Цифровой потоп: почему утекают персональные данные в Интернете
Обращает на себя внимание частота повторения идентичных инцидентов за короткий период времени и в пределах страны, которая пока очень далека от количества утечек в США и Европе. Примечательно также, что случилось это все в преддверии подписания президентом РФ новой редакции закона "О персональных данных". Издевка судьбы, воля случая или преднамеренный акт хакерского неповиновения? Возможны все варианты.
Хроники информационной эпохи
Кража информации, в том числе персональных данных, и их злоумышленное использование — явление древнее и распространенное. Организаторы конкурса на самую "старую" утечку информации из ассоциации Open Security Foundation (OSF) образно пошутили, что использование социальной инженерии змеем-искусителем привело к полному уничтожению всех записей, которые содержались в Древе Знаний. Ну а в качестве средства для своей атаки змей уже тогда использовал Apple.
Если же говорить серьезно, то первой известной утечкой персональных данных был признан случай 1903г. с кражей амбулаторных карт пациентов психиатрического госпиталя в Южной Каролине. Отсчет же цифрового "потопа" начался в 1984г., когда была взломана компьютерная система в онкологическом центре Sloan-Kettering в Нью-Йорке и кража медицинских записей 250 пациентов. И уже через год случилась первая масштабная утечка: в рамках хакерского вторжения в компьютерную систему бюро кредитных историй TRW могли быть скомпрометированы данные 90 млн человек.
Создание Всемирной паутины (WWW) сделало "миллионный" масштаб утечек информации нормой. Впрочем, по данным InfoWatch, на интернет-каналы сейчас приходится лишь 16% таких случаев. Остальное утекает по старинке: в 20% случаев информация теряется через бумажные документы, через настольные компьютеры, сервера, жесткие диски – 25%, ноутбуки и мобильные устройства – 12%, съемные носители (CD, флеш-накопители) – 8%. Ну и немного "прокачивается" через электронную почту и даже архаичный факс (7%). Капелька лени и невнимательности офисных работников - и тысячи конфиденциальных бумаг летят на помойку, где их уже ждут "мусорные копатели" (трэшдайверы).
Подавляющее большинство случаев с утечкой информации в мире касается персональных данных (96%). Такие данные — самые ликвидные, поэтому злоумышленники, как правило, посягают именно на них. Их интересуют данные банковских карт, номера соцстрахования и их аналоги. При этом секреты производства и гостайна интересны в единичных случаях, хотя, возможно, стоить могут в разы больше, чем "персоналка".
Очевидно, что Интернет с каждым годом будет все более актуальным каналом утечки персональных данных, так как число пользователей в мире уже приближается к 2 млрд, и растет их охват социальными сетями. Например, в апреле 2011г. Symanteс сообщила, что на Facebook в течение нескольких лет, возможно, происходила утечка персональных данных пользователей, которые оказывались в руках рекламодателей.
Аналитики считают, что условно скомпрометирована была в последнее время хотя бы одна запись, касающаяся каждого человека в развитых странах. По данным той же InfoWatch, общее число скомпрометированных персональных данных только в 2010г. составило почти 654 млн записей, а нанесенный ущерб — 200 млн долл.
C каждый годом масштаб бедствия в виртуальном мире становится все более крупным. Вспомнить хотя бы взлом PlayStation Network (PSN), осуществленный 17 апреля этого года. Тогда злоумышленникам удалось завладеть частью персональных данных пользователей, которых в Сети было зарегистрировано 77 млн, а доступ к PSN был полностью восстановлен только через месяц.
Эксперты называют это событие крупнейшим за всю цифровую эпоху, а кто-то включает в пятерку самых видных. Поспорить с ним за пальму первенства может прошлогодний случай с Microsoft, когда оказалось возможным получить через мобильный канал доступ к аккаунтам других пользователей. А в базе Microsoft ни много ни мало 460 млн учетных записей.
Если же говорить о государственных секретах, то самая скандальная утечка также пришлась на 2010г. Речь о ресурсе WikiLeaks, разумеется.
Масштаб бедствия в Рунете
По частоте случаев утечки данных России пока далеко до развитых стран. Так, в США по итогам 2010г. было зафиксировано 580 подобных инцидентов, в Великобритании - 69, а в нашей стране - лишь 28.
Однако аналитики считают, что такой расклад показывает не столько неуязвимость российских систем, сколько латентность фактов утечки. Так, в США и Великобритании закон требует обязательного уведомления граждан об утечке или утрате их персональных данных. И это требование обычно выполняется, после чего информация, как правило, попадает в прессу и к аналитикам.
