Третий закон Ньютона в действии, или Как «аукнется?»

23 август, 2011 - 12:05Евгений Варакса

Без преувеличения можно констатировать: утечки информации происходят каждый день. Чтобы сделать такой вывод, вовсе не нужно специально отслеживать подобные случаи – достаточно взглянуть на недавний отчет Ponemon Institute. Ежегодное исследование по степени ущерба для компаний от киберпреступности показало, что в среднем организации претерпевают 72 успешные атаки в неделю. Кстати, в прошлом году этот показатель составил 50. На преодоление последствий подобных атак тратятся огромные средства. Однако для клиентов компаний такого рода инциденты обычно проходят незаметно.

Тем не менее, когда утечка данных обнародована и возникает общественный резонанс, о возможных убытках компании можно только догадываться.

Аналитический центр компании SearchInform составил дайджест утечек конфиденциальной информации, получивших наибольший отклик в обществе. На этот раз мы решили сфокусироваться на утечках, имевших место в России, Украине и Беларуси, сравнив их с наиболее известными мировыми случаями.

Компания Sony за свою историю занимала лидирующие позиции по самым разным направлениям. В этом же году после серии беспрецедентных взломов фирме пришлось примерить отнюдь не почетную для компании такого уровня «майку лидера» по… количеству исков, поданных на нее в суд. Проблемы Sony обсуждали все. Сообщения о новых взломах на мировых сайтах стали традиционно начинаться со слов «и снова Sony…» и «очередной взлом в Sony…». Дело дошло до того, что от компании отказались даже страховщики.

Таким образом, Sony не занимает в нашем дайджесте никакого места, а смело идет вне конкурса.

I. «Яндекс» и Google

На почетное первое место следует поместить целый класс утечек, который условно можно было бы назвать «утечками через поисковики». Истории с попавшими в «выдачу» Google и «Яндекса» секретными документами правительств России и Украины разлетались по блогам быстрее, чем пирожки на рынке. Не стоит забывать и о 8 тыс. «рассекреченных» SMS от Мегафона, билетах РЖД и данных о покупателях из онлайн-магазинов. Но обо всем по порядку.

8 тысяч личных SMS-сообщений, отправленных через сайт «Мегафона», оказались в свободном доступе после того, как были проиндексированы поисковыми роботами «Яндекса». По официальной версии причиной послужил «результат сочетания нескольких ошибок web-приложения, таких как недостаточная авторизация, утечка информации и отсутствие таймаута сессии». В процессе обсуждения данного инцидента складывалось впечатление, что оператор не видит своей вины в случившемся. «Мегафон» уверял, что информация, ставшая общедоступной, не содержала персональных данных (только номера абонентов-получателей без привязки к их ФИО). В качестве компенсации было принято решение предоставить абонентам, пострадавшим в связи с публикацией текстов сообщений, бесплатные бонусные SMS или минуты разговора. Однако и этот жест доброй воли сотовый оператор изобразил «мелким шрифтом». «Их количество определяется для каждого абонента индивидуально и в зависимости от региона». Как это понимать – решайте сами.

Также вызывает удивление позиция пострадавших. В то время как жители Южной Кореи подают коллективные иски на миллионы долларов за возможный причиненный им ущерб, защита прав пострадавших россиян беспокоит лишь Союз потребителей России. Замоскворецкий суд Москвы должен был приступить к рассмотрению иска от СПР 17 августа.

Между тем, история с SMS-сообщениями получила продолжение. Вместо исков в суд люди стали экспериментировать с поиском и искать все новые бреши на веб-серверах. В открытом доступе Google были найдены бумаги ФАС, Федеральной миграционной службы, Счетной палаты, Минэкономразвития, портала Госзакупок, Главного управления специальных программ президента России, Высшей аттестационной комиссии Минобрнауки России и некоторые региональные документы, среди которых были и помеченные грифом «секретно», хотя силовые ведомства и отрицают этот факт. Также в сети были обнаружены сообщения пользователей пермского портала sms.perm.ru, утечки секретных фотоальбомов в различных системах, утечка данных о покупателях железнодорожных билетов, а также личная информация о покупателях интернет-магазинов. На двух последних случаях и остановимся подробнее.

