Обзор "Рынок ИТ: Итоги 2005" подготовлен	При поддержке

Утечки конфиденциальных данных: 5 российских скандалов 2005

Российской спецификой является повышенный и постоянно удовлетворяемый спрос на персональные данные населения и крупные массивы коммерческой информации, находящиеся на попечении государственных организаций. Если на западе каждое такое событие выливается в крупный скандал, то масштабные утечки из отечественных министерств и ведомств за редким исключением вызывают широкий общественный резонанс. 

В приведенном ниже рейтинге утечки 2005 г. отсортированы в первую очередь по масштабу отклика, который они получили в широкой общественности. Оценить реальный размер ущерба очень сложно, однако в случае некоторых американских компаний даже грубые оценки являют весьма показательными.

Топ5: крупнейшие утечки конфиденциальной информации в России в 2005 г.

Источник: InfoWatch, 2005

Центробанк. Конфиденциальные базы данных ЦБ привлекают внимание продавцов-нелегалов уже несколько лет. Однако только в 2005 году информация, защищенная положением о банковской тайне, поступила в свободную продажу. Действительно, 3 DVD за 3 тыс. рублей мог приобрести любой желающий. Причем утечки происходили дважды: в феврале и мае 2005 года. Первая утечка настолько шокировала общественность, что депутаты обратились в Генпрокуратуру с просьбой расследовать инцидент. Однако это ни к чему не привело. Через три месяца после появления на рынке базы данных с платежами через расчетно-кассовые центры ЦБ за II и III кварталы 2004 года в продажу поступила база и за IV квартал. Из нее средства массовой информации узнали детали продажи с аукциона основного добывающего предприятия ЮКОСа — «Юганскнефтегаза».

Зимняя и весенняя утечки нанесли серьезный удар по репутации Банка России. Специалисты ЦБ довольно долго проводили внутреннее расследование, а 25 октября 2005 года на пресс-конференции в рамках всероссийского форума «Банковская безопасность: состояние и перспективы развития» сообщили, что канал утечки перекрыт. Заявление прозвучало из уст Владимира Бабкина, заместителя начальника управления безопасности и защиты информации московского главного территориального управления Центробанка. Он не назвал источник утечки, однако дальнейшие события подтвердили его слова.

В феврале 2006 года по интернету разнеслось сообщение о новой утечке из Банка России. На этот раз с помощью спама и через сеть продавцы предлагали базу данных за I квартал 2005 года. Дальнейшее расследование показало, что база не содержит ни одного корректного платежа, а ее продавцы просто пытались сыграть на повышенном спросе к этому нелегальному информационному товару. Таким образом, предлагавшаяся за 4 тыс. рублей база была скомпилирована «кустарным» способом и не имела ничего общего с реальностью. Следовательно, слова представителя Центробанка о том, что канал утечки перекрыт, косвенным образом подтвердились.

Паспортно-визовая служба. В начале марта 2006 года выяснилось, что уже почти год любой желающий может приобрести за 1,2 тыс. долларов базу паспортных данных 16,5 млн. бывших и нынешних москвичей. Продает базу компания МЦЭБ (Московский центр экономической безопасности), которая ни от кого не скрывается и принимает заказы прямо в интернете — на своем веб-сайте. Инцидент стал своеобразным юридическим шоком, так как действующее законодательство не запрещает распространять чужие персональные данные. Однако он запрещает сливать их на сторону представителям МВД и других государственных структур. Тем не менее, у власти и общества нет легальных механизмов, которые могли бы заставить МЦЭБ признаться, откуда у компании взялись такие большие объемы персональных данных. Ситуация не изменится, пока Госдума не примет закон «О персональных данных».

НИКойл. В октябре 2005 года в интернете появилась база данных одного из крупнейших регистраторов России — компании «НИКойл». Этот регистратор ведет реестры акционеров таких гигантов, как ЛУКОЙЛ, МТС, Скайлинк и еще нескольких сотен корпораций национального масштаба. Предлагаемая база была актуальна на 1 августа 2005 года и продавалась за 12 тыс. долларов. Расследование позволило установить, что предлагаемая база действительно достоверна, а это в свою очередь таит огромную опасность для акционеров.

Дело в том, что согласно российскому законодательству данные реестров акционеров являются закрытой информацией, раскрывать которую эмитент обязан лишь в строго определенных случаях и в ограниченном объеме. Такая закрытость оправдана тем, что все акции в России существуют не в бумажном виде, а в виде записей на счетах в реестре. Располагая же персональными данными акционера, можно списать его акции по поддельной доверенности, что весьма распространено в российской «предпринимательской практике». Пострадать от таких действий может не только акционер, но и эмитент, который должен будет возместить своему совладельцу ущерб. Что касается акций небольших компаний, то раскрытие персональных данных их акционеров может стать хорошим подспорьем для недружественного поглощения. Таким образом, предлагаемая база являлась действительно ценным товаром. По некоторым сведениям, ее реальная стоимость составляла около 100 тыс. долларов и именно эту цену за нее уже заплатили ранее серьезные покупатели. В октябре же база продавалась второй раз.

Министерство по налогам и сборам. В конце ноября 2005 года на рынке появилась база данных с доходами москвичей за 2004 год. Любой желающий мог приобрести за 1,5 тыс. рублей DVD с базой, содержащей более 9,9 млн. налоговых деклараций с помесячной разбивкой, сведениями о месте работы, реквизитами и адресами налогоплательщиков. Расследование показало, что база действительно достоверна. По некоторым данным, государственные чиновники, «слившие» базу на сторону, получили за это 2,5 млн. долларов.

Прогнозы

Число утечек приватных сведений населения из государственных организаций может сократиться по сравнению с 2005 годом, если Госдума все-таки примет закон «О персональных данных». Тем не менее, повышенный спрос на информацию, представляющую банковскую и другую тайну сохранится. Следовательно, злоумышленники и далее будут стараться удовлетворить этот спрос с помощью инсайдеров, а в некоторых случаях, предлагая покупателям «кукольные базы», содержащие фальшивые записи.

В коммерческом секторе проблема инсайдеров сохранит лидирующее положение, причем компании будут стараться предотвратить не только кражу информационных активов (64 %), но и халатность сотрудников (43 %).

Источник: InfoWatch, 2005

Особая угроза в корпоративном секторе будет исходить от мобильных устройств, которые становятся все более популярными. Следует отметить, что через внешние накопители, портативные компьютеры и плееры инсайдеры могут легко вынести за пределы офиса практически любые разумные объемы данных. Так, база данных клиентов, партнеров, поставщиков и т.д. часто умещается на USB-брелке объемом 1 Гб, а в тех редких случаях, когда база данных занимает несколько гигабайт, в распоряжении инсайдера есть мультимедиа-плееры, вмещающие до 60 Гб. Примером такого устройства является всемирно известный AppleiPod.

Источник: InfoWatch, 2005

Таким образом, бизнесу необходимо обеспечить защиту от инсайдеров, проведя комплекс необходимых организационных мероприятий и внедрив специальную техническую систему. В конечном итоге, должен быть обеспечен полный контроль над обращением конфиденциальной информации в корпоративной среде с возможностью блокирования утечек в режиме реального времени. В рамках этого активного мониторинга руководство и уполномоченные лица всегда могут установить кто, когда и какие операции проводил с конфиденциальной информацией. В результате система внутренней ИТ-безопасности будет служить целям организации и повышению ее конкурентоспособности.  

Денис Зенкин / Специально для  CNews Analytics