Эстонские ведомства на протяжении многих лет работали над тем, чтобы по объему и качеству обнародования данных, находящихся в распоряжении государственного сектора, выйти в европейские лидеры и удерживать эту позицию. Эти усилия были эффективны – согласно данным отчета Open Data Maturity Report за 2024 год, Эстония находится на вершине Европы по политике открытых данных. На данный момент на портале открытых данных опубликовано в общей сложности 5697 комплектов данных.

Что такое открытые данные?

Широкой общественности, вероятно, не сразу понятно, о чем идет речь, когда говорят об открытых данных. Это данные, возникшие и задокументированные в ходе деятельности государственного сектора, то есть при выполнении публичных задач, и на которые не распространяются ограничения доступа. Закон предусматривает, что открытые данные должны быть доступны всей общественности, как правило, без условий и, по возможности, в машиночитаемом виде.

Цель регулирования благородна – способствовать росту и распространению инноваций как в государственном, так и в частном секторе, особенно в предпринимательстве и научной работе. С помощью открытых данных действительно можно разрабатывать умные приложения, создавать новые бизнес-модели и решения, различные статистические и аналитические инструменты. Эти данные содержат всевозможную статистику и обзоры – от информации о дорожном движении до данных Коммерческого регистра и обзоров густонаселенных территорий.

Если верно утверждение, что данные – это "новая нефть", то экономический потенциал открытых данных и их ценность для общества не вызывают сомнений – как с коммерческой точки зрения, так и для обеспечения прозрачности государственного сектора. С другой стороны, в контексте массового раскрытия данных возникает вопрос, способны ли учреждения, стремясь к высоким позициям в международных рейтингах, в достаточной мере оценить риски, связанные с публикацией машиночитаемых комплектов данных, особенно когда возможности обработки и комбинирования огромных массивов информации доступны каждому.

Открытые данные и безопасность

В передаче "Очевидец" наглядно показали, что у предоставления общественности практически всей находящейся в распоряжении государства информации есть и теневая сторона. Если случайный человек может видеть в государственной информационной системе настолько детальные данные, что можно даже узнать, какой зубной пастой пользуется тот или иной член правительства, то вряд ли нужно долго спорить о том, что это проблема.

Заслуживает внимания и то, что если ставший объектом критики Регистр строений требует для скачивания определенных документов как минимум аутентификации, то значительную часть открытых данных можно загрузить без какой-либо идентификации личности и без связанного с конкретным человеком инфотехнологического следа.

Однако из сказанного не следует, что раскрытие открытых данных представляет собой полностью неконтролируемую брешь в безопасности. И законодатель Европейского союза, откуда исходит обязанность публикации открытых данных, и эстонский законодатель предусмотрели определенные исключения, которые должны гарантировать, что созданные с благими намерениями требования не оборачивались большим вредом, чем пользой.

Наш закон прямо предусматривает, что при публикации открытых данных необходимо обеспечить "неприкосновенность частной жизни, защиту авторских прав, защиту государственной безопасности, коммерческой тайны и иной информации с ограничением доступа".

Каждое учреждение перед публикацией данных должно оценить необходимость установления ограничений на использование информации. Вопрос в том, насколько системно это требование реализуется на практике и учитывают ли такие оценки рисков современные возможности обработки данных?

Комбинирование данных создает новый контекст

В эпоху искусственного интеллекта отдельный комплект данных, который сам по себе кажется с точки зрения безопасности незначительным, в сочетании с другим комплектом может оказаться в совершенно ином контексте.

Например, сам по себе вряд ли вызывает серьезное беспокойство тот факт, что общественности доступен обзор всех точек забора воды для тушения пожаров и гидрантов (включая их расположение, тип, номер и состояние). Однако если учесть, что одновременно доступен и набор данных "Предприятия с риском крупной аварии и опасные предприятия", дающий обзор их расположения, опасных зон (включая размер опасной зоны, координаты источника опасности, возможность эффекта домино, основной тип угрозы и так далее), то оценка рисков такого комбинированного набора данных может быть совершенно иной.

Аналогичный ход мыслей можно развивать и в отношении других комплектов данных, о всех деталях которых публично говорить, вероятно, не стоит. Комбинируя между собой уже два или более, 5-6 комплектов данных и добавляя к ним, например, доступные в Регистре строений сведения о технических системах, стоит задуматься об адекватности оценки рисков, подготовленной для каждого отдельного комплекта данных.

Если оставить в стороне всевозможные попытки мошенничества против отдельных лиц или предприятий, то комбинированная информация в худшем случае может использоваться для моделирования различных сценариев саботажа и атак, а также для расчета максимально вредного воздействия.

Закончилась ли эпоха открытых данных?

Эпоха открытых данных, вероятно, не закончилась, поскольку прозрачность государственного сектора является одним из фундаментальных принципов нашего общественного устройства. Кроме того, можно достаточно уверенно сказать, что большая часть опубликованных данных не представляет никакой опасности.

Тем не менее публикация комплектов данных, доступных каждому и в машиночитаемом виде, в нынешних реалиях безопасности обязательно должна проходить через дополнительный и более осмысленный, чем сейчас, контрольный фильтр. Мы не можем позволить себе наивность или аргумент о том, что "злоумышленник все равно смог бы получить эту информацию", если бы только захотел пройтись по определенным источникам. Речь идет не только о доступности данных как таковой, но и о том, насколько просто, быстро и каким образом государство предоставляет этот доступ.

В передаче "Очевидец" у заместителя гендиректора Полиции безопасности Мари-Лийс Тори спросили, насколько вероятным она считает то, что враждебные спецслужбы собирали интересующую их информацию через публичные регистры? В ответ прозвучало, что поскольку это самый дешевый способ получения информации, такая вероятность очень высока. Очевидно, что высокопоставленный чиновник органа безопасности всегда вынужден тщательно подбирать слова, однако я не был бы удивлен, если бы за закрытыми дверями говорили не о вероятности, а скорее о практически полной уверенности.

В заключение можно сказать, что следующая задача Эстонии в сфере публикации данных должна заключаться в том, чтобы системно оценивать реальное влияние раскрытия различных комплектов данных на важные ценности, которые необходимо защищать, включая уже широко обсуждаемую неприкосновенность частной жизни, а также безопасность в более широком смысле.

Это невозможно сделать, оценивая комплекты данных исключительно по отдельности. Необходим комплексный подход с учетом перекрестного использования данных и возможных результатов их комбинирования. Это предполагает значительно более тесное сотрудничество команд по работе с данными в государственных учреждениях и стратегическое мышление. Не исключено, что из-за этого Эстония действительно опустится на несколько позиций в международных рейтингах открытости данных, однако удержание этих позиций любой ценой вряд ли должно оставаться приоритетом номер один в ближайшие 5–10 лет.