Случаи таких афер следуют один за другим каждодневно, и при этом криминальная мысль постоянно эволюционирует, каждый новый случай изощреннее предыдущего. Смысл у всех один – украсть деньги.
И вроде бы государство печется о сохранности персональных данных: то принимает новые законы, то вносит поправки в уже существующие. Только проку от этого не видно. А уж если случилось пострадать от мошенников, то подчас непонятно, куда бежать, куда жаловаться, какой шанс вернуть потерянное.
Эксперты констатируют: утечки данных происходят практически повсеместно, злоупотребляют ими часто, а добиться справедливости невероятно трудно.
Сданные данные
Персональные данные – термин довольно расплывчатый. Согласно одноименному федеральному закону, это «любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)». Таким образом, персональными данными могут быть не только паспортные, банковские и контактные данные, например, но и ники, аватарки, список увлечений, биография и прочее. Корыстно и бескорыстно, легально и нелегально использовать можно любую, даже самую невинную информацию. И цена ее высока.
Вот один из последних примеров. Около 36 миллионов данных пользователей социальной сети «ВКонтакте» оказалось в распоряжении частной конторы ООО «Дабл». И уже два с половиной года соцсеть судится с этой конторой, требуя у нее изъять из оборота программное обеспечение, удалить его со всех носителей. Это ПО позволяет анализировать открытые данные пользователей и использовать их для продажи своих услуг. Пока суд да дело, данные продолжают использоваться. И мы не можем утверждать, стоит ли здесь сеть за интересы своих пользователей или просто воюет с конкурентом.
Десятки тысячза другим постят одну и ту же мантру: «Я недругим лицам, связанным с Facebook, разрешение использовать мои фотографии, информацию или сообщения… Содержание этого профиля является частной и конфиденциальной информацией. Нарушение неприкосновенности частной жизни может быть наказано по закону (UCC 1–308–1 1 308–103 и Римскому статуту)». Люди испугались новости об изменении правил конфиденциальности соцсети. Новость оказалась фейком, но этот месседж продолжали репостить – на всякий случай. Будто бы это поможет. Соцсеть уже не раз допускала утечку данных пользователей. Последний случай датирован апрелем этого года – мексиканская медиакомпания Cultura Colectiva держала на серверах Amazon S3 свыше 540комментариев, лайков, названий аккаунтов.
Считать себя условно защищенным от утечек может лишь та компания, которая ежегодно тратит на кибербезопасность миллиарды. Но глобально от них не застрахован никто. Так, в июне служба DeviceLock сообщила об утечке данных 900 тыс. россиян – клиентов Альфа-банка, ОТП банка и ХКФ банка, а также сотен сотрудников правоохранительных органов. «Утекли» их паспортные данные, номера телефонов, места проживания и работы.
Такая информация пользуется спросом, говорят аналитики компании Смарт Лайн Инк, которые провели исследование DarkNet и закрытых каналов Telegram в период с января по май этого года. «Наибольшее число предложений на черном рынке связано с данными из банков, микрофинансовых организаций, сотовых провайдеров – это около 70% предлагаемых «услуг» и уже «готовых» данных», – резюмировали эксперты. На облачные сервисы и маркетплейсы приходится 20% утечек, на госструктуры – 10%.
Легкомысленная «галка»
Но все это big data – большие данные. А сами мы оставляем свои данные в десятках мест, на тысячах ресурсов. И почти в каждом случае подписываем бумажку или ставим галочку о своем согласии на обработку персональных данных, рассылаем фотографии своих паспортов по первому требованию. Вся беда в том, что отношение к копиям паспортных данных стало очень легким, считает член совета Федеральной палаты адвокатов (ФПА) РФ Елена Авакян.
Существует правило, согласно которому можно в любой момент потребовать исключить свои персональные данные с того или иного ресурса. «Но давайте будем честны: мы всегда помним, в каких местах мы поставили эту «галку»? – спрашивает Елена Авакян. – Конечно, нет. И дело не в нашей беспечности, а в том, что мы просто вынуждены так поступать». Иначе, поясняет эксперт, мы лишимся привычных и комфортных услуг. Вы, например, можете не соглашаться с условиями лицензионного договора вашего мобильного телефона, но тогда и телефоном пользоваться не будете.
