Архивная публикация 2006 года: "Ничего личного. Только бизнес"

Россия — один из мировых лидеров по объему контрафактной продукции в сфере интеллектуальной собственности. В заявлении Международного альянса интеллектуальной собственности, поступившего в адрес торгового представителя администрации США Роба Портмана, уровень подделок по большинству позиций в России за 2005 год составил 70—80%, а экономические потери — $1,7 млрд.И если для защиты данных, составляющих банковскую тайну, в России законы существуют, то с защитой персональной информации дело обстоит иначе — нет прецедентов обращения в суд на Пенсионный фонд или ГИБДД по поводу того, что эти почтенные организации не сохранили в тайне доверенные им личные сведения о гражданах.

Кредитная опасность

Торговля крадеными данными распространена у нас слишком широко для того, чтобы можно было не опасаться развития, к примеру, института бюро кредитных историй (БКИ): после того как две недели назад ФСФР утвердила правила единого реестра бюро кредитных историй, эти организации получили право собирать необходимую для своей деятельности информацию, а потом ее продавать. Значит, на рынке появится еще один источник утечки конфиденциальных личных сведений. Кстати, кредитные бюро могут аккумулировать не только данные, предоставляемые самими банками о своих частных заемщиках. БКИ также могут покупать информацию у других организаций, которые оказывают услуги населению, например у сотовых операторов, у ЖЭКов. Сводная информация о платежной дисциплине из разных источников и является кредитной историей граждан. БКИ станут мегахранилищами данных различной степени конфиденциальности, а их базы будут пользоваться повышенным спросом со стороны нелегальных торговцев информацией.

В России создано не менее 50 бюро. То есть потенциальных источников утечки — немало. Закон «О кредитных историях» вообще-то предъявляет достаточно жесткие требования к хранению данных в БКИ. «Законодательно кредитные истории защищены очень хорошо, — утверждает замначальника управления ФСФР по регулированию деятельности профучастников и инфраструктурных организаций на финансовых рынках Алексей Волков. — А вот технологическое выполнение этой защиты уже на совести самих кредитных бюро».

Проверить их совесть гражданам еще предстоит. У каждого из нас есть шанс вскоре оказаться в положении компании, платежи которой стали известны из-за утечки базы ЦБ (см. статью «Всеобщий слив»). Данные физических и юридических лиц об их взаимоотношениях с кредиторами — основа бизнеса бюро кредитных историй. Как на Западе. К примеру, бюро кредитных историй Experian (создавшее совместное с «Интерфаксом» бюро кредитных историй «Экспириан-Интерфакс») имеет более 1 млрд. записей в своей базе данных. Отечественным БКИ пока далеко до таких масштабов, тем не менее бюро будут аккумулировать в своих базах достаточно солидные объемы информации, чтобы вопрос безопасности остался праздным.

Конечно, человек может и отказаться от передачи данных о себе в БКИ, поскольку по закону банки должны запрашивать у него на то разрешение. Но «отказника» могут просто принудить, в противном случае сведя его шансы получить кредит к нулю. По словам представителей этого рынка, бояться гражданам нечего: БКИ используют технические решения, позволяющие сотрудникам бюро получать информацию о заемщиках только в зашифрованном виде. «Человеческий фактор исключен», — уверен гендиректор БКИ «Экспириан-Интерфакс» Николай Димченко. Если же хищение базы данных из какого-либо кредитного бюро все-таки произойдет, то, по мнению зампреда думского комитета по кредитным организациям и финансовым рынкам Павла Медведева, это послужит своего рода спусковым крючком для большего усиления степени защиты информации в базах всех игроков рынка. Но это будет уже ПОСЛЕ утечки.

Законное право

В продаже всплывают все новые базы данных. Вот уже несколько месяцев на рынке гуляет подробная информация из Пенсионного фонда РФ — она была приобретена (в порядке журналистского эксперимента) редакцией «Профиля» всего за 3 тыс. рублей. В этой связи опять нельзя не упомянуть все тот же проект закона «О персональных данных». Если он будет принят, как планируют его разработчики, в первой половине 2006-го, у личных данных гражданина появится юридическая защита от киберворов.

Законопроект предусматривает, во-первых, добровольность в предоставлении персональных данных и, во-вторых, личную ответственность за сотрудничество с теми, кто такие данные собирает. Причем речь в этой связи идет не только и не столько о государственных организациях, чье желание как можно больше знать о нас трудно игнорировать, например, гражданину по достижении 14 лет поневоле приходится сообщать о себе персональные данные в обмен на такую необходимую штуку, как паспорт.