В поисковики попала информация о пассажирах, заказавших билеты через сервисы онлайн-бронирования TuTu.ru и Railwayticket.ru.

На страницах с заголовком «Бланк электронного билета» указываются ФИО пассажира, купившего билет, люди, которые следуют вместе с ним, последние цифры номеров их паспортов, пункт отправления и пункт назначения, номер поезда и номер места, а также дата поездки.

Примечательно, что Tutu.ru одним из первых признал факт раскрытия персональных данных клиентов. Там подтвердили кражу «обрывочных паспортных данных 70 клиентов раздела авиабилеты». Более того, это чуть ли не единственный случай за последнее время, когда клиентам предложили реальную денежную компенсацию. Сумма не разглашалась; пострадавших просили посетить офис компании для решения данного вопроса на месте.

В случае с интернет-магазинами утечка оказалась гораздо масштабнее. «Яндекс» и Google проиндексировали более 50 тыс. страниц с информацией о покупателях онлайн-магазинов. В том числе в Сеть попали сведения о клиентах секс-шопов. Эта утечка получила большой общественный резонанс, так как страницы содержали множество конфиденциальной информации: имя и фамилию человека, мобильный телефон и в некоторых случаях паспортные данные. Также можно было узнать, что именно заказал человек и по какому адресу необходимо доставить заказ. Партнер адвокатского бюро «Корельский, Ищук, Астафьев и партнеры» Константин Суворов подытожил разрозненные высказывания рунетчиков: «Если компания занимается сбором и обработкой персональных данных, то она обязана обеспечить их защиту. Даже если поисковая машина «Яндекса» или Google изменила способы индексации страниц, всегда есть возможность со стороны администраторов сайтов заблокировать данные для поискового робота. В любом случае все иски и претензии надо обращать к самим ресурсам, ибо утечка произошла с их стороны».

Однако ресурсы не спешат брать ответственность на себя и в основном приносят шаблонные извинения. Остается надеяться, что на ситуацию сможет повлиять упомянутый выше СПР, который подал иск против десяти онлайн-магазинов. Это совсем не значит, что утечка произошла лишь у них. По данным Роскомнадзора в открытый доступ попали данные клиентов 80 магазинов. «Иск же смогли предъявить только тем, чьи юридические адреса удалось найти сотрудникам организации», – пояснил председатель организации Петр Шелищ. Любопытно, что СПР отдельно подчеркнул отсутствие материальной составляющей иска.

II. Банки

Второе место присуждается банкам, которые в последнее время зачастили со «сливами». За последний месяц сразу два банка попали в поле зрения экспертов по информационной безопасности.

Как российский, так и белорусский, «Альфа-Банк» регулярно подвергается нападкам собственных клиентов за разглашение информации о финансовых операциях. Типичная ситуация выглядит примерно так: на карточку клиента поступает значительная сумма денег, после чего ему начинают звонить неизвестные с различными предложениями: от «не желаете ли продать валюту?» до «не хотели бы вы выгодно вложить свои деньги?».

Беларусь этим летом, похоже, и вовсе стала лидером по числу скандалов, связанных с банками. Причем как на микро-, так и на макроуровне. Последний затрагивает быстро погашенный скандал, связанный с передачей Литвой официальному Минску банковских данных представителей белорусской оппозиции. Литовская оппозиция в лице партии «Порядок и справедливость» и вовсе потребовала отставки главы МИД и Минюста Литвы. По мнению литовских социал-демократов, скандал с передачей банковских данных белорусской оппозиции ставит вопрос о том, насколько безопасна банковская информация как физических, так и юридических лиц в Литве в целом.

Переходя от макро– к микроуровню, стоит обратить внимание на белорусский «МТБанк», который отметился пару дней назад масштабной утечкой конфиденциальных данных людей, заполнивших онлайн-анкеты на сайте банка. Примечательно, что хоть новость и получила небольшую огласку в СМИ, похоже, сами пострадавшие так и не осознали степень риска, которому они подверглись. Автор данного дайджеста лично видел анкеты, которые появились в открытом доступе, и вот, что получается: любой человек, скачавший небольшой архив в 42 Мб теперь может узнать ФИО интересующего его объекта, дату его рождения, серию и номер паспорта, личный номер, мобильный и рабочий телефоны, адрес почты, девичью фамилию матери, образование, семейный статус, данные родственников, судимость, непогашенные кредиты, алименты, место работы и занимаемую должность – словом, почти все о человеке, который отослал в «МТБанк» свою заполненную анкету.

