Утечки информации: российская действительность

В последнее время в прессе, новостных лентах и на тематических сайтах частенько появляется информация об утечках приватных данных из иностранных компаний. Апофеозом целого ряда инцидентов в Северной Америке и Европе стала компрометация 40 млн. номеров кредитных карт (всех ведущих мировых брендов) вследствие утечки из CardSystems Solutions. Всего же сегодня под угрозой кражи личности остаются сотни миллионов американцев и европейцев.

На фоне всех этих громких событий может показаться, что в России ситуация не так запущена. Действительно, отечественная пресса предпочитает смаковать детали западных инцидентов, а о крупных утечках в своей собственной стране пишет редко и как о чем-то самом разумеющемся. С чем связан такой перекос в освещении событий?

«Полагаю, это вызвано двумя причинами. Во-первых, в России очень сложно получить хоть какую-то достоверную информацию об утечке или даже подтвердить сам факт таковой. Украденная информация в начале появляется на черном рынке и предлагается в Интернете, потом кто-то обязательно проверяет актуальность и достоверность предлагаемых данных и, наконец, предает все обстоятельства огласке. При этом журналисту и всему издательству приходится брать на себя большую ответственность за достоверность публикуемого материала, а потом, возможно, отвечать на вопросы правоохранительных органов. Интересно отметить, что даже в случае исчерпывающего раскрытия информации об утечке, официальные лица пострадавшей организации вполне могут заявить, что все предлагаемые на черном рынке материалы сфабрикованы и никакой утечки не было», - считает Денис Зенкин, директор по маркетингу компании InfoWatch.

Действительно в России отсутствуют законы, которые бы могли заставить коммерческие и другие организации уведомить общественность о произошедшей утечке. Такие законы есть во многих штатах США, вдобавок в этой стране уже почти принят федеральный закон, который обяжет оповещать граждан о компрометации приватных данных. Здесь важно заметить, что в Европе и США все равно принято придавать огласке обстоятельства утечки, даже если это явно не требуется законом. В противном случае компании потом придется иметь дело с судебными исками о нарушении деловой этики и т.п. Такие прецеденты уже зарегистрированы (см., например, инцидент с сеть обувных магазинов DSW Shoe Warehouse. Таким образом, ввиду слабости российского законодательства наши компании и организации не обязаны вообще ставить хоть кого-то в известность о своих утечках (даже если они касаются всего населения страны).

«Второй причиной является политическая окраска большинства инцидентов. Это связано с тем, что в России в отличие от стран Запада крупные утечки часто происходят из государственных образований, которые, казалось бы, должны хранить записи о гражданах, как зеницу ока. Расследуя такой инцидент и предавая его огласке, средства массовой информации рискуют перебежать дорогу кому-нибудь «большому и сильному», а это, как я уже говорил, большая ответственность», - добавляет Денис Зенкин.

На самом деле тот факт, что солидная часть утечек происходит из государственных организаций, можно будет легко проверить, просматривая обстоятельства зарегистрированных утечек, приведенных далее.

Несмотря на все трудности, информацию о большей части утечек удалось собрать и систематизировать. Результаты этой работы приведены ниже.

Хронология конкретных утечек

1992-1995 гг. В начале в Москве, а потом и во многих городах России начинают продаваться телефонные базы данных. В столице сразу стала доступна база МГТС на компакт-дисках, потом аналогичные продукты начали предлагаться на местных «горбушках» по всей стране. Как легко догадаться, если и было расследование по фактам этих утечек, то оно не дало никакого результата. Наконец заметим, что эти постоянно обновляемые базы данных доступны и сейчас в самом что ни на есть актуальном состоянии.

1996 г. Произошла первая крупная утечка из коммерческой компании – в продаже появилась база абонентов сети «Билайн». Однако бизнес тем и отличается от государства, что воспринимает любые свои проблемы (финансовые траты и удар по имиджу) близко к сердцу. Украденная БД довольно быстро потеряла актуальность, а канал утечки был перекрыт. Как результат, сама база исчезла с прилавков. Компания объявила, что провела расследование, нашла и наказала виновных, а также закрыла канал утечки. Конкретные имена и фамилии не назывались, но оперативность действий говорит сама за себя.

