Журнал «Компьютерра» № 11 от 20 марта 2007 года, стр. 17

ЦИФРА ЗАКОНА: Слив утечек

Автор: Родион Насакин

26 января вступил в силу нашумевший федеральный закон «О защите персональных данных», который готовился больше года. Все это время шли оживленные дискуссии. Сторонники законопроекта напирали на то, что после его введения нашим согражданам наконец-то будет гарантировано право на приватную информацию, появится больше возможностей для привлечения к ответственности лиц, которые эти данные неосторожно теряют или же с выгодой для себя распространяют.

Критики же утверждали, что принятие нового закона не приведет ни к каким серьезным последствиям для продавцов разнообразных баз данных из структур МВД, Центробанка, Пенсионного фонда, Счетной палаты, налогового, таможенного и земельного ведомств и пр. Данные из этих ведомств так и будут предлагаться по доступной цене практически в любом подземном переходе Москвы и на множестве сайтов. Зато, отмечали правозащитники, ознакомившиеся с первыми редакциями законопроекта, власть пытается под шумок внедрить в закон положения о создании единой базы данных населения страны. А эту затею можно расценить как весьма сомнительную с точки зрения обеспечения защиты личных данных граждан как от государственного посягательства в духе «Большого брата», так и от банальной кражи.

А в том, что красть будут, мало кто сомневается, поскольку госведомства попадаются на утечках вверенных им населением приватных сведений с удручающей регулярностью, да и скандалы после каждого такого случая получаются довольно тихими, — как правило, без слетающих погон, увольнений и показательных судов. Первым громким случаем подобного рода стала утечка базы Госкомстата, содержащая результаты всероссийской переписи населения 2002 года. Реакция учреждения оказалась показательной. Факт утечки просто-напросто не признали, а потому расследование инцидента начато не было. В дальнейшем аналогичная ситуация повторялась не раз.

Не удалось спустить на тормозах утечку данных из Центробанка РФ о платежах через расчетно-кассовые центры ЦБ за второй и третий кварталы 2004 года. Впервые диски с информацией, защищенной положением о банковской тайне, всплыли в феврале 2005-го. Их предлагали любому желающему всего за 3 тысячи рублей. Скандал докатился до Госдумы. Депутаты обратились в Генпрокуратуру, настаивая на скорейшем расследовании инцидента. Но, несмотря на высокий статус заявителей, дело заглохло.

Видимо, на этом все бы и закончилось, если б уже в мае база с проводками ЦБ не всплыла еще раз, причем в обновленном варианте — с данными и за четвертый квартал 2004 года. Тогда сотрудники Банка России провели собственное расследование, которое якобы завершилась успешно. По крайней мере, в конце октября 2005 года замначальника управления безопасности ЦБ заявил, что источник утечки перекрыт, однако конкретных имен названо не было. В феврале 2006 года какие-то предприимчивые ребята решили сыграть на известной истории и через спам начали рекламировать базу ЦБ за первый квартал 2005 года. Но на сей раз покупателей ждало разочарование. В базе не содержалось информации ни об одной реальной проводке.

В ноябре 2005 года в продаже появилась еще одна база, с налоговыми декларациями почти 10 млн. москвичей за 2004 год. Стоил диск с этими данными относительно дешево — 1500 рублей. Следует отметить, что это был уже не первый случай, когда налоговики допустили утечку. Ранее в Москве можно было приобрести аналогичную информацию за 1999-2002 гг. Правда, стоила она 1000 рублей. Но инфляция есть инфляция.

Помимо собственно информации о доходах, любой покупатель мог ознакомиться с местом работы и адресами налогоплательщиков. Базы оказались достоверными. По слухам, чиновников, организовавших слив в 2005 году, органы нашли и даже выяснили, что некие заинтересованные лица заплатили им за выдачу данных $2,5 млн. Вероятно, именно этот случай стал последней каплей, после которой в Думу был внесен первый вариант законопроекта «О защите персональных данных».

