Журнал «Компьютерра» № 11 от 20 марта 2007 года - Компьютерра

С продажей личных данных абонентов пару лет назад произошла история, аналогичная случаю с МЦЭБ. Представители Вымпелкома сообщили в милицию о существовании сайта sherlok.ru, функционирующего по сей день, на котором предлагалась информация о московских и петербургских клиентах "большой тройки" - Вымпелкома, МегаФона и МТС. Органы правопорядка отреагировали на сигнал и даже задержали семерых подозреваемых, в том числе трех сотрудников самого Вымпелкома. Решением суда они были признаны виновными и приговорены к различным штрафам.

Хотелось бы напомнить, что утечки свойственны не только и не столько госструктурам, но и бизнесу. Просто в России необычно велика доля государственных учреждений, допустивших кражу персональных данных, тогда как за рубежом подобное ротозейство - удел в основном корпоративных сотрудников. Да и масштабы там не те. Воруют все больше не базы целиком, а некие группы записей. Хотя "миллионные" инциденты и там бывали. Самым вопиющим случаем стала утечка 40 млн. записей о владельцах кредитных карт в позапрошлом году. Большая часть записей приходилась на MasterCard и Visa, но пострадали и владельцы карт American Express и Discover.

Руководство MasterCard обвинило в случившемся компанию CardSystems Solutions, крупного обработчика информации для банков и фирм (оборот процессинга составлял около $15 млрд. в год). В MasterCard заявили, что система обеспечения безопасности в проштрафившейся фирме была далека от совершенства, так что хакеры без особого труда смогли получить доступ к сведениям о владельцах кредитных карт. Злоумышленники получили информацию об именах кардхолдеров, номерах счетов и кодах подтверждения. Для некоторых форм мошенничества этого вполне достаточно, хотя более распространенные среди кардеров трюки с ложной идентификацией пользователей требуют также номер социального страхования, адрес и дату рождения. Эту информацию преступникам выудить не удалось.

Выяснилось, что компания продолжала хранить записи, подлежащие удалению, а данные о транзакциях не шифровались. Преступники смогли установить в сети компании трояна, перехватывающего данные о кредитных картах в процессе проведения финансовых транзакций. Вскоре от банков стали поступать сообщения о новых способах мошенничеств. Тогда приглашенные специалисты из Cybertrust приступили к расследованию и выяснили, что перехват происходит на участке CardSystems.

В ответ на негодование платежных систем (а к хору возмущенных присоединились Visa и MasterCard) представители CardSystems сообщили, что дыра была обнаружена давно, о чем компания сразу же сообщила в ФБР. После скандала CardSystems объявила о начале работ над совершенствованием защиты данных, но так легко отделаться ей не удалось. Вскоре после инцидента Visa запретила CardSystems проводить операции со своими картами, утверждая, что компания не может гарантировать клиентам конфиденциальность. Представитель платежной системы заявил, что фирма на данный момент не способна исправить недостатки в своей системе безопасности. На Visa приходилось более половины операций CardSystems.

Из других нашумевших случаев утечки конфиденциальных данных за рубежом можно вспомнить утерю компанией CitiFinancial ленты с незашифрованной информацией о 3,9 млн. клиентов. Не смог сохранить репутацию незапятнанной и Bank of America. Сотрудники банка потеряли носители с данными более чем миллиона клиентов. По некоторым сведениям, диски украли из авиалайнера во время транспортировки. В руках у злоумышленников в числе прочих оказались сведения о сенаторах и военнослужащих.

Теряли персональную информацию и информационные брокеры ChoicePoint и LexisNexis, Калифорнийский и Стэнфордский университеты. Однако именно случай с CardSystems заставил активизироваться правозащитников, требующих изменения законодательства в сфере защиты приватности. Cyber Security Industry Alliance провел опрос среди американцев и выяснил, что 97% респондентов считают проблему ложной идентификации достойной более пристального изучения, а 64% уверены, что усилия правительства в сфере обеспечения компьютерной безопасности пользовательской информации недостаточны.

В России среди компаний, теряющих данные клиентов, по количеству инцидентов лидируют телекомы. Впрочем, вряд ли у операторов связи защита персональных данных менее надежна, чем в других структурах, просто на телефонные номера всегда имеется спрос. Поэтому неудивительно, что и российская история утечек из коммерческих баз началась с того, что в 1992 году в Москве появились диски с данными абонентов МГТС. Примечательно (если не возмутительно), что "продукт" регулярно обновляется и его можно приобрести по сей день.