1996-2002 гг. На рынках и в Интернете появляются массовые предложения баз данных различных федеральных и муниципальных организаций: ГИБДД, прописка, жилой фонд и т.д. Такие базы данных перестают быть чем-то особенным, что выливается в снижение цен на них. Все эти товары доступны до сих пор.

Октябрь, 2002 г. В продажу поступают данные всероссийской переписи населения – одна из самых масштабных утечек информации. Несмотря на то, что диски с результатами переписи мог приобрести кто угодно, Госкомстат опроверг сам утечки и, следовательно, не инициировал расследование.

Ноябрь, 2002 г. Происходит следующая после сети «Билайн» крупная утечка, связанная с коммерческой и снова телекоммуникационной компанией. На черном рынке стали предлагать абонентскую базу «МТС», пресса окрестила этот инцидент как «первый тираж».

Январь, 2003 г. В продаже снова появляется база «МТС», на этот раз, как легко догадаться, «второй тираж». По всей видимости, его появление связано с тем, что первый тираж очень быстро исчез с прилавков: появился в конце ноября и весь разошелся в начале декабря. С чем это связано и почему у черных продавцов не получилось обеспечить непрерывность торговли – не известно. Как бы то ни было, второй тираж проигнорировать уже было невозможно, поэтому компании «МТС» пришлось провести расследование, о результатах которого снова нет официальных данных. Тем не менее, есть два факта, по которым можно кое о чем догадаться. Во-первых, в прессе информацию об утечке из «МТС» все время сопровождала версия о том, что утечка могла произойти из силовых ведомств, которым сотовый оператор обязан поставлять данные об абонентах. Эта версия сильно муссировалась, но «МТС» официально ее опровергла. Во-вторых, можно судить об эффективности внутреннего расследования в телекоммуникационной компании, так как база довольно быстро исчезла с рынка (наверняка, был перекрыт канал утечки, а без обновлений такие продукты очень быстро теряют актуальность).

Май, 2003 г. На черном рынке появилась база абонентов всех крупных телефонных компаний Петербурга. База помещалась на трех дисках и продавалась немногим дороже полутора тысяч рублей. Журналисты снова извлекли на поверхность версию об утечке информации из силовых структур, а не самих телекоммуникационных компаний. Однако в отличие от предыдущего инцидента, пострадавшие фирмы прямо обвинили правоохранительные органы в краже данных. Правда, наказание так и нашло виновного, кем бы он ни был.

Июнь, 2004 г. Сотрудники компании «ВымпелКом» (этот оператор сотовой связи предоставляет услуги под торговой маркой «Билайн») обнаружили в Интернете сайт www.sherlok.ru, которые предоставлял целый ряд платных услуг. Среди них была информация о входящих и исходящих звонках плюс персональные сведения любых запрошенных абонентов сотовых сетей «Билайн», «Мегафон» и «МТС» в Москве и Питере. Естественно, что получить эти сведения вне судебного порядка можно лишь незаконным путем. Все сведения были переданы в управление «К» МВД России, которые провели контрольную закупку, задержали подозреваемого и проследили цепочку до источника утечки. В результате 29 ноября 2004 г. было арестовано шесть человек, трое из которых оказались сотрудниками самой компании «ВымпелКом». Другими словами, в преступную группу входили инсайдеры. Вполне возможно, что оборотни из «МТС» и «Мегафона» тоже были членами банды, но официального подтверждения этой версии нет. В заключение отметим, что всем арестованным были предъявлены обвинения по части 2 статьи 138 (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) и части 2 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание за данные преступления – до 5 лет лишения свободы. Хотя о приговоре суда официальных сведений нет, сценарий развития событий является тем редким случаем, когда пострадавшая компания и правоохранительные сработали безупречно.

