Архивная публикация 2006 года: "Всеобщий слив"

На Западе информационные базы в основном воруют из частных компаний, ни одного случая хищения базы данных госструктуры не зафиксировано. В нашей стране ситуация обратная — информация утекает чаще из госорганов, а в последнее время — даже из сверхзасекреченного Центробанка.В контексте развернувшейся сейчас борьбы вокруг закона о персональных данных возражения противников этого закона (правозащитников ли, церковников ли) выглядят разительным контрастом уже прочно сложившейся в жизни практике массовой торговли этими самыми данными различными частными структурами. Не нужно быть семи пядей во лбу, чтобы понять и то, что «компетентные органы» тоже не чувствуют себя стесненными отсутствием данного закона — и тоже давно собирают на вас, уважаемый читатель, информацию. Есть базы данных мобильных компаний. Есть банковские базы данных. Есть базы данных паспортных столов. На рынке есть все. И корреспондент «Профиля» в порядке эксперимента тоже отправился на рынок.

Процесс покупки базы данных с банковскими проводками за первый квартал 2005 года смахивал на дурной шпионский детектив. Для начала по электронной почте в редакцию пришел спам, оповещающий о новинке на рынке. С номером телефона доставки. Это был автоответчик, на котором нужно было оставить свою просьбу. После моего сообщения прошел примерно час, когда зазвонил телефон и на экране появилась надпись «номер не определен». Представившись сотрудником «компьютерной фирмы, которая занимается базами данных», гражданин на том конце провода вежливо поинтересовался, какая информация меня интересуют (у него был большой выбор), и сообщил о времени встречи с курьером: в час пик на одной из станций метро. Молодой шустрый парень сам подошел ко мне. «Впереди еще две встречи», — заторопился он, передавая диск. На вопрос: «Пользуются ли спросом данные?» — не задумываясь отвечает: «Ну да, не простаиваем». — «А кто покупает?» — «Все больше дядьки серьезные», — отвечает курьер, затем вдруг становится серьезным и звонит кому-то по мобильнику: «Я встретился, все нормально». После получения денег он быстро растворился в толпе.

Так я стал обладателем нового детища инсайдеров — данных рассчетно-кассовых центров (РКЦ) ЦБ за первый квартал 2005 года. Позже выяснилось, что все данные полностью соответствуют действительности. А представитель одной из компаний подтвердил «Профилю», что их проводки в базе отражены абсолютно корректно.

Секретные материалы

Доступ к конфиденциальной информации вряд ли сделает богатым простого и честного журналиста. Но вот в «нужных руках» такая база может стать мощным оружием в конкурентной борьбе. Недаром, по словам курьера, диски с данными, пусть даже и устаревшими, пользуются большим спросом. Во-первых, база позволяет компании А определить круг поставщиков и контрагентов компании Б, выделить из них крупные и мелкие (по суммам платежей), проследить долгосрочные контракты (периодичность платежей), выяснить ее платежеспособность, реальные обороты по счетам, источники кредитов.

Второй вариант — бенчмаркинг. С помощью данных о платежах компания А может выяснить ценовую политику компании Б — если владеет, например, информацией об объемах товаро-, грузооборота и готовой продукции. «И хотя графы «назначение платежа» в данной базе нет, углубленный анализ поставщиков и потребителей компании Б позволит классифицировать их с достаточной степенью точности», — утверждает один из опрошенных экспертов-аудиторов. Эта информация может стать аргументом при общении, скажем, поставщиков с торговыми сетями: проанализировав реальные суммы, перечисленные за конкретную партию товара другими операторами, поставщики могут предлагать свои контракты на более выгодных условиях.

Владея такой базой, можно отследить цепочку платежей через российские банки по сделкам, как это в свое время сделала одна деловая газета. Купив базу с проводками за четвертый квартал 2004 года, она установила предполагаемую схему финансирования покупки «Юганскнефтегаза».

Мировые кражи 2005 года

Февраль 2005 года. Об утрате данных о 1,2 млн. клиентов сообщил третий по величине банк США — Bank of America. Пропали цифровые пленки с информацией о счетах и кредитных картах многих тысяч американских чиновников, включая нескольких сенаторов. Банк традиционно обслуживает работников федерального правительства США, осуществляет карточные программы для Минфина.