Затем по очереди была украдена клиентская база у каждого из ведущих сотовых операторов. Журналисты все чаще стали задавать компаниям неприятные вопросы. В частности, интересовались, зачем операторам связи нужно собирать так много персональной информации о клиентах, учитывая, что большая их часть не может стать должниками из-за предоплатной схемы работы. Представители одного из телекомов сослались на некую инструкцию тогда еще Главгоссвязьнадзора, существование которой само ведомство отрицает. Самые горячие головы и вовсе считают, что за подобные трюки надо лишать лицензии на оказание услуг сотовой связи. В лицензиях операторов действительно имеется пункт об ограниченном доступе к информации об абонентах. Впрочем, если бы за нарушение этого пункта власти действительно отбирали лицензию, то Россия очень скоро осталась бы вообще без мобильной (да и стационарной) связи.

По итогам доведенных до конца расследований можно сделать вывод, что к троянам и прочим техническим ухищрениям для кражи персональных данных у нас прибегают редко. Как правило, базы просто забираются на флэшке бывшими (а в отдельных случаях и нынешними) сотрудниками, имеющими доступ к информации. А разнообразные правила, согласно которым запрещается вынос дисков и прочих носителей или они подлежат проверке, не создают особых проблем злоумышленникам. В частности, практически нигде не досматривается содержимое накопителей в мобильных телефонах.

Сейчас на "рынке" баз больший интерес вызывают данные не абонентов, а заемщиков, появление которых было обусловлено введением кредитных историй. О первом случае утечки стало известно в августе прошлого года, когда на адреса нескольких банков и бюро кредитных историй пришел спам. Неизвестные предлагали базу на 700 тысяч людей, бравших потребительские кредиты. Помимо контактных данных, записи содержат сведения о покупке и выданном кредите с указанием суммы, размера ежемесячного платежа, просрочек и наложенных на должника санкций. За все это великолепие продавцы просили 90 тысяч рублей. В сентябре представитель Национального бюро кредитных историй заявил, что утечка произошла из двух или трех банков, названия которых озвучены не были.

Через пару недель после инцидента на Митинском радиорынке появилась база данных о трех тысячах неблагонадежных заемщиков банка 1 ОВК (в настоящее время приобретен Росбанком), которую можно было купить за 900 рублей. Интересно, что продавцы обещали вскоре предложить своим клиентам базу о 3 млн. заемщиков, которую уже успели окрестить "Антикредит". Свое слово митинские распространители сдержали. В чужие руки попала почти треть всех российских кредитных историй. "Антикредит" оказался не только в несколько раз больше по объему, но и более подробным, чем первые базы. Были указаны имена заемщиков, контактные телефоны, домашние адреса, места работы, причины попадания в черный список, такие как просрочка по кредиту или отказ в его выдаче, а также (sic!) банки-источники информации. Стоила база ненамного дороже - 2 тысячи рублей.

Интересно, что теоретически в утечке заинтересованы и сами банки, которым выгоднее пользоваться нелегально добытой базой, нежели делать платные запросы в бюро кредитных историй и несколько дней ждать ответа.

Самим заемщикам, абонентам, клиентам, налогоплательщикам, автолюбителям и пр., в общем, нам с вами, увы, практически нереально призвать к ответственности компании или госучреждения, которые не смогли уберечь наши личные данные и сделали их объектом свободной купли-продажи. Хотя законодательство признает пострадавшими лиц, чьи данные не были защищены должным образом, и допускает обращение в суд с требованием возместить ущерб. Но выиграть такое дело непросто, поскольку для этого нужно, во-первых, предоставить документ, в котором организация обязалась не распространять вверенные ей персональные данные, а достать его во многих ситуациях проблематично, а во-вторых, надо доказать, что виновником утечки является именно ответчик. Сделать это, разумеется, тоже сложно и дорого.

Недавно вступивший в силу закон закрепляет обязательства каждой организации, владеющей персональными данными, по обеспечению их конфиденциальности. Нельзя сказать, что этот нормативный акт привнес что-то кардинально новое, скорее он унифицировал ранее разрозненные требования к защите личных данных. Лица, нарушившие эти требования, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. При нарушении положений закона любая компания может быть лишена лицензии на свою деятельность и подвергнута судебному преследованию со стороны пострадавших. Но все это можно было проделать и раньше, однако почему-то не делалось.