По готовящемуся закону гражданин может отказаться от предоставления подлинных сведений о себе, заполняя анкету в супермаркете. Ее могут требовать, скажем, в обмен на дисконтную карту. Супермаркету для исправного функционирования не нужны ни фамилии, ни адреса покупателей. И если закон «О персональных данных» будет принят, претензия супермаркета на такого рода знание окажется под запретом. А пока есть резон придумывать себе при заполнении анкеты псевдоним.

На прошлой неделе замечания к законопроекту высказал президент Путин. По его мнению, нецелесообразно включать в него идентификаторы личности и положение о Госрегистре населения. Указанные положения относятся к системе персонального учета населения, создание которой предусмотрено распоряжением правительства РФ от 9 июня 2005 года. А в ст. 23 законопроекта предусмотрено, что каждому физическому лицу присваиваются «уникальные и постоянные» идентификаторы персональных данных. Против последнего протестует Русская православная церковь. Что касается Госрегистра, то он должен содержать идентификаторы персональных данных всех лиц, постоянно или временно проживающих или прибывающих на территорию РФ.

Каким образом с принятием закона можно будет на практике привлечь к ответственности тех, кто допустил утечку персональных данных, понятно лишь в самых общих чертах. В законопроекте говорится о том, что надзирать за теми, кто собирает персональные данные, будет некий специально созданный орган. В соответствии с мировой практикой, утверждают разработчики законопроекта, это не госструктура, а независимая организация. Именно к ней должен апеллировать гражданин в случае ненадлежащего использования или утечки его персональных данных.

Как показывает печальный отечественный опыт, даже исключительный случай нарушения банковской тайны вследствие хищения данных о платежах из ЦБ прокуратура безрезультатно расследует в течение месяцев. Поэтому едва ли независимая организация окажется в состоянии эффективно бороться с инсайдерами в госструктурах, «сливающими» базы данных на черный рынок.

Грузите данные ящиками

Обычная защита данных паролем доступа не так надежна, как считается. В свое время это демонстрировал со своими сообщниками «социальный инженер» Кевин Митник. Знаменитый хакер выманивал пароли обманом, например, у кого-нибудь из дежурной смены администраторов компьютерной сети, представляясь в телефонном разговоре высокопоставленным сотрудником компании.

Исключить такую вероятность можно с помощью устройства, называемого Wireless PC Lock. Оно состоит из двух частей: USB-адаптера, подключаемого к компьютеру, и радиомаяка, работающего от батарейки. Радиомаяк выдается пользователю, который имеет право на доступ к защищаемым данным. В случае, если пользователь отходит от рабочего места, утративший связь с радиомаяком компьютер автоматически блокирует работу системы. Стоимость устройства на рынке США — всего $30.

В 2000—2001 годах, время окончания интернет-бума, в Америке ежедневно становились банкротами десятки компаний. Принадлежавшие им компьютеры распродавались на аукционах — вместе, разумеется, с хранящимися на них коммерческими данными. Случился не один скандал. Рынок отреагировал — и в продаже появились приспособления для надежного разрушения дисков, и магнитных, и оптических. Скажем, чтобы информация со старых архивных дисков не попала в чужие руки, можно прикупить CD/DVD шредер, машинку для уничтожения дисков. За несколько секунд устройство стоимостью в несколько десятков долларов делает диск полностью нечитаемым, сдирая с него несущий данные слой. В особо ответственных случаях можно обзавестись более совершенными приспособлениями для казни носителей, которые к тому же могут расправиться не только с CD, но также и с дискетами и кассетами. Стоимость агрегатов, правда, доходит до нескольких тысяч долларов.

Для защиты от воровства данных, которое основано на анализе электромагнитных излучений компьютерного оборудования, применяются специальные компьютерные корпуса, экранирующие такое излучение. Не обязательно собирать в них компьютер, можно упаковать в такой ящик, более похожий на сейф, системный блок. Для защиты разъемов, которые хороши не только для воровства данных, но и для подключения полезных устройств, предпочтительнее программные решения. К примеру, софт под названием DeviceLock позволяет сисадмину контролировать использование USB-портов на каждом компьютере в корпоративной сети.

Так что гарантировать «стопроцентную» защиту данных от хищения может только дилетант. В технических системах, будь то самолет или компьютерная сеть, нет и не может быть ничего абсолютно надежного. А если техническая система функционирует при участии и под контролем человека, вероятность возникновения нештатных ситуаций существует, как говорят программисты, «по умолчанию».