Март 2005 года. В японском банке Mizuho были утеряны данные об именах, фамилиях и номерах счетов 270 тыс. клиентов 167 отделений. По словам представителей банка, уничтожение информации было вызвано техническими проблемами, возникшими при обработке данных.

Май 2005 года. Стало известно об утечке информации о 600 тыс. настоящих и бывших сотрудников крупного медиа-холдинга Time Warner.

Июнь 2005 года. Американская Citigroup, в которую входит и Citibank, объявила о потере груза, который содержал личные данные 3,9 млн. клиентов холдинга. Citigroup возложила вину за пропажу на службу доставки United Parcel Service (UPS), которая обеспечивала перевозку базы данных, содержащей номера соцстрахования, истории счетов, данные о займах клиентов, в кредитное бюро штата Техас.

Опять за старое

По данным специалистов, подобная информация ЦБ с пугающей периодичностью появляется в продаже уже несколько лет, и ее обновления на черном рынке доступны, как и обновления легальных юридических баз данных. Наиболее широкую огласку получило появление данных РКЦ за весь 2003 и девять месяцев 2004 года в марте прошлого года. Чуть позже, в мае, появилась новая база — за четвертый квартал 2004-го, а сейчас на руки (за 3 тыс. рублей) можно получить и базу за первый квартал 2005 года.

Сам Центробанк, как вроде бы пострадавшая в результате кражи сторона, почему-то не стал инициировать внешнее расследование обстоятельств происшедшего, ограничившись внутренним. Зато депутаты Госдумы обратились в Генеральную прокуратуру, после чего было возбуждено уголовное дело. Однако результаты следствия так и остались за семью печатями. Общественности председатель ЦБ Сергей Игнатьев доложил об ужесточении доступа к этой информации. Известно также об изданном им приказе, по которому все служащие банка обязаны письменно докладывать обо всех просьбах поделиться конфиденциальной информацией, и отключении в компьютерах сотрудников записывающих устройств.

Теперь банковское сообщество недоумевает: несмотря на обещания высокопоставленных представителей главного банка страны после «утечки» данных в марте прошлого года перекрыть каналы, на свет появляются новые базы. Парламентарии и на этот раз опередили реакцию Центробанка — в конце прошлой недели они направили Генпрокурору Владимиру Устинову новый запрос о нарушении банковской тайны в результате очередной «утечки». «Естественно, должна быть ответственность конкретных лиц за такие преступления», — уверен зампред банковского комитета Госдумы Анатолий Аксаков. Сейчас за сбор сведений, представляющих коммерческую или банковскую тайну (ст. 183 УК РФ), нарушителям грозит тюремный срок до двух лет. Кроме того, они могут подпасть под ст. 272 УК — «Неправомерный доступ к компьютерной информации», предусматривающую тюремный срок до пяти лет. Однако пока ни один работник ЦБ официально не понес наказания ни по одной из этих статей.

Жаловаться некому

Ожидать того, что банки подадут в суд на ЦБ, не стоит: желающих портить отношения с регулятором нет. Сложно выявить масштабы ущерба от продажи информации, ведь он может быть определен только в отношении каждой конкретной компании. В перспективу обращений в правоохранительные органы не верят даже адвокаты. «Механизм предъявления претензий один — директору юрлица, считающего, что ему нанесен ущерб, необходимо подать заявление в милицию. Но чем дело закончится, очевидно, поэтому и заявлений никто не пишет», — считает председатель московской коллегии адвокатов «Князев и партнеры» Андрей Князев.

По закону ЦБ и сам уполномочен принимать нормативно-правовые акты в сфере «порядка обеспечения функционирования системы Банка России». Почему он этого не делает? Представители ЦБ предпочли оставить вопросы «Профиля» без ответа. Может быть, потому, что создать систему безопасности, которая бы контролировала действия всех работников организации, попросту невозможно. Правда, нельзя не отметить, что хранение секретов в немалой степени все же зависит от ее обладателя, ведь на рынке до сих пор не всплыли базы данных ФСБ или МВД.