Получается, что к раскрытию данных нас принуждают. И при этом мы еще серьезно рискуем. По данным InfoWatch, в прошлом году во всем мире доля мошенничества в общей утечке данных составила 8,5%. В России в три раза больше – 24%. Конечно, некоторые сами виноваты, как одна жительница Улан-Удэ, которая опубликовала в Сети объявление о продаже самоката, а потом сама сообщила первому же позвонившему «покупателю» данные своей банковской карты и тут же лишилась 20 тысяч рублей. Но для многих факт исчезновения денег становится действительно неприятным сюрпризом. «В нашей стране персональные данные, копии паспортов нелегально можно приобрести в огромных количествах за очень небольшие деньги, – говорит председатель московской коллегии адвокатов «Скрипка, Леонов и партнеры» Игорь Скрипка. – Почему-то хранящиеся в органах внутренних дел, избиркомах, в других органах базы достаточно легко продаются и покупаются».
Любознательные аферисты
Этим летом 40 сотрудников администрации города Первоуральска с удивлением узнали, что понабрали займов в организации «Миг Кредит», каждый – на сумму от 50 тыс. до 100 тыс. рублей. Заподозрили в сливе данных одну из сотрудниц бухгалтерии – в микрофинансовой организации предъявили полный пакет документов на каждого из «задолжавших» сотрудников мэрии.
Вот еще одна история. Житель Саратовской области, сообщает местное управление МВД, «нашел сайт с открытой информацией о логинах и паролях пользователей электронной почты». Он проверил несколько ящиков и получил персональные данные одного из владельцев. С их помощью аферист умудрился пять раз оформить на него кредиты в сумме от 15 тыс. до 20 тыс. рублей.
В Волгоградской области только в июле было зарегистрировано несколько случаев, когда мошенники звонили с московских номеров и, представляясь сотрудниками служб безопасности банков, требовали сообщить реквизиты банковских карт и пароли в смс-подтверждениях. Таким образом им удалось получить с каждой жертвы от 8 тыс. до 400 тыс. рублей.
Есть случаи, рассказывает Елена Авакян, когда с людей взыскивали огромные суммы налогов за давно проданные, а то и вовсе утилизированные машины, уведомляя лиц по адресам, по которым они проживали 20–25 лет назад. Многим приходили уведомления от судебных приставов по адресу проживания на совершенно других людей, которые никогда там зарегистрированы не были. А ведь приставы действуют на основании вступивших в силу судебных решений.
И хотя один из самых распространенных видов мошенничества с персональными данными – получение кредита, с их помощью преступники могут зарегистрировать компанию, получить право собственности на квартиру или дом, отмечает эксперт Центра информационной безопасности компании «Инфосистемы Джет» Павел Новожилов. В мае, например, был зарегистрирован первый известный случай отъема квартиры с помощью фальсификации электронной цифровой подписи, которую использовали в поддельном договоре дарения. Росреестр эту «сделку» проглотил.
Всё это, приходится признать, довольно типичные случаи мошенничества. Однако недавно СМИ рассказали о невероятном прецеденте. Жительница Москвы обнаружила на портале госуслуг не оплаченную ею госпошлину в пользу налоговой инспекции города Каменск-Шахтинский Ростовской области, где она никогда не бывала прежде. Дальше – больше. Оказалось, что женщина задолжала 465 тыс. рублей жителю Донецка в той же области, о чем свидетельствовал выданный местным судом судебный приказ на основании долговой расписки. Нечего говорить, что расписка была подложной. Удивительно другое. Суд вполне удовлетворился этой распиской и паспортными данными «ответчицы». Даже регистрацию проверять не стал, хотя этот дом в Донецке по указанному адресу давно был снесен.
Кто виноват?
Что это? Халатность судьи, преступный сговор с мошенником? Неужели даже в суде так просто можно получить деньги с кого угодно?
Для начала следует пояснить, что выдача судебного приказа – это упрощенная форма взыскания задолженности. Три года назад Верховный суд расширил предел этой задолженности до 500 тыс. рублей. Согласно Гражданскому процессуальному кодексу, этот приказ может быть выдан, если «требование основано на сделке, совершенной в простой письменной форме». То есть на основании долговой расписки. И паспортные данные нужны как раз для составления такой расписки.
И хотя персональные данные легко утекают, их легко и недорого можно приобрести, использовать их не так просто, считает Игорь Скрипка. «Для того чтобы получить деньги с помощью судебного приказа или получить кредит по украденным данным, должна быть разработана целая преступная схема или должна быть допущена халатность целого ряда органов», – говорит он. По словам юриста, тут, как правило, замешаны либо сотрудники коммерческих структур, банков, либо сотрудники правоохранительных органов. Действительно, то и дело мы слышим о таких случаях.
