знаем, что такое СДС и префиксом «Федеральный центр» нам мозги не запудрить. Но вам ничего не напоминает? Опять СДС, опять в названии «Рос-», опять попытка мимикрии под госорганизацию? У меня подозрение, что на манеже все те же закрались сразу. Но мы же не будем делать бездоказательных выводов, правда?
Давайте посмотрим, чем это письмо отличается от образца 2018 года.
Установить связь СДС «Россертификация» и СДС «Росконтроль» не составляет особого труда. Просто лезем на сайт Росстандарта и ищем «Росконтроль», находим одну запись и выясняем, что свидетельство, номер которого совпадает с номером в «отчете» выдано ООО «Единый центр сертификации», ОГРН которого совпадает с ОГРН, фигурирующем в спам-письме от 2018 года. На этом, думаю, связь старого спама и нового можно считать установленной. Давайте же дальше смотреть новое письмо.
Кстати, обратите внимание, что свидетельство выдано на СДС «Росконтроль» и никакого префикса «Федеральный центр чего-то там» в реестре нет, поэтому «Федеральный центр» это чистая отсебятина, призванная запутать доверчивых граждан.
Давайте закончим с шапкой письма, ведь здесь самое важное отличие от спама 2018 года – теперь здесь фигурирует персоналия, некий Келлерманн А. М. Вот это уже интересно!
Давайте проверим по реестру, не связан ли этот Келлерманн А. М. с нашими старыми знакомыми ООО «Единый центр сертификации»? Идем в любой каталог организаций и ищем по ИНН. Вот черт! Генеральный директор этой организации некий Катричко Александр Максимович, мимо!
Ладно, не унываем, смотрим дальше «отчет». Смысл там, в общем, такой: этот Росконтроль типа проверил организацию и выяснил, что ее нет в реестре операторов персональных данных. Из чего сделаны выводы:
уровень нарушений – высокий (они не имеют права делать такой вывод, так как, возможно, организация попадает под исключения, когда оператор может не подавать уведомление);
вероятность проверки – высокая (с чего это они взяли тоже абсолютно не понятно, но мы с вами уже предполагаем, что это манипуляция запугивания).
Дальше у меня глаз зацепился за этот блок:
А именно верхний правый буллет. Кто знает, что это за сертификация такая, которая уменьшает риск проведения проверки (кроме противозаконных)? Поделитесь, пожалуйста, в комментариях.
Ну и левый нижний буллет я, как специалист, не могу не прокомментировать. Здесь проблема в том, что подать за вас уведомление никто не имеет права, т. к. уведомление подается в бумажном виде с подписью руководителя и печатью организации (если есть). А вот помочь подготовить можно, но можно подготовиться и самостоятельно, прочитав нашу статью здесь.
В четвертом разделе нас пугают уже многомилионными штрафами. Вот как Гермиона штрафы измениласьись за лето два года!
Как вы догадались, тут тоже вранье. Такими штрафами наказывают за отказ хранить данные граждан РФ на территории РФ, так называемая статья против фейсбука и им подобных. Обычное ООО, которое хранит базы 1С у себя на локальном сервере таким санкциям уж точно не подвержено, но звучит-то страшно, правда? 6 миллионов! А чего тогда господин Келлерманн не ссылается на п. 9 статьи 13.11 КоАП РФ, там за повторное нарушение по п.8 штраф аж до 18 миллионов. Еще страшнее!
Кто-то здесь может возразить, что обычное ООО может попасть под эту статью, если будет хранить свою базу 1С на заграничном облаке. В принципе да, такое возможно, да вот только услуги, которые предлагает г-н Келлерманн (разработка пакета документов) при выявлении такого нарушения проверяющими не спасут.
Еще в этом же четвертом пункте «отчета» приводится список документов. В целом, список как список. Почему нет единого стандарта по составу комплекта документов можно узнать из нашей статьи, но меня смутил вот этот пункт:
Дело в том, что разработка документа «Модель угроз безопасности» являются частью лицензируемого ФСТЭК России вида работ «проектирование систем в защищенном исполнении». Сами для себя вы можете разработать этот документ без лицензии, но если разрабатываете его как услугу, то необходимо получать лицензию ФСТЭК на проведение работ по технической защите конфиденциальной информации (ТЗКИ). ООО «Единый центр сертификации» такой лицензии не имеет, это легко проверить по реестру.
