Компьютерра - Журнал «Компьютерра» № 11 от 20 марта 2007 года

В ноябре 2005 года в продаже появилась еще одна база, с налоговыми декларациями почти 10 млн. москвичей за 2004 год. Стоил диск с этими данными относительно дешево - 1500 рублей. Следует отметить, что это был уже не первый случай, когда налоговики допустили утечку. Ранее в Москве можно было приобрести аналогичную информацию за 1999-2002 гг. Правда, стоила она 1000 рублей. Но инфляция есть инфляция.

Помимо собственно информации о доходах, любой покупатель мог ознакомиться с местом работы и адресами налогоплательщиков. Базы оказались достоверными. По слухам, чиновников, организовавших слив в 2005 году, органы нашли и даже выяснили, что некие заинтересованные лица заплатили им за выдачу данных $2,5 млн. Вероятно, именно этот случай стал последней каплей, после которой в Думу был внесен первый вариант законопроекта "О защите персональных данных".

Ну и наконец, весной прошлого года серьезно подмочили репутацию московской паспортно-визовой службе. Выяснилось, что некий Московский центр экономической безопасности (МЦЭБ) уже около года открыто принимает на своем сайте заказы на базу паспортных данных москвичей. За $1200 предлагалась соответствующая информация о 16,5 млн. бывших и нынешних жителей столицы. После того как страсти улеглись, выяснилось, что никаких юридических оснований для привлечения представителей МЦЭБ к ответственности нет, поскольку распространение чужих персональных данных в нашей стране до последнего времени было легальным делом. Незаконными были действия сотрудников службы, сливавших эту информацию продавцам, но установить виновных не удалось, так как МЦЭБ вовсе не обязан называть своего "поставщика".

Из вышеописанных инцидентов можно сделать вывод, что особого пиетета по поводу защиты персональной информации органы не испытывают и считать сложившуюся ситуацию ненормальной не готовы. Кстати, новоиспеченный закон как раз и должен привить бизнесменам и чиновникам уважение к личным данным клиентов/граждан. Хотя согласитесь, что поверить в чудодейственное влияние на умы одного-единственного закона непросто.

С продажей личных данных абонентов пару лет назад произошла история, аналогичная случаю с МЦЭБ. Представители Вымпелкома сообщили в милицию о существовании сайта sherlok.ru, функционирующего по сей день, на котором предлагалась информация о московских и петербургских клиентах "большой тройки" - Вымпелкома, МегаФона и МТС. Органы правопорядка отреагировали на сигнал и даже задержали семерых подозреваемых, в том числе трех сотрудников самого Вымпелкома. Решением суда они были признаны виновными и приговорены к различным штрафам.

Хотелось бы напомнить, что утечки свойственны не только и не столько госструктурам, но и бизнесу. Просто в России необычно велика доля государственных учреждений, допустивших кражу персональных данных, тогда как за рубежом подобное ротозейство - удел в основном корпоративных сотрудников. Да и масштабы там не те. Воруют все больше не базы целиком, а некие группы записей. Хотя "миллионные" инциденты и там бывали. Самым вопиющим случаем стала утечка 40 млн. записей о владельцах кредитных карт в позапрошлом году. Большая часть записей приходилась на MasterCard и Visa, но пострадали и владельцы карт American Express и Discover.

Руководство MasterCard обвинило в случившемся компанию CardSystems Solutions, крупного обработчика информации для банков и фирм (оборот процессинга составлял около $15 млрд. в год). В MasterCard заявили, что система обеспечения безопасности в проштрафившейся фирме была далека от совершенства, так что хакеры без особого труда смогли получить доступ к сведениям о владельцах кредитных карт. Злоумышленники получили информацию об именах кардхолдеров, номерах счетов и кодах подтверждения. Для некоторых форм мошенничества этого вполне достаточно, хотя более распространенные среди кардеров трюки с ложной идентификацией пользователей требуют также номер социального страхования, адрес и дату рождения. Эту информацию преступникам выудить не удалось.

Выяснилось, что компания продолжала хранить записи, подлежащие удалению, а данные о транзакциях не шифровались. Преступники смогли установить в сети компании трояна, перехватывающего данные о кредитных картах в процессе проведения финансовых транзакций. Вскоре от банков стали поступать сообщения о новых способах мошенничеств. Тогда приглашенные специалисты из Cybertrust приступили к расследованию и выяснили, что перехват происходит на участке CardSystems.

В ответ на негодование платежных систем (а к хору возмущенных присоединились Visa и MasterCard) представители CardSystems сообщили, что дыра была обнаружена давно, о чем компания сразу же сообщила в ФБР. После скандала CardSystems объявила о начале работ над совершенствованием защиты данных, но так легко отделаться ей не удалось. Вскоре после инцидента Visa запретила CardSystems проводить операции со своими картами, утверждая, что компания не может гарантировать клиентам конфиденциальность. Представитель платежной системы заявил, что фирма на данный момент не способна исправить недостатки в своей системе безопасности. На Visa приходилось более половины операций CardSystems.

Из других нашумевших случаев утечки конфиденциальных данных за рубежом можно вспомнить утерю компанией CitiFinancial ленты с незашифрованной информацией о 3,9 млн. клиентов. Не смог сохранить репутацию незапятнанной и Bank of America. Сотрудники банка потеряли носители с данными более чем миллиона клиентов. По некоторым сведениям, диски украли из авиалайнера во время транспортировки. В руках у злоумышленников в числе прочих оказались сведения о сенаторах и военнослужащих.

Теряли персональную информацию и информационные брокеры ChoicePoint и LexisNexis, Калифорнийский и Стэнфордский университеты. Однако именно случай с CardSystems заставил активизироваться правозащитников, требующих изменения законодательства в сфере защиты приватности. Cyber Security Industry Alliance провел опрос среди американцев и выяснил, что 97% респондентов считают проблему ложной идентификации достойной более пристального изучения, а 64% уверены, что усилия правительства в сфере обеспечения компьютерной безопасности пользовательской информации недостаточны.

В России среди компаний, теряющих данные клиентов, по количеству инцидентов лидируют телекомы. Впрочем, вряд ли у операторов связи защита персональных данных менее надежна, чем в других структурах, просто на телефонные номера всегда имеется спрос. Поэтому неудивительно, что и российская история утечек из коммерческих баз началась с того, что в 1992 году в Москве появились диски с данными абонентов МГТС. Примечательно (если не возмутительно), что "продукт" регулярно обновляется и его можно приобрести по сей день.