В России такое положение тоже есть. Однако, как часто это бывает в нашей стране, строгость законов компенсируется необязательностью их исполнения. До сих пор ни одного случая подобного уведомления не зафиксировано. Все же выявленные в 2010г. факты утечки данных относились к категории умышленных, а не случайных, и были связаны с персональными данными граждан России, просочившихся из банковских и государственных структур.
Немалая часть украденных данных была использована для совершения мошеннических действий. Некоторую часть утечек выявил Роскомнадзор, но для организаций это вылилось лишь во взыскания.
Вот и 18 июля 2011г. Рунет "прорвало" только вследствие активности рядовых пользователей. В блогах появилась информация, что "Яндекс" при определенном запросе дает список из нескольких тысяч SMS, отправленных с сайта "МегаФона". В целом в открытый доступ попало порядка 8 тыс. поисковых объектов, которые содержали информацию о 2,5 тыс. телефонных номеров.
В "Яндексе" инцидент объяснили отсутствием на сайте "МегаФона" специального файла robots.txt, в котором администратором сайта прописывается запрет на индексацию. Мобильный оператор, в свою очередь, заявил, что к инциденту может быть причастен "Яндекс", поскольку сообщения проиндексировались только в этой поисковой системе.
Посыпались взаимные обвинения, но тут история потонула в новой волне: спустя неделю в открытый доступ попали данные клиентов 80 интернет-магазинов, в том числе секс-шопов. А 26 июля все пользователи Интернета могли видеть электронные железнодорожные билеты, купленные через RailwayTicket.ru, с датами, номерами рейсов, именами пассажиров.
На следующий же день в поисковой выдаче оказались документы (в том числе "для служебного пользования") Федеральной антимонопольной службы (ФАС), Федеральной миграционной службы (ФМС) РФ, Счетной палаты, Минэкономразвития, портала госзакупок и другие. Впрочем, последний случай оказался "хорошо забытым старым": позже выяснилось, что об этой "как бы уязвимости" было известно еще с зимы, а документы не представляли собой никакой секретности.
В некоторых случаях персональные данные смогли проиндексировать несколько ресурсов: помимо "Яндекса", также Google, Bing, Mail.ru. Масштаб июльских событий показался достойным внимания даже высшим органам власти - обстоятельства утечки SMS-сообщений заинтересовали Следственный комитет (СК) РФ, Роскомнадзор и Генпрокуратуру.
Примечательно, но самому "МегаФону" пожаловалось только несколько десятков пользователей. Компания поторопилась предоставить им возможность смены номера, бонусные минуты и SMS. Однако Союз потребителей России посчитал это замыливанием реального масштаба проблемы и подал судебный иск о защите неопределенного круга потребителей. В союзе уверены, что "МегаФон" нарушил положения Конституции РФ (тайна переписки), закона "О связи" (тайна связи), а также закон о персональных данных.
И хотя "МегаФон" отверг эти претензии и предложил урегулировать ситуацию во внесудебном порядке, Союз потребителей по-прежнему требует компенсации. Решение этого дела будет беспрецедентным и впервые покажет, можно ли компенсировать нанесенный ущерб и как работает обновленное законодательство о персональных данных.
В разгар этих скандалов, 26 июля, президент Дмитрий Медведев подписал новую редакцию закона "О персональных данных". Несмотря на некоторое смягчение требований к сбору и работе с персональными данными, новый закон требует больших усилий для обеспечения защиты обрабатываемых данных. Оператор персональных данных, которым теперь становится каждая государственная и муниципальная организация, юридическое и даже физическое лицо, должен быть готов к увеличению затрат на организацию защиты своих информсистем.
Виртуальный мир дает течь
На совпадение во времени появления нового закона и фактов утечки не обратил внимание только ленивый. Правда, никто не знает (или не говорит), кто же стал инициатором - хакеры, которые хотели что-то доказать властям, или власти, которые решили дать урок и хакерам, и легальным участникам цифровых отношений.
Зато определенно можно сказать, что для компаний и других исполнителей закона возникает существенная нагрузка на бюджет. "Закон довольно строг, и теперь любой отдел кадров любого предприятия в РФ - это хранилище персональных данных. Значит, компания должна иметь специализированный софт для хранения этой информации. Усиливается и ответственность веб-мастеров за публикацию таких данных", - оценил новую законодательную реальность генеральный директор "Яндекса" Аркадий Волож.
Генеральный директор билетного интернет-агентства "Белый мост" Дмитрий Гайд высказал опасения, что в процессе наведения законодательного порядка может выясниться, например, что владельцам сайтов в обязательном порядке нужно будет приобрести программные продукты по защите данных. При этом требуемую цену смогут осилить только крупные компании, а небольшие участники будут вынуждены уйти с этого рынка. "В результате развития такого сценария пользователи, конечно же, проиграют, так как о настоящей ценовой конкуренции здесь говорить не придется", - сетует он.