Ладно, долистываем это письмо до конца. Помните, я говорил про персоналию в этом письме? Ниже он подписывается уже более подробно, теперь мы знаем его имя и у нас есть его фото.
А потом я зашел в его Instagram (профиль открыт) и тут началось. То, что это именно он, сомнений нет, там есть та же фотка, что и в «отчете» и фото с fl.ru тоже имеется. Бегло пролистав фотки с тачкой и котиком (котик классный, да), взгляд, конечно, же остановился на этой фотке и на посте под ней:
На что было получено 2 ответа и второй говорит сам за себя.
Кстати, да, Роскомнадзор действительно в курсе.
А еще в курсе другой Росконтроль, который СМИ.
Вместо заключения
Зачем это все нам (как компании) и зачем я писал всю эту статью (кроме того, что никто не любит мошенников и нужно их выводить на чистую воду)?
Дело в том, что когда наши добросовестные коллеги предлагают людям свои услуги, нам потом не пишут и не звонят с вопросами «Нам позвонил лицензиат ФСТЭК, предлагает свои услуги по защите информации, подскажите, стоит ли с ними работать?». И совершенно другая картина, когда людей заваливает спамом от рос-гос-чего-то-там со словами «предписание» и «штраф до 6 млн. рублей», вот тогда мы можем терять много драгоценного рабочего времени на такие консультации, за которые мы денег не берем.
Кто-то может сказать, что г-н Келлерманн правильно написал в комментарии, что у него все зарегистрировано и так далее, и называть его мошенником не правильно, но у нас регистрировать ООО и ИП могут и «экстрасенсы» с гадалками, а гомеопаты совершенно официально продают в аптеках сахар по цене золота.
В конце концов, мы установили, что «Россертификация» и «Росконтроль» это одна и та же лавочка, поэтому все их грехи можно суммировать, давайте подытожим, какие признаки мошенничества можно выделить:
регистрация и использование СДС с приставкой «Рос-», что вводит незадачливых пользователей в заблуждение, причем в случае с «Россертификацией» спамеры даже не добавляли «СДС» в начале, видимо потом им дали понять, что так делать нехорошо;
грубая эксплуатация страха адресата манипулятивными методами: «вам выдано предписание», «вас оштрафуют», «к вам придет проверка». Напоминаю, что никаких предписаний эти жулики выдавать не имеют права;
попытка замещения функций государственных органов с помощью несуществующих «Федеральных программ» и «Федеральных центров»;
притягивание за уши санкций для операторов персональных данных (штраф 6 миллионов, статья 137 УК РФ, закрытие организации на 90 суток), абсолютно не применимых или никак не связанных с услугами, предлагаемыми спамерами;
фишинговые техники. Вряд ли рядовой пользователь помнит точно домен РКН, в крайнем случае, если он ходил когда-то на их сайт, может помнить, что это rkn.»че-то там». Таким образом, использование доменов rkn.expert и тем более rkn.moscow призваны ввести пользователей в заблуждение;
использование безаппеляционного «все организации должны подать уведомление об обработке персональных данных», хотя закон предполагает ряд исключений;
безаппеляционное утверждение того, что комплект документов по защите персональных данных должен соответствовать каким-либо ГОСТ, что противоречит действующему законодательству;
оказание услуг по разработке проектной документации на систему защиты информации (Модель угроз) без лицензии ФСТЭК России;
заверение о проведении какой-то сертификации вашей организации (какой именно сертификации спамеры умалчивают), которая уменьшит риск проведения проверки, что не соответствует действительности (никаких индульгенций от проверок не существует);
Кто-то может сказать, что несведущие люди сами виноваты, что их обманывают, но это уже самый настоящий victim-blaming (насильник тоже не виноват, это девушка надела короткую юбку). В наше время невозможно быть специалистом во всем. Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову.
Если у вас есть знакомые бухгалтеры, руководители небольших фирм (или даже больших) и другие лица, которым могла быть интересна эта статья, покажите им её.