Вас сливают
Громкий скандал, связанный с утечкой данных, случился в мае этого года в Citibank. Неизвестные хакеры смогли "увести" из финансового учреждения базу данных на клиентов в США. В результате атаки злоумышленники завладели полными именами, номерами счетов и контактной информацией около 210 000 человек (1% от всех клиентов банка). Сама утечка затронула примерно 360 000 кредитных карт, чьи номера были украдены. В результате Citibank понес как финансовый ущерб из-за срочной замены карт, так и репутационный - банк подвергся массовой критике за то, что уведомил своих клиентов о произошедшем лишь через месяц. Но банк тоже можно понять: в действительности широкой публике становятся известны сведения лишь о малой доле реальных утечек. Россия здесь не исключение. За последний год в нашей стране зафиксировано несколько громких "сливов" в Интернет приватных данных. Замешанными в этих делах оказались не только крупные компании, но и государственные ведомства.
Послали всем
Одной из самых скандальных историй стало открытие сайта RusLeaks. Его создатели, воодушевленные славой Wikileaks Джулиана Ассанжа, попытались повторить опыт австралийца. На этом ресурсе российские хакеры выложили в открытый доступ персональные данные соотечественников - номера мобильных телефонов, банковские реквизиты, информацию из баз ГИБДД, из налоговой базы, а также сведения МВД по поводу людей, объявленных в розыск, и данные по задолженностям и "плохим" кредитам. По отдельной базе авиабилетов здесь можно было отследить перемещения граждан по России и за ее пределы. Сами хакеры мотивировали создание ресурса тем, что они, мол, помогают избавлять страну от коррупции. По их мнению, часть закрытой информации нужно сделать открытой для активного общественного контроля. "Тогда простые граждане России смогут самостоятельно проводить расследования и выявлять коррупционные проявления. Надеемся, наш проект станет для них хорошим подспорьем", - говорится на сайте RusLeaks. Впрочем, с этим не согласны эксперты. "Логика хакера проста: нашли "дырку" и обрадовались, а потом начали свой взлом как-то красиво обосновывать. Это безответственные инфантилы, которые не понимают, какой ущерб могут нанести", - полагает блогер Антон Носик.
Поспорить с RusLeaks по масштабности последствий для бизнеса может "Мегафон": с сайта сотового оператора в свободный доступ попали тысячи SMS-сообщений, благодаря поисковой системе "Яндекс" ставшие достоянием общественности. Заместитель руководителя департамента эксплуатации "Яндекса" Владимир Иванов объяснил, что в произошедшем виноват исключительно "Мегафон". "Данные оказались в поисковых системах, потому что не были защищены от индексации файлом robots.txt на сайте оператора и магазинов. Мы давали рекомендации, как справиться с проблемой, - рассказывает Владимир Иванов. - Любая поисковая система находит все, что есть в Сети и никак не защищено. Как только владельцы сайтов закрывают приватные данные паролем или в файле robots.txt, они пропадают и из результатов поиска". Вся информация была удалена из поисковой системы через несколько часов после обнаружения утечки, однако в Интернете до сих пор можно найти и скачать архив с SMS-сообщениями.
Наказание для "Мегафона" оказалось мягким. Он был привлечен к административной ответственности и выплатил штраф в 30 000 руб. Впрочем, эксперты полагают, что это была не единственная потеря сотового оператора. "Компания понесла серьезные репутационные риски, - подчеркивает аналитик Mobile Research Эльдар Муртазин. - То, что номера абонентов и тексты SMS, отправленные им, попали в поисковую выдачу, в Интернете активно обсуждали простые пользователи и СМИ. Эта история получила слишком широкий резонанс". Глава представительства Trend Micro в России Вениамин Левцов считает, что клиенты могут подать в суд за несоблюдение сохранности их персональных и финансовых данных. "Оператор теряет лояльность своих потребителей. Также всегда возможны санкции и со стороны органов государственного контроля. Кроме того, очень серьезны имиджевые риски для бренда, даже глобального и очень мощного", - отмечает Вениамин Левцов. По мнению Эльдара Муртазина, с юридической точки зрения виновность "Мегафона" сложно доказать. "Услуга по отправке SMS с сайта оператора оказывается отправителю, а с ним не заключается никаких соглашений", - говорит эксперт.