Ноябрь, 2004 г. B продаже появилась «очень интересная база данных». Кавычки здесь обусловлены тем, что согласно одной половине публикаций это была база Налоговой Инспекции по подоходному налогу, а согласно второй – база Пенсионного Фонда. Заметим, что авторитетной издание Forbes придерживается второй версии. Как бы то ни было, любой желающий мог всего за 1 тыс. рублей получить в свое распоряжение сведения о доходах за 1999-2002 гг. жителей Москвы и Подмосковья. Отметим, что в начале базу предлагали за 300 долларов, однако число покупателей, которые могли заплатить такую сумму, довольно быстро исчерпалось. Цена упала до 2,5 тыс. рублей, потом до 2 тыс., а еще через некоторое время до 1 тыс. При этом база содержала 36 млн. записей. Среди них помимо информации о доходах были: паспортные данные и домашний адрес получателя дохода, юридический адрес и телефон компании-работодателя. Все эти сведения позволяли определить место работы любого лица Московского региона, проследить его финансовую историю, получить полный список сотрудников предприятия и акционеров, являющихся физическими лицами, а также определить объем полученных дивидендов. Вдобавок, база содержала сведения о купле-продаже и строительству недвижимости. Оба ведомства (Пенсионный Фонд и Министерство по налогам) провели внутренне расследование, но так и не выяснили источник утечки. Каждая из этих структур возложила ответственность на другую. В прессе появлялась информация, что к расследованию подключится ФСБ, однако это либо не произошло, либо не дало никаких результатов. В заключение заметим, что такие крупные утечки данных из государственных организаций кардинально подрывают доверие населения к властным структурам.

Февраль, 2005 г. В продажу поступила база данных Центрального банка РФ. В ней содержалась информация о платежах, проведенных банками через расчетно-кассовые центры Центробанка с апреля 2003 года по сентябрь 2004. Инцидент получил широкий общественный резонанс, так как украденная информация могла быть использована в нечестной конкурентной борьбе. На утечку отреагировали даже депутаты Госдумы, которые попросили Генпрокуратуру разобраться с утечкой конфиденциальной информации. В то же время сам Центробанк провел внутреннее расследование обстоятельств утечки. Эффективность всех этих мероприятий лучше всего демонстрирует следующий инцидент.

Май, 2005 г. На черном рынке появилась новая база данных Центробанка, содержащая информацию за четвертый квартал 2004 г. База размещалась на трех DVD и продавалась всего за 3 тыс. рублей. Инцидент вызвал не только бурю негодования, но и волну любопытства: растиражированная база позволяла ознакомиться с деталями продажи с аукциона основного добывающего предприятия ЮКОСа «Юганскнефтегаза». Центробанк снова провел внутреннее расследование, Генпрокуратура занялась проверкой обстоятельств утечки по запросу Госдумы, наконец, по некоторым не совсем официальным сведениям, к делу подключилась ФСБ. Результаты всех этих расследований не известны. Разве что 25 октября 2005 г. Владимир Бабкин, заместитель начальника Управления безопасности и защиты информации Московского главного территориального управления Банка России, сообщил на пресс-конференции в рамках Всероссийского форума «Банковская безопасность: состояние и перспективы развития», что канал утечки информации из Центробанка перекрыт. Однако выступающий так и не назвал источник утечки…

Май, 2005 г. Чрезвычайно редкий случай, когда утечка была предотвращена заблаговременно. Согласно решению Красноярского краевого суда от 18 мая 2005 г. Дмитрий Андреев (сотрудник краевого ГУВД) и Александр Бурков (его бывший коллега) были приговорены к трем годам лишения свободы по ст. 272 УК РФ за попытку продать базу данных ГУВД, содержащую информацию о расследуемых организованных преступных группировках. В качестве покупателей выступали разрабатываемые бандитские группировки, а осужденные, как указано выше, являлись инсайдерами.

