Цифровой потоп: почему утекают персональные данные в интернете

http://pics.top.rbc.ru/top_pics/uniora/97/1313478916_0097.250x200.jpeg

В июле этого года обычно тихий Рунет потрясла череда скандалов с утечками персональных пользователей самого разнообразного масштаба. В сети сначала оказались SMS-сообщения абонентов "МегаФона", затем всплыла база покупателей интим-магазинов, далее – билетные данные пассажиров РЖД. На этом фоне даже слоган "Найдется все!" приобрел зловещий ореол, а компетентные органы пообещали разобраться и найти виновных (видимо, все в том же злополучном кэше Яндекса).

Обращает на себя внимание концентрация сразу четырех случаев в коротком интервале времени и в пределах страны, которая пока очень далека от количества утечек в США и Европе. Примечательно также, что случилось это все в преддверии подписания президентом РФ новой редакции закона "О персональных данных". Издевка судьбы, воля случая или преднамеренный акт хакерского неповиновения? Возможны все варианты.   

Хроники информационной эпохи

Кража информации, в том числе персональных данных, и их злоумышленное использование — явление столь же древнее, как и небезызвестная профессия. Организаторы конкурса на самую старую утечку информации из ассоциации Open Security Foundation (OSF) образно пошутили, что использование социальной инженерии змеем-искусителем привело к полному уничтожению всех записей, которые содержались в Древе Знаний. Ну а в качестве средства для своей атаки змей уже тогда использовал Apple.

Если же говорить серьезно, то первой известной утечкой персональных данных был признан случай 1903г. с кражей амбулаторных карт пациентов психиатрического госпиталя в Южной Каролине. Отсчет же цифрового "потопа" начался с 1984г, когда была взломана компьютерная система в онкологическом центре Sloan-Kettering Нью-Йорка и кража медицинских записей 250 пациентов. И уже через год случилась первая масштабная утечка: в рамках хакерского вторжения в компьютерную систему бюро кредитных историй TRW могли быть скомпрометированы данные 90 млн человек.

Создание Всемирной паутины (WWW) сделало "миллионный" масштаб утечек информации нормой. Впрочем, по данным InfoWatch, на интернет-каналы сейчас приходится лишь 16% таких случаев. Остальное "утекает" по-старинке: в 20% случаев информация теряется через бумажные документы; настольные компьютеры, сервера, жесткие диски – 25%, ноутбуки и мобильные устройства – 12%, съемные носители (CD, флеш-накопители) – 8%. Ну и немного "прокачивается" через электронную почту и даже архаичный факс – 7%. Капелька лени и невнимательности офисных работников - и тысячи конфиденциальных бумаг летят на помойку, где их уже ждут "мусорные копатели" (трэшдайверы).

Подавляющее большинство утечек информации в мире касается персональных данных (96%). Такие данные — самые ликвидные, поэтому злоумышленники, как правило, посягают именно на них. Их интересуют атрибуты банковских карт, номера соцстрахования и их аналоги. При этом секреты производства и гостайна интересны в единичных случаях, хотя, возможно, стоить могут в разы больше, чем "персоналка".

Очевидно, что интернет с каждым годом будет становиться все более актуальным каналом просачивания персональных данных, так как число пользователей в мире уже приближается к 2 млрд, и растет их охват социальными сетями. Например, в апреле 2011г. Symanteс сообщила, что на Facebook в течение нескольких лет, возможно, происходила утечка персональных данных пользователей и оказывалась в руках рекламодателей.

Аналитики считают, что условно скомпрометирована была в последнее время хотя бы одна запись, касающаяся каждого человека в развитых странах. По данным той же InfoWatch, общее число скомпрометированных персональных данных составило почти 654 млн записей, а нанесенный ущерб — 200 млн долл.

C каждый годом масштаб бедствия в виртуальном мире становится все более крупным. Вспомнить хотя бы взлом PlayStation Network (PSN), осуществленный 17 апреля этого года. Тогда злоумышленникам удалось завладеть частью персональных данных пользователей, которых в сети было зарегистрировано 77 млн, а доступ к PSN был полностью восстановлен только через месяц.

Эксперты называют это событие крупнейшим за всю цифровую эпоху, а кто-то включает в пятерку самых видных. Поспорить с ним за пальму первенства может прошлогодний случай с Microsoft, когда оказалось возможным получать через мобильный канал доступ к аккаунтам других пользователей. А в базе Microsoft — ни много ни мало 460 млн учетных записей.

Если же говорить о государственных секретах, то самая скандальная утечка также пришлась на 2010г. Речь о ресурсе WikiLeaks, разумеется.

Масштаб бедствия Рунета

По частоте утечек России пока далеко до развитых стран. Так, в США по итогам 2010г. было зафиксировано 580 подобных инцидентов, в Великобритании 69, а в нашей стране - лишь 28.