Ряд опрошенных «Профилем» экспертов уверяет, что появление баз — дело рук силовиков: ЦБ лишь закрывает на это глаза. Собеседник «Профиля» из числа тех, кто входит в неформальное профессиональное сообщество экспертов по информационной безопасности (обстоятельства всех случающихся ЧП в этой области профи, как правило, рано или поздно узнают от коллег), услышав о появлении в продаже новой базы данных от Центробанка, рассмеялся: «Проводки за первый или, в лучшем случае, второй квартал 2005-го, верно? Ну, естественно. То, что попадает из ЦБ на массовый рынок, никогда не бывает свежим. Сначала эту информацию эксплуатируют немногие, меньше десятка, хорошо законспирированные конторы, которые берут до штуки баксов за один-единственный запрос о платежах заказанной компании. Они же, кстати, имеют доступ к другим актуальным базам конфиденциальных данных госструктур, далеко не только из ЦБ. Услуги оказывают проверенным заказчикам, случайному человеку тут делать нечего. Обороты на этом рынке, однако, миллионные. А после того, как информация устаревает, ее сливают в розничную торговлю. Вероятно, ворует данные инсайдер, некая имеющая доступ (легальный или нелегальный — уже другой вопрос) к базам IT-компания. Крыша у них, скорее всего, очень крепкая. Не думаю, что для руководства ЦБ или каких-то иных госструктур это новость. Только не надо на меня ссылаться, публично подтверждать ничего не стану».

Еще один источник, и тоже на условиях анонимности, косвенно подтвердил это мнение: «На совещании у руководства Центробанка, где обсуждалась утечка данных весной 2005-го, говорили не о том, как изобличить вора и исключить повторение таких случаев, а как исключить распространение базы данных на черном рынке. С этой целью приглашали людей из «Русского щита» (организация, специализирующаяся на борьбе с торговлей дисками, содержащими контрафакт. — «Профиль»)». Президент «Русского щита» Юрий Злобин на вопрос «Профиля», принимал ли он участие в организованном ЦБ совещании, где обсуждалась утечка данных, ответил: «Я не скажу вам ни «да», ни «нет». От любых комментариев по этому поводу отказываюсь».

Российская история

Утечки персональных данных происходят регулярно еще с середины 90-х годов, когда появились первые диски с телефонными базами МГТС. В 1996 году в продаже появилась информация об абонентах сети «Билайн». Тогда компания после внутреннего расследования не разгласила источник утечки, но заверила, что виновные наказаны.

В октябре 2002 года в продаже появились диски с данными переписи населения, закончившейся в том же году. Спустя месяц на черном рынке появилась абонентская база МТС. Тогда же появились и практически сразу были опровергнуты представителями МТС сообщения о том, что утечка базы данных могла произойти при «содействии» спецслужб, которым оператор по закону обязан эти данные передавать.

В мае 2003-го «утекли» три диска с информацией (на конец 2002 года) обо всех абонентах Северо-Западного филиала «МегаФона» (1,3 млн. записей), «Телекома XXI» (500 тыс.), «Дельты Телеком» (120 тыс.), FORA Communications (15 тыс.), а также «Северо-Западного Телекома» и «Петерстара» (еще 2,5 млн. записей). Это был первый случай столь масштабной кражи данных. По некоторым сведениям, информация также могла попасть на рынок через одну из правоохранительных структур.

Летом 2004 года представители «ВымпелКома» обнаружили в Интернете подробную информацию об абонентах сетей «Билайн», «МегаФон» и МТС. Спустя несколько месяцев было официально объявлено о задержании организаторов сайта, трое из которых оказались сотрудниками «ВымпелКома».

В марте 2005 года в продаже появилась база данных РКЦ Центробанка за три квартала 2004 года, а в мае — за четвертый квартал.

В конце 2005-го на прилавках появилась база данных Пенсионного фонда РФ, содержащая подробные сведения о месте жительства, доходах, телефонах и адресах жителей Москвы. В том же 2005 году на черном рынке продавалась информация по экспортно-импортным операциям со сведениями о количестве, стоимости, поставщике и получателе товара с января 2004 по июль 2005 года, а также база ГИБДД со сведениями обо всех автомобилях и их владельцах в столице.