Ну и наконец, весной прошлого года серьезно подмочили репутацию московской паспортно-визовой службе. Выяснилось, что некий Московский центр экономической безопасности (МЦЭБ) уже около года открыто принимает на своем сайте заказы на базу паспортных данных москвичей. За $1200 предлагалась соответствующая информация о 16,5 млн. бывших и нынешних жителей столицы. После того как страсти улеглись, выяснилось, что никаких юридических оснований для привлечения представителей МЦЭБ к ответственности нет, поскольку распространение чужих персональных данных в нашей стране до последнего времени было легальным делом. Незаконными были действия сотрудников службы, сливавших эту информацию продавцам, но установить виновных не удалось, так как МЦЭБ вовсе не обязан называть своего «поставщика».

Из вышеописанных инцидентов можно сделать вывод, что особого пиетета по поводу защиты персональной информации органы не испытывают и считать сложившуюся ситуацию ненормальной не готовы. Кстати, новоиспеченный закон как раз и должен привить бизнесменам и чиновникам уважение к личным данным клиентов/граждан. Хотя согласитесь, что поверить в чудодейственное влияние на умы одного-единственного закона непросто.

С продажей личных данных абонентов пару лет назад произошла история, аналогичная случаю с МЦЭБ. Представители Вымпелкома сообщили в милицию о существовании сайта sherlok.ru, функционирующего по сей день, на котором предлагалась информация о московских и петербургских клиентах «большой тройки» — Вымпелкома, МегаФона и МТС. Органы правопорядка отреагировали на сигнал и даже задержали семерых подозреваемых, в том числе трех сотрудников самого Вымпелкома. Решением суда они были признаны виновными и приговорены к различным штрафам.

Хотелось бы напомнить, что утечки свойственны не только и не столько госструктурам, но и бизнесу. Просто в России необычно велика доля государственных учреждений, допустивших кражу персональных данных, тогда как за рубежом подобное ротозейство — удел в основном корпоративных сотрудников. Да и масштабы там не те. Воруют все больше не базы целиком, а некие группы записей. Хотя «миллионные» инциденты и там бывали. Самым вопиющим случаем стала утечка 40 млн. записей о владельцах кредитных карт в позапрошлом году. Большая часть записей приходилась на MasterCard и Visa, но пострадали и владельцы карт American Express и Discover.

Руководство MasterCard обвинило в случившемся компанию CardSystems Solutions, крупного обработчика информации для банков и фирм (оборот процессинга составлял около $15 млрд. в год). В MasterCard заявили, что система обеспечения безопасности в проштрафившейся фирме была далека от совершенства, так что хакеры без особого труда смогли получить доступ к сведениям о владельцах кредитных карт. Злоумышленники получили информацию об именах кардхолдеров, номерах счетов и кодах подтверждения. Для некоторых форм мошенничества этого вполне достаточно, хотя более распространенные среди кардеров трюки с ложной идентификацией пользователей требуют также номер социального страхования, адрес и дату рождения. Эту информацию преступникам выудить не удалось.

Выяснилось, что компания продолжала хранить записи, подлежащие удалению, а данные о транзакциях не шифровались. Преступники смогли установить в сети компании трояна, перехватывающего данные о кредитных картах в процессе проведения финансовых транзакций. Вскоре от банков стали поступать сообщения о новых способах мошенничеств. Тогда приглашенные специалисты из Cybertrust приступили к расследованию и выяснили, что перехват происходит на участке CardSystems.

В ответ на негодование платежных систем (а к хору возмущенных присоединились Visa и MasterCard) представители CardSystems сообщили, что дыра была обнаружена давно, о чем компания сразу же сообщила в ФБР. После скандала CardSystems объявила о начале работ над совершенствованием защиты данных, но так легко отделаться ей не удалось. Вскоре после инцидента Visa запретила CardSystems проводить операции со своими картами, утверждая, что компания не может гарантировать клиентам конфиденциальность. Представитель платежной системы заявил, что фирма на данный момент не способна исправить недостатки в своей системе безопасности. На Visa приходилось более половины операций CardSystems.