Однако аналитики считают, что такой расклад показывает не столько неуязвимость российских систем, сколько латентность утечек. Так, в США и Великобритании закон требует обязательного уведомления граждан об утечке или утрате их персональных данных. И это требование обычно выполняется, после чего информация, как правило, попадает в прессу и к аналитикам.

В России такое положение тоже есть. Однако, как часто бывает в нашей стране, строгость законов компенсируется необязательностью их исполнения - до сих пор ни одного случая подобного уведомления не зафиксировано. Все же выявленные в 2010г. утечки относились к категории умышленных, а не случайных, и были связана с персональными данными граждан России, утекших из банковских и государственных структур.

Немалая часть украденных данных была использована для совершения мошеннических действий. Некоторую часть утечек выявил Роскомнадзор, но для организаций это вылилось лишь во взыскания.

Вот и 18 июля 2011г. Рунет "прорвало" только вследствие активности рядовых пользователей. В блогах появилась информация, что "Яндекс" при определенном запросе дает список из нескольких тысяч SMS, отправленных с сайта "Мегафона". В целом в открытый доступ попало порядка 8 тыс. поисковых объектов, которые содержали информацию о 2,5 тыс. телефонных номеров.

В "Яндексе" инцидент объяснили отсутствием на сайте "Мегафона" специального файла robots.txt, в котором администратором сайта прописывается запрет на индексацию. В "Мегафоне", в свою очередь, заявили, что к инциденту может быть причастен "Яндекс", поскольку сообщения проиндексировались только в этой поисковой системе.

Посыпались взаимные обвинения, но тут история потонула в новой волне: спустя неделю в открытый доступ попали данные клиентов 80 интернет-магазинов, в том числе секс-шопов. А 26 июля все пользователи интернета могли видеть электронные железнодорожные билеты, купленные через RailwayTicket.ru, с датами, номерами рейсов, именами пассажиров.

На следующий же день в поисковой выдаче оказались документы (в том числе "для служебного пользования") Федеральной антимонопольной службы (ФАС), Федеральной миграционной службы (ФМС) РФ, Счетной палаты, Минэкономразвития, портала Госзакупок и другие. Впрочем, последний случай оказался "хорошо забытым старым" - позже выяснилось, что об этой "как бы уязвимости" было известно еще с зимы, а документы не представляли собой никакой секретности.

В некоторых случаях персональные данные смогли проиндексировать несколько ресурсов: помимо "Яндекс", также Google, Bing, Mail.ru. Масштаб июльских событий показался достойным внимания даже высшим органам власти - обстоятельства утечки SMS-сообщений заинтересовали Следственный комитет (СК) РФ, Роскомнадзор и Генпрокуратуру.

Примечательно, но самому "Мегафону" пожаловалось только несколько десятков пользователей. Компания поторопилась предоставить им возможность смены номера, бонусные минуты и sms. Однако Союз потребителей России посчитал это замыливанием реального масштаба проблемы и подал судебный иск о защите неопределенного круга потребителей. В союзе уверены, что "Мегафон" нарушил положения Конституции РФ (тайна переписки), закона "О связи" (тайна связи), а также закон о персональных данных.

И хотя "МегаФон" отверг эти претензии, и предложил урегулировать ситуацию во внесудебном порядке, Союз потребителей по-прежнему требует компенсации. Решение этого дела будет беспрецедентным, и впервые покажет, можно ли компенсировать нанесенный ущерб и как работает обновленное законодательство о персональных данных.

В разгар этих скандалов, 26 июля, президент Дмитрий Медведев подписал новую редакцию закона "О персональных данных". Несмотря на некоторое смягчение требований к сбору и работе с персональными данными, новый закон требует больших усилий для обеспечения защиты обрабатываемых данных. Оператор персональных данных, которым теперь становится каждая государственная и муниципальная организация, юридическое и даже физическое лицо, должен быть готов к увеличению затрат на организацию защиты своих информсистем.

Виртуальный мир дает течь

На совпадение во времени появления нового закона и фактов утечек не обратил внимание только ленивый. Правда, никто не знает (или не говорит), кто же стал инициатором: хакеры, которые хотели что-то доказать властям, или власти, которые решили дать урок и хакерам, и легальным участникам цифровых отношений.

Зато определенно можно сказать, что для компаний и других исполнителей закона возникает существенная нагрузка на бюджет.

"Закон довольно строг, и теперь любой отдел кадров любого предприятия в РФ - это хранилище персональных данных. Значит, компания должна иметь специализированный софт для хранения этой информации. Усиливается и ответственность веб-мастеров за публикацию таких данных", - оценил новую законодательную реальность генеральный директор "Яндекса" Аркадий Волож.

