Технический аудит · 2026-05-09

ccdcoe.org

NATO Cooperative Cyber Defence Centre of Excellence, Таллин

Центр, который разрабатывает для НАТО правила кибервойны и Таллинское руководство по международному киберправу, на собственном сайте имеет в коде Google Analytics и Cloudflare Insights. Оба заблокированы CSP — данные не ушли. Но они прописаны и пытаются загрузиться девять раз за сессию. Политики конфиденциальности не существует вовсе.

Хронология утечки

При загрузке

Cloudflare Insights и Google Analytics инициируют запросы при каждом переходе — по 9 раз за сессию каждый, синхронно. Все получают статус 0 — заблокированы CSP.

Итог сессии

Данные не ушли никуда. Из 281 запроса 263 — к собственному серверу ccdcoe.org. Нет Google Fonts, внешних CDN, рекламных сетей. CSP держит.

Декларация против факта

+ Google Analytics — прописан в коде, заблокирован CSP — не заявлен

+ Cloudflare Insights — прописан в коде, заблокирован CSP — не заявлен

+ Политика конфиденциальности отсутствует полностью — не заявлен

Тайминги передачи

при загрузке www.google-analytics.com заблокирован Прописан в коде, 9 попыток за сессию, каждый статус 0

при загрузке static.cloudflareinsights.com заблокирован Прописан в коде, 9 попыток, статус 0. Данные не ушли

Зафиксированные трекеры

Google Analytics (заблокирован CSP)
Cloudflare Insights (заблокирован CSP)

Зафиксированные нарушения

GDPR Art. 13, Art. 12

Политики конфиденциальности не существует как публичного документа — нет Privacy Policy, нет Cookie Policy, нет раздела в футере. При этом два трекера прописаны в коде и пытаются загрузиться при каждом визите.
GDPR Art. 5(1)(f)

Google Analytics и Cloudflare Insights прописаны в коде сайта. Оба заблокированы CSP (статус 0), но архитектура содержит инструменты передачи данных в США.

Контекст

CCDCOE — Центр передового опыта НАТО по совместной киберзащите, штаб-квартира в Таллине. Разрабатывает Таллинское руководство по международному праву в киберпространстве, обучает военных специалистов по киберзащите из стран НАТО, проводит Locked Shields — крупнейшие в мире учения по киберзащите.

Что сделано правильно

Из 281 запроса 263 — к собственному серверу ccdcoe.org, вся инфраструктура локальная. Нет внешних шрифтов, нет внешних CDN, нет рекламных сетей. Оба внешних трекера заблокированы: static.cloudflareinsights.com (9 запросов, статус 0) и www.google-analytics.com (9 запросов, статус 0). CSP работает — данные не ушли ни в Cloudflare, ни в Google. Технически нарушения передачи нет.

Неудобная правда

Google Analytics и Cloudflare Insights прописаны в коде сайта — оба. И пытаются загрузиться при каждом переходе, по 9 раз за сессию каждый, синхронно. Это та же архитектурная ситуация, что на kapo.ee: инструменты подключены, но CSP их блокирует. Кто-то принял решение добавить эти трекеры в код. CSP принял другое решение — заблокировать. Если политику безопасности когда-нибудь ослабят или изменят при обновлении сайта, оба трекера заработают мгновенно, потому что уже прописаны и ждут.

Политики конфиденциальности не существует

На ccdcoe.org нет публичного документа о конфиденциальности — ни страницы Privacy Policy, ни Cookie Policy, ни раздела в футере. При этом два трекера прописаны в коде и пытаются загрузиться при каждом визите. Для международной военной организации НАТО GDPR применяется особым образом: у неё иммунитет от национального законодательства Эстонии, и регулятор для неё — не AKI. Но GDPR как регламент ЕС технически применим к обработке данных граждан ЕС, а отсутствие любой информации об обработке — это пробел в прозрачности.

Вывод

CCDCOE разрабатывает правила кибервойны для НАТО, обучает защите критической инфраструктуры от кибератак, проводит Locked Shields, издаёт Таллинское руководство — фактически библию международного киберправа. А на собственном сайте Google Analytics и Cloudflare Insights прописаны в коде и пытаются загрузиться девять раз за сессию, политики конфиденциальности при этом нет вовсе. Девять попыток, девять раз статус 0 — CSP держит, данные не ушли. Таллинское руководство описывает, как государства должны вести себя в киберпространстве. Собственный сайт — другая история: данные не ушли, но намерение задокументировано.

Доказательство

Оригинал (разбор)

HAR-файл: eu/ccdcoe-org-2026-05-09.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: EDPS — Европейский инспектор по защите данных — edps.europa.eu

Кому: EDPS — Европейский инспектор по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ccdcoe.org.

2. Обстоятельства
Я посетил сайт ccdcoe.org и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 09.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политики конфиденциальности не существует как публичного документа — нет Privacy Policy, нет Cookie Policy, нет раздела в футере. При этом два трекера прописаны в коде и пытаются загрузиться при каждом визите.

2) Google Analytics и Cloudflare Insights прописаны в коде сайта. Оба заблокированы CSP (статус 0), но архитектура содержит инструменты передачи данных в США.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ccdcoe.org/

3. Нарушенные положения
GDPR Art. 13, Art. 12; GDPR Art. 5(1)(f)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]