Октябрь, 2005 г. В Интернете появилась база данных одного из крупнейших регистраторов России – компании «НИКойл». Этот регистратор ведет реестры акционеров таких гигантов, как ЛУКОЙЛ, МТС, Скайлинк и еще нескольких сотен корпораций национального масштаба. Объявление о продаже базы появилось 23 октября 2005 г. в форуме ресурса www.zahvat.ru в разделе «Враждебные поглощения». Актуальность предлагаемой базы – 1 августа, а начальная цена – 12 тыс. долларов. Всех желающих «черный продавец» пригласил вступить в личную переписку по электронной почте edyad2005@rambler.ru. Расследование, проведенное журналистами издания «КоммерсантЪ», позволило установить, что предлагаемая база действительно достоверна. Между тем, согласно нашему законодательству данные реестров акционеров являются закрытой информацией, раскрывать которую эмитент обязан лишь в строго определенных случаях и в ограниченном объеме. Такая закрытость оправдана тем, что все акции в России существуют не в бумажном виде, а в виде записей на счетах в реестре. Располагая же персональными данными акционера, можно списать его акции по поддельной доверенности, что весьма распространено в российской «предпринимательской практике». Пострадать от таких действий может не только акционер, но и эмитент, который должен будет возместить своему совладельцу ущерб. Что касается акций небольших компаний, то раскрытие персональных данных их акционеров может стать хорошим подспорьем для недружественного поглощения. Таким образом, предлагаемая база является действительно ценным товаром. По некоторым сведениям, ее реальная стоимость составляет около 100 тыс. долларов и именно эту цену уже заплатили за нее ранее серьезные покупатели. Сейчас же база продается второй раз. Откуда произошла такая серьезная утечка? Есть все основания утверждать, что из правоохранительных органов. По крайне мере, именно так среагировала Профессиональная ассоциация регистраторов, трансфер-агентов и депозитариев (ПАРТАД), предложившая сразу же после инцидента с базой компании «НИКойл» сузить круг лиц, имеющих доступ к реестрам акционеров, а также внести ограничение на объемы запрашиваемой ими информации. Необходимые поправки, судя по всему, будут внесены в законодательство до 1 января 2006 г.

Ноябрь, 2005 г. На черном рынке открыто предлагают приобрести последнюю версию базы данных с доходами москвичей за 2004 год. Письмо с предложением купить за 3 тыс. рублей базу «Налоговая инспекция — 2004» пришло в почтовый ящик газеты Ведомости в самом начале ноября самостоятельно. Быстрая проверка позволила установить, что на савеловском рынке DVD-диск с этой базой открыто продается за 1,4 тыс. рублей. Продавец предложил проверить базу прямо в киоске, а анализ представленной информации показал, что товар действительно достоверен. Всего в базе более 9,9 млн. справок о доходах за 2004 г. с помесячной разбивкой, сведениями о месте работы, реквизитами и адресами налогоплательщиков. Напечатав сообщение об этом, даже корректная газета Ведомости не выдержала и посетовала на то, что виновных во всех этих утечках правоохранительные органы даже не ищут…

Тенденции и перспективы

Анализ приведенных выше инцидентов позволяет выявить две важные тенденции. Во-первых, утечки информации почти во всех случаях происходят с помощью инсайдеров. Во-вторых, умелое использование украденных данных (особенно в последних инцидентах) может оказать критическое влияние на бизнес (нечестная конкуренция, враждебные поглощения и многое другое). При этом если первая тенденция характерна для утечек по всему миру, то вторая – более характерна для России, чем для Европы или США, где украденные записи позволяют осуществить финансовое мошенничество чаще всего против физических лиц. Другими словами, российские утечки могут использоваться в качестве серьезного оружия в бизнесе, где цена конфиденциальной информации исчисляется многозначными суммами. Причем сами игроки расположены к тому, чтобы использовать этот прием, если представится возможность.

«Сегодня нам бы очень пригодился закон, делающий обстоятельства утечек прозрачными для общества и средств массовой информации. Однако мы, к сожалению, не наблюдаем каких бы то ни было подвижек в этом направлении. Отсюда вытекает и чрезвычайно высокая латентность внутренних преступлений – они просто замалчиваются. Я уверен, что на самом деле крупных утечек за последние десять-пятнадцать лет произошло намного больше, чем описано выше, но доказать это почти невозможно. Остается лишь защищать свой собственный бизнес, что не стать следующей жертвой инсайдеров», - комментирует Денис Зенкин, директор по маркетингу компании InfoWatch.

Таким образом, несмотря на высокую латентность (скрытность) инсайдерских преступлений, в будущем все также будут регистрироваться новые утечки, как из коммерческих, так и из правительственных организаций. Это будет продолжаться до тех пор, пока законодатели, чиновники и бизнесмены не осознают серьезность ситуации. Между тем в бизнесе положений дел начало меняться. Компании понимают, что утечка приватной информации о клиентах, заказчиках и партнерах чревата сокращением клиентской базы, ударом по имиджу и снижением прибыли. Однако государственные структуры реагируют на проблему значительно медленнее…