Так, в марте этого года в Нижегородской области под следствие попал оперативник угрозыска, сливавший в интернет базы данных МВД. В апреле попался бывший следователь одного из московских райотделов полиции, который занимался продажей детализаций телефонных переговоров. В Саратове полицейского подозревают в продаже данных об умерших местному дельцу в сфере ритуальных услуг. А уж сколько уголовных дел возбуждено, сколько приговоров вынесено сотрудникам сотовых компаний, салонов связи, банков за все те же махинации с персональными данными!
«Как правило, при совершении мошенничества преступник, используя персональные данные, не действует в одиночку, ему тем или иным образом помогают сотрудники организаций, в которых происходит хищение», – соглашается Роман Скляр. Случай с выдачей судебного приказа по поддельной расписке – исключение, полагает Игорь Скрипка. Судья, считает он, вероятно, допустил халатность: слишком уж странно, что даже подлинность адреса не установили. Но есть и другое мнение: случившееся – распространенная практика, просто пока достоянием гласности стал только один случай.
Разве так трудно узнать, проживает ли человек по указанному в долговой расписке адресу? «Сегодня, с наличием портала госуслуг, смс-идентификации, биометрической идентификации нет никакой проблемы в том, чтобы убедиться, что человек уведомлен», – говорит Елена Авакян. Но почему-то происходит так далеко не всегда. Частенько довольно того адреса, что сообщил суду истец. Да, суды чрезвычайно перегружены. Именно это и стало поводом для введения упрощенного порядка взыскания долгов. Но ведь 500 тыс. рублей для очень многих россиян – невероятно большая сумма. А вернуть деньги в случае удачной аферы будет ох как непросто.
Что делать?
Если вы стали жертвой подобной аферы, первым делом бегите в банк и к приставам. Узнайте, остались ли деньги на счету, советует Елена Авакян. Если да, то нужно ходатайствовать о заморозке этих средств и обязательно обжаловать судебный приказ, а также подать заявление в правоохранительные органы для проведения проверки и возбуждения уголовного дела. Но все эти процедуры, хотя их и нужно проводить максимально оперативно, все равно потребуют колоссальных усилий и займут уйму времени. Уголовное дело возбудят только по завершении всех гражданско-правовых процедур, а это означает, что пострадавшие серьезно рискуют потерять деньги, а у мошенников возрастают шансы остаться безнаказанными.
Не каждый решится пройти такой путь. Не факт, что правоохранители добьются привлечения виновных за мошенничество с персональными данными. Правда, у Следственного комитета уже наработан алгоритм по выяснению того, являлся ли действительно человек директором фигурирующей в материалах уголовного дела фирмы или он стал так называемым «номиналом», отмечает Игорь Скрипка. Есть свои полномочия и у Роскомнадзора, но вот ресурсов ему явно не хватает, говорит руководитель практики интеллектуальной собственности и информационного права юридической фирмы «Максима Лигал» Максим Али. «Количество компаний, работающих с данными, огромно, а численность аппарата госоргана ограниченна», – поясняет он.
Очевидно, потребуются изменения и на законодательном уровне. Так, Госдума уже приняла в первом чтении поправки в закон «О государственной регистрации недвижимости». Нововведение обязывает Росреестр ставить отметку о возможности регистрации недвижимости в электронном виде с помощью электронной подписи. Такая отметка ставится только на основании личного заявления собственника объекта или его законного представителя или посредством почтового отправления.
Но это не решает глобальной проблемы, особенно когда речь идет о судах. В большинстве стран государство считает недопустимой саму возможность даже предположить, что судебная система может быть с такой легкостью использована для совершения мошенничества, говорит Елена Авакян. «Ведь речь идет о престиже государства, – отмечает она. – Это то, для чего государство в глазах его граждан вообще существует». Адвокат приводит в пример Азербайджан, где была введена система автоматической выдачи судебного приказа. Прежде чем его выдать, электронная система проверяет по целому перечню чек-листа данные обратившегося за приказом лица и того, к кому он обращен. «Если хотя бы одна галочка не светится как подтвержденная, судебный приказ выдан не будет», – поясняет эксперт.
Мы оставляем свои данные в тысячах разных мест, всех уже не упомнить. Но помним ли мы о том, что каждый раз рискуем при этом стать жертвой мошенников?
Shutterstock / FotodomЕще один законодательный пример – Общий регламент по защите персональных данных (GDPR) Евросоюза. «Этот документ куда лучше учитывает, например, вопросы защиты пользователя в случае утечек персональных данных, поскольку возлагает на компании ряд специфических обязанностей (публиковать сообщения об утечке, докладывать об инциденте