Сейчас "Мегафон" судится с Союзом потребителей, и последний утверждает, что своими действиями оператор нарушил право абонентов на неприкосновенность частной жизни и на конфиденциальность персональных данных. "Мегафон", в свою очередь, заявляет, что подобные претензии беспочвенны: ставшая общедоступной информация содержит не персональные данные, а лишь номера абонентов-получателей.
"Мегафон" стал не единственным оператором сотовой связи, "прославившимся" утечками. В 2011 г. на сайте zhiltsy.net в открытом доступе оказалась полуторамиллионная база абонентов МТС. Компания довольно оперативно добилась закрытия сайта, однако, как и в случае с "Мегафоном", архивы с номерами абонентов до сих пор можно найти в Сети. В МТС утверждают, что утечка считается "незначительной" - база данных была датирована 2006 г. Но источник "слива" до сих пор не установлен.
Вслед за утечкой абонентской базы в Сети также появились данные о том, что Роскомнадзор выявил несколько десятков интернет-магазинов, информация о покупателях которых попала в открытый доступ. Помимо имен и фамилий пострадавших клиентов, поисковые системы также выдавали адреса, телефоны и сведения о заказанных ими товарах. Впоследствии было установлено, что поисковики "увидели" эти данные из-за того, что администраторы сайтов не запретили индексацию страниц с личной информацией. Впрочем, владельцы интернет-магазинов получили смешное наказание за это административное нарушение - штрафы в размере от 300 руб. до 500 руб.
Начавшиеся волнения среди интернет-пользователей переросли в настоящую панику после появления новости о том, что Пенсионный фонд РФ допустил утечку конфиденциальной информации о своих клиентах. Причем файл с данными о должниках по уплате страховых взносов, проиндексированный всеми основными поисковыми системами, находился на сайте самого фонда. В пресс-службе ведомства объяснили появление информации технической ошибкой на портале тверского отделения ПФР. Сама утечка была устранена в тот же день и носила локальный характер - появившиеся данные касались порядка 600 должников в разных районах Тверской области. Тем не менее это не успокоило пользователей Рунета, явно напуганных такой волной публичных утечек, до недавнего времени в России широко не обсуждавшихся.
Со всеми утекающими
Сама по себе проблема утечек далеко не нова - переманивание ценных специалистов вместе с их наработками и знаниями, а также промышленный шпионаж и прочие подобного рода действия распространены достаточно давно. Но в период активного развития информационных технологий резко увеличивается их значимость, ведь современные приемы хранения и обработки информации открывают безграничные возможности для того, кому эта информация необходима. "Всегда были и будут люди, у которых есть информация и кто хочет ее украсть, - констатирует ведущий сервисный инженер NBZ Computers Павел Большаков. - Какой бы ни была степень защиты, всегда существует человеческий фактор, и никакая защита не поможет. Мы постоянно слышим о подобных инцидентах, и это будет продолжаться - защититься на 100% нельзя".
Любая утечка - это удар по имиджу и репутации компании, способный повлечь отток клиентов и возможные судебные тяжбы. Особенно ущерб ощутим, если дело касается чувствительной информации, разглашение коей может привести к самым серьезным последствиям. Речь идет о пресловутых "персональных данных", они относятся к сведениям конфиденциального характера и потому должны защищаться от посторонних глаз. К подобным данным относятся фамилия, имя и отчество, дата рождения, адрес, номера паспорта и карточки социального страхования, а также сведения о семейном, социальном, имущественном положениях, образовании, профессии и доходах.
Подобного рода данных в Сети можно найти множество. Только по итогам 2010 г. на органы власти, учреждения здравоохранения и образования приходилось в общей сложности 58% всех утечек. В результате граждане оказывались скомпрометированными или их личная информация использовалась для финансовых махинаций. Так, в мае 2011 г. в США была разоблачена группа мошенников, которые, используя похищенные номера карт социального страхования и манипулируя с налогами, похитили более миллиона долларов за три месяца. А несколькими месяцами позже был выявлен случай мошенничества с кредитами, для чего также использовались украденные персональные данные. В обоих случаях речь шла о сотрудниках банков, использовавших свое служебное положение.
