В России стремительно растет черный рынок конфиденциальной информации. По словам экспертов, похищенные базы сотовых операторов, нефтяных компаний, налоговых, таможенных и других служб приносят преступникам миллионы долларов. Однако по действующему законодательству компании, растерявшие персональные данные своих клиентов или сотрудников, никакой ответственности не несут. В январе 2007 года в силу вступает закон «О персональных данных». Эксперты надеются, что новый документ защитит граждан от посягательств на личную информацию.
В России давно сформировался нелегальный рынок закрытой информации, который постоянно набирает обороты. Так, в начале декабря 2006 года в свободном доступе появилась база данных кредитных историй нескольких российских банков. По такой базе можно получить сведения об имени заемщика, телефоне, домашнем адресе, месте работы. Кроме того, в истории указывается, по какой причине заемщик попал в базу, к примеру, информация о просрочке по кредиту, отказе в выдаче кредита и причине отказа. Открытыми оказались подобные сведения около 4 млн заемщиков.
В конце августа 2006-ого неизвестные лица предлагали в Интернете за 90 тысяч рублей базу кредитных историй 700 тысяч россиян. Две недели спустя на прилавках радиорынка в Митине появилась база 3 тысяч неблагонадежных заемщиков банка «Первое ОВК», который был поглощен Росбанком в 2005-м. Продавцы просили за CD с этой информацией всего 900 рублей и обещали уже в ближайшие месяцы предоставить покупателям полную версию базы «Антикредит» с данными о 3 млн россиян.
«Подобных случаев продажи личных данных очень много, - рассказал замдиректора Института проблем информационной безопасности МГУ Алексей Сальников. - Примерно раз в неделю в Интернете или просто на рынке появляется какая-то новая база данных, которая зачастую продается за небольшую цену около одной тысячи рублей. В случае с утечкой кредитных историй такая информация могла быть выгодна большому кругу лиц, к примеру, самим банкам или коммерсантам для проверки своих клиентов. И надо сказать, спрос на такую информацию действительно очень большой. Чаще всего заполучить базу удается с помощью бывших сотрудников учреждений, где происходит утечка».
Информация - не деньги, а большие деньги
По словам экспертов, большей популярностью пользуются базы данных сотовых операторов. «Выбрасываются в продажу множество различных баз, таможенной, налоговой служб, нефтяных компаний, банков, сотовых операторов, - рассказал директор по маркетингу компании InfoWatch, разрабатывающей технологии для информационной безопасности, Денис Зенкин. - Чаще всего базы просто выносятся из здания корпорации на обычной «флэшке» бывшими, а зачастую и действующими сотрудниками компаний. При этом уже существуют устойчивые группы злоумышленников, где четко распределены обязанности. К примеру, один ворует базу, второй «клепает» диски, третий их распространяет».
Как считает г-н Зенкин, с одной такой кражи группировка может получить прибыль до нескольких миллионов долларов. «Как правило, сначала кража происходит по определенному заказу, и продается за десятки, а то и за сотни тысяч долларов заинтересованной стороне, - пояснил представитель InfoWatch. - Потом уже эту базу выбрасывают «в розницу», и далеко не всегда продают по символической цене».
По словам экспертов, в ближайшее время, скорее всего, в продаже появятся и «свежие» базы. Дело в том, что налоговая служба и банки сейчас пытаются договориться об обмене информации. В таком случае налоговое управление получит более точные сведения о доходах граждан, зачастую имеющих «серые» доходы, а банкиры, в свою очередь, обретут доступ к реальным налоговым и пенсионным отчислениям. Таким образом, налоговики смогут быстрее выявлять уклоняющихся от налогов граждан и предприятия, а банки станут точнее определять платежеспособность клиентов. «Это может способствовать снижению безопасности информации, - считает Денис Зенкин. - Ведь чем больше людей допущено к «тайне», тем, соответственно, больше вероятность, что она будет раскрыта».
Закон придуман, механизм работы – нет
Как считают эксперты, зачастую невольными соучастниками утечки становятся и рядовые сотрудники корпораций. В последнее время различные сайты все чаще предлагают своим пользователям регистрироваться для отслеживания посетителей. Это приводит к тому, что с течением времени пользователи набирают большое количество паролей и логинов. При этом по результатам опроса, проведенного в 2006 году компанией Sophos, 41% респондентов во всех случаях используют один и тот же пароль, и для регистрации на интернет-форуме, и для доступа к конфиденциальной корпоративной информации. «Такую закономерность действительно выявляют постоянные исследования, - рассказал Денис Зенкин. - В таком случае базы данных оказываются почти незащищенными. Поэтому последнее время некоторые российские компании заставляют сотрудников каждые три месяца сменять пароль, и такая практика получает все большее распространение. Однако и личная информация граждан, использующих везде один пароль, остается почти незащищенной».
По словам экспертов, по действующему пока законодательству, человек, пострадавший от утечки личных данных, может обратиться в суд с иском к компании-«растеряше» и потребовать возмещения ущерба. Однако на практике добиться положительного решения суда практически невозможно. «Потерпевший должен доказать вину непосредственно ответчика, в частности, доказать, что утечка произошла именно из этой компании, - рассказал Денис Зенкин. - К тому же нужно предоставить документ, в котором компания обязалась не распространять личные данные сотрудника или клиента и множество других бумаг. Дело это затратное, и можно годами ходить по инстанциям, но не получить положительного результата. Поэтому ни одного подобного выигранного дела в России пока не было».
Закон «О персональных данных», призванный разрешить проблему постоянных утечек, вступает в силу 30 января 2007 года. Новый документ ставит вне закона торговлю приватными базами данных, требует от организаций обеспечить контроль над оборотом личных сведений граждан и защиту персональных данных служащих и клиентов.
«Вряд ли можно сказать, что ситуация на «рынке» закрытой информации с этим законом изменится кардинально, - считает г-н Зенкин. - Однако в нашей стране появится законодательная база, благодаря которой компания будет нести ответственность за утечку. Теперь растерявшие сведения корпорации станут получать выговор или штраф, а могут и потерять лицензию. Поэтому и выигранных исков к корпорациям, где произошла утечка, можно ожидать уже в новом году». В то же время, по словам эксперта, реализация закона может столкнуться с трудностями. «В законе указано, что наблюдать за исполнением норм нового закона должен специально созданный контролирующий федеральный орган, - рассказал Денис Зенкин. - Однако пока этот орган до сих пор не создан».
Кроме того, по словам экспертов, злоумышленники торопятся заработать как можно больше до выхода нового закона. И, по мнению исследователей, не исключено, что после новогодних каникул на «рынок чужих секретов» будет выброшена рекордная партия новых баз со «свежими» персональными данными.