Однако большинство экспертов считают, что никаких массовых утечек и не было в июле. "Нет ситуации массовой утечки. Есть ситуация с массовым обнаружением проблем, которые существовали давно. Эти данные хранились в поисковиках и зачастую были доступны годами. Но стоило одной из утечек получить широкое освещение в СМИ, как все тут же кинулись искать подобные документы", - считает главный "антивирусный" эксперт "Лаборатории Касперского" Александр Гостев. Он рекомендует привыкнуть к таким случаям.
Этой же позиции придерживается вице-президент по безопасности группы QIWI Владимир Загрибелин. "Скорее всего, то, что мы видели, - это результат невнимательной работы администраторов сайтов, так называемый человеческий фактор. Такого рода оплошности встречались и ранее, просто не имели такого яркого освещения и общественно резонанса", - отметил он.
Технический директор компании Positive Technologies Сергей Гордейчик вообще считает, что широкая огласка инцидентов с утечкой персональных данных привела к популяризации хорошо известных "спецам" техник конкурентной разведки и взлома через поисковые системы. Такие приемы демонстрируются на примерах порталов заведомо хорошо защищенных компаний и даже спецслужб. Однако среди экспертов в области информационной безопасности, говорит С.Гордейчик, действуют определенные кодексы профессиональной чести. Так, в случае обнаружения утечки или ошибок специалисты сначала пытаются связаться с владельцем ресурса, уведомить об инциденте, устранить его, и лишь потом, иногда совместно с владельцем ресурса, публикуется информация о проблеме.
"Массовый же пользователь не знает о такой практике, не видит необходимости проходить сложную процедуру. Нашел, написал в блоге, отправил в СМИ и взахлеб читает новостные ленты", - обрисовал картину эксперт.
По статистике Positive Technologies, приводящие к утечке информации бреши содержатся более чем в 50% всех сайтов, так что при желании всегда можно найти что-нибудь конфиденциальное.
Ковчег для пользователя
Но все же июльский случай действительно привел в тонус многих участников интернет-рынка. Например, "Яндекс" теперь думает, как повысить "вежливость" поискового робота в отношении персональных данных, хотя по директиве ЕС поисковики этого делать не обязаны, могут и далее осуществлять автоматическое индексирование.
Председатель комитета по платежным системам и банковским инструментам Национальной ассоциации участников электронной торговли Борис Ким считает, что теперь компании начнут более ответственно подходить к техническим аспектам защиты конфиденциальных (в том числе и персональных) данных, а поисковые службы пересмотрят возможность агрессивного индексирования страниц с использованием расширений и надстроек к браузерам.
В свою очередь С.Гордейчик порекомендовал компаниям проверить безопасность своих веб-сайтов, отсутствие конфиденциальной информации на незащищенных страницах и контролировать содержимого кэша поисковых машин. Ряд владельцев сайтов дополнительно внедрили криптографические протоколы для максимально безопасного соединения пользователя с серверами компании.
В "Google-Россия" заявили, что давно предлагают и владельцам сайтов, и их пользователям почитать составленные компанией подробные инструкции о том, как действовать в Интернете и уберечься от утечки данных. "Нужно соблюдать элементарные нормы безопасности, связанные с размещением информации в открытом доступе, рекомендации поисковых служб о способах запрета индексирования страниц", - заявляют в Google.
Между тем как ни защищайся, данные пользователей могут оказаться в руках злоумышленников через государственные каналы. Эксперты говорят, что информационная система российских ведомств морально устарела, а на создание новой уйдет лет пять. И без этого маловероятна полноценная реализация программы "электронное правительство".
Однако рядовому пользователю защитить право частной жизни можно и нужно. Б.Ким рекомендует использовать антивирусные программы, для совершения покупок выбирать известные и крупные интернет-магазины, а в платежных системах производить оплату через защищенное (SSL) соединение. А С.Гордейчик предлагает при регистрации на "одноразовых" ресурсах или в интернет-магазинах использовать псевдонимы, если это не запрещено продавцом и не планируется, например, сдавать товар по гарантии. Что же касается платежных систем, то рекомендуется использовать либо отдельную пластиковую карточку с небольшим кредитом, либо "виртуальные" одноразовые карты.
В самом же Минкомсвязи РФ вообще заявили, что интернет-пользователю следует руководствоваться нормами обновленного законодательства и передавать персональные данные только в том объеме, который необходим для достижения целей их обработки. "На законодательном уровне все меры приняты. Утечка возможна только при нарушении требований законодательства", - убеждены в министерстве.
Надежда Геращенко, РБК