Откуда ждать беды
Источником утечек могут быть аутсорсинговые компании, телекоммуникационные операторы, почтовые и курьерские службы: там средства защиты слабы или порой даже отсутствуют. При этом повлиять на соблюдение всех норм и правил крайне трудно, если не невозможно в принципе. В этом году, например, одна из канадских курьерских служб потеряла три диска с персональными данными клиентов Scotiabank, а в конце 2010 г. стало известно о том, что сотрудница телекоммуникационной компании Sprint Nextel передавала главе преступной группировки информацию, изъятую из журналов звонков агентов управления по борьбе с наркотиками.
Вполне типична ситуация, когда средства защиты имеются, но они неадекватны информационным угрозам. Эксперты отмечают, что в 80% случаев в системах остаются бреши, например вследствие того, что у сетевого оборудования не изменены заводские пароли, хорошо известные злоумышленникам. "Существуют ресурсы, ежедневно выкладывающие "дырки", которые хакеры находят в тех или иных программных продуктах, - рассказывает Вячеслав Семенчук, руководитель студии "Арт-бюро Creators", основатель Apps.ru. - Только их оперативное устранение позволяет быстро закрыть брешь в системе и не дать злоумышленникам украсть информацию".
Но даже новейшая защита не всегда помогает избежать проблем. Особенно это прослеживается на примере банковских систем и их операторов, считающихся наиболее защищенными. На данный момент самым распространенным киберпреступлением является воровство денег с кредитных карт граждан или электронных счетов организаций. И наказать даже серьезных онлайн-преступников получается далеко не всегда. В российской судебной практике известен всего один случай, когда были пойманы хакеры, укравшие из банка "Барклайс" $9 млн. По решению суда злоумышленники получили всего по шесть лет условно. "Если бы это было офлайновое преступление, то я не знаю, какой из наших судей мог дать условный срок и не поднялась бы волна возмущений", - констатирует президент компании LETA Александр Чачава.
С важностью этой проблемы соглашается и Антон Носик, считающий, что сегодня Россия может претендовать на звание мирового центра киберпреступности именно из-за отсутствия какого-либо сопротивления со стороны властей. "Трудней всего на свете заставить соответствующие ведомства принять заявление, если у вас взломали сайт, блог, ICQ или почтовый ящик. Ни одна справочная в Москве не знает контактов пресловутого управления "К", куда такие заявления положено писать. Нет этих контактов ни на сайте МВД, ни на странице их общественной приемной, ни в телефонном справочнике. При такой киберполиции не приходится удивляться, что взломщики, кибершантажисты, телефонные мошенники, спамеры, ботнетчики и вирусописатели действуют в обстановке полнейшей безнаказанности и вседозволенности, - сетует Антон Носик. - Даже по резонансным делам, вроде кражи базы номеров МТС или многомесячных DDoS-атак на серверы ИД "КоммерсантЪ", наша доблестная киберполиция ухитрилась не возбуждать дел и не вести никакого следствия".
Вместе с тем совокупный заработок киберпреступников постоянно возрастает. Доход хакеров из России уже оценивается примерно в $1,8 млрд, что составляет не менее 20% от мирового оборота киберпреступности. "Сейчас люди, пишущие в России вирусы, целенаправленно выбирают именно этот путь, поскольку те деньги, которые они способны заработать созданием вирусов, значительно превосходят финансовые предложения, которые они могут получить, работая где-то легально", - отмечает главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев.
Расширение применения новых технологий подталкивает киберпреступников к действию. "Можно максимально дистанцироваться от компьютеризации - не пользоваться соцсетями и не делать покупки через Интернет, - рассуждает Павел Большаков. - Тем не менее в современном мире подобные технологии входят в повседневную жизнь, и в любом случае сведения о вас имеются в загсе и Пенсионном фонде". Ведомства уже перевели или будут в ближайшее время переводить информацию в электронный вид, и эти данные рано или поздно попадут в Интернет.
Как сливают? | ||
разглашение (излишняя болтливость сотрудников) | 32,00% | |
несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок | 24,00% | |
отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности | 14,00% | |
традиционный обмен производственным опытом | 12,00% | |
бесконтрольное использование информационных систем | 10,00% | |
наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива | 8,00% | |
По данным портала информационной безопасности Content Security |
Еще по теме
Предрождественский и предновогодний декабрь, как правило, время беспричинного оптимизма и торжества романтики. На Западе это к тому же еще для многих - и самый подходящий момент для предложения руки и сердца. И это понятно: общая атмосфера праздника делает событие незабываемым и, как пишут многие свадебные сайты, позволяет сократить расходы на украшения и музыкальное сопровождение.