Генеральный директор билетного интернет-агентства "Белый мост" Дмитрий Гайд высказал опасения, что в процессе наведения законодательного порядка может выясниться, например, что владельцам сайтов в обязательном порядке нужно будет приобрести программные продукты по защите данныхю При этом нужную цену смогут осилить только крупные компании, а небольшие участники будут вынуждены уйти с этого рынка. "В результате такого сценария пользователи, конечно же, проиграют, так как о настоящей ценовой конкуренции здесь говорить не придется", - сетует он.

Однако большинство экспертов считает, что никаких массовых утечек и не было в июле. "Нет ситуации массовой утечки. Есть ситуация с массовым обнаружением проблем, которые существовали давно. Эти данные хранились в поисковиках и зачастую были доступны годами. Но стоило одной из утечек получить широкое освещение в СМИ, как все тут же кинулись искать подобные документы", - считает главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев. Он рекомендует привыкнуть к таким случаям.

Этой же позиции придерживается вице-президент по безопасности группы QIWI Владимир Загрибелин. "Скорее всего, то, что мы видели, это результат невнимательной работы администраторов сайтов, так называемый человеческий фактор. Такого рода "оплошности" встречались и ранее, просто не имели такого яркого освещения и общественно резонанса", - отметил он.

Технический директор компании Positive Technologies Сергей Гордейчик вообще считает, что широкая огласка инцидентов с утечками привела к популяризации хорошо известных "спецам" техник конкурентной разведки и взлома через поисковые системы. Такие приемы демонстрируются на примерах порталов заведомо хорошо защищенных компаний и даже спецслужб. Однако среди экспертов в области информационной безопасности, говорит С.Гордейчик, действуют определенные кодексы профессиональной чести. Так, в случае обнаружения утечек или ошибок специалисты сначала пытаются связаться с владельцем ресурса, уведомить об инциденте, устранить его. И лишь потом, иногда совместно с владельцем ресурса, публикуется информация о проблеме.

"Массовый же пользователь не знает о такой практике, не видит необходимости проходить сложную процедуру. Нашел, написал в блоге, отправил в СМИ и взахлеб читает новостные ленты", - поясняет эксперт.

По статистике Positive Technologies, приводящие к утечке информации уязвимости содержатся более чем в 50% всех сайтов – так что при желании всегда можно найти что-нибудь конфиденциальное.

Ковчег для пользователя

Но все же июльский случай действительно привел в тонус многих участников интернет-рынка. Например, "Яндекс" теперь думает, как повысить "вежливость" поискового робота в отношении персональных данных, хотя по директиве ЕС поисковики этого делать не обязаны, могут и далее осуществлять автоматическое индексирование.

Председатель комитета по платежным системам и банковским инструментам Национальной ассоциации участников электронной торговли Борис Ким считает, что теперь компании начнут более ответственно подходить к техническим аспектам защиты конфиденциальных (в том числе и персональных) данных, а поисковые службы пересмотрят возможности агрессивного индексирования страниц с использованием расширений и надстроек к браузерам.

В свою очередь С.Гордейчик порекомендовал компаниям проверить безопасность своих web-сайтов, отсутствие конфиденциальной информации на незащищенных страницах, и контролировать содержимого кэша поисковых машин. Ряд владельцев сайтов дополнительно внедрили криптографические протоколы для максимально безопасного соединения пользователя с серверами компании.

В Google-Россия заявили, что давно предлагают и владельцам сайтов, и их пользователям почитать составленные компанией подробные инструкции о том, как действовать в интернете и уберечься от утечек данных. "Нужно соблюдать элементарные нормы безопасности, связанные с размещением информации в открытом доступе, рекомендации поисковых служб о способах запрета индексирования страниц", - заявляют в Google.

Между тем, как ни защищайся, данные пользователей могут оказаться в руках злоумышленников через государственные каналы. Эксперты говорят, что информационная система российских ведомств морально устарела, а на создание новой уйдет лет пять. И без этого маловероятна полноценная реализация программы "электронное правительство".

Однако рядовому пользователю защитить право частной жизни можно и нужно. Б.Ким рекомендует использовать антивирусные программы, при покупках в интернет-магазинах выбирать известные и крупные, а в платежных системах производить оплату через защищенное (SSL) соединение. А С.Гордейчик предлагает при регистрации на "одноразовых" ресурсах или в интернет-магазинах использовать псевдонимы, если это не запрещено продавцом и не планируется например сдавать товар по гарантии. Что же касается платежных систем, то рекомендуется использовать либо отдельную пластиковую карточку с небольшим кредитом, либо использовать "виртуальные" одноразовые карты.

В самом же Минкомсвязи РФ вообще заявили, что пользователю в интернет следует руководствоваться нормами обновленного законодательства и передавать персональные данные только в том объеме, который необходим для достижения целей их обработки. "На законодательном уровне все меры приняты. Утечка возможна только при нарушении требований законодательства", - убеждены в министерстве.

Надежда Геращенко, РБК

16 августа 2011 г.

http://top.rbc.ru/economics/16/08/2011/610694.shtml