Отдельное внимание стоит обратить на официальное заявление представителей банка. В управлении маркетинга заявили, что «речь идет не про список клиентов, а про список физических лиц, которые обратились на сайт банка, чтобы заполнить предварительные электронные заявки». На самом деле это не так. Исследуя документы, попавшие в Сеть, можно найти ряд анкет-заявлений на подключение услуги интернет-банкинга. Это однозначно свидетельствует о том, что действующие клиенты банка также пострадали.

А вот с общественным резонансом дела обстоят не очень хорошо. Несмотря на всю серьезность инцидента, в результате которого персональные данные огромного числа людей могут быть использованы мошенниками, ни общество защиты прав потребителей, ни сами граждане не спешат обращаться в суд за защитой своих прав. Подобная позиция вызывает недоумение.

III. «Викиликс по-украински»

Третье место досталось Украине. Точнее, СБУ Харьковской области. Уволенный сотрудник спецслужбы устроил коллегам «викиликс по-украински», выложив в Сеть засекреченные планы оперативных мероприятий по области, которые собирались проводить сотрудники управления «К» (борьба с коррупцией) в первом полугодии 2011 г. Достоянием общественности стали фамилии завербованных спецслужбой агентов и держателей явочных квартир в Харьковской области. Сейчас спецслужба «бьется» над поиском «стукачей» и завела уголовное дело по факту разглашения гостайны.

Очевидно, что в данном случае общественный резонанс возник в первую очередь по инициативе «рассекреченных» агентов, их семей и просто сочувствующих им людей.

Почему утечка попала лишь на третье место? Как оказалось, подобные «сливы» в СБУ являются скорее правилом, чем исключением. «При Наливайченко в СБУ тоже был проходной двор – все, что хотите, сливали в Интернет, – вспоминает Геннадий Москаль, работавший замом главы СБУ в 2007 г. – Когда замом пришел Тиберий Дурдинец, вообще начались повальные утечки».

Выводы, или Информация к размышлению

На защиту компании от утечек информации сегодня тратятся огромные средства. К примеру, объем DLP-рынка в России в 2010 г. по некоторым оценкам показал значительный рост с 15,3 млн. до 22,7 млн. долл. Таким образом, темпы роста рынка составили более 48%. Это свидетельствует о том, что крупные коммерческие и государственные российские организации все больше внимания уделяют проблемам утечки конфиденциальных данных.

Также не стоит забывать и о подвижках в части законов, касающихся персональных данных, которые имели место в этом году в России и Украине. Рано говорить о том, положительны ли они, но факт остается фактом. Достаточно ли этого? Безусловно, нет. Законы следует дорабатывать, избавляться от противоречий. В качестве примера можно привезти Статью 6 «Условия обработки персональных данных» Федерального Закона №152 «О персональных данных». Согласно ей поисковик, желая обработать мои персональные данные, обязан спросить у меня разрешения. Так как он этого не делает, то вроде бы наступает его ответственность по закону… То, что он взял эти данные в общедоступном месте, никак не может служить ему оправданием, ведь общедоступными по закону они вовсе не являются (п.3.12 152 ФЗ).

Также существенным упущением является и то, что в России, Беларуси и Украине компании, оперирующие персональными данными клиентов (банки, страховые компании и др.), не обязаны предавать публичной огласке случаи утечек и, как правило, не делают этого из опасений потерять клиентов. В большинстве случаев пользователи если и узнают о пропаже своих данных, то не от организации, которой они их предоставили. В банковской сфере это может привести к потере клиентами банка своих денежных средств.

Утечки, в первую очередь, нужно предотвращать, а не бороться с их последствиями. Грамотность клиентов в вопросах информационной безопасности должна быть правилом, а не привилегией заинтересованных. Компании, работающей с персональными данными, важно уметь не только обеспечивать их сохранность, но и обеспечивать контроль от возможных утечек, используя DLP-систему.

Помните, никто не будет защищать ваши данные, если вам самим это не очень-то и нужно. Ведь как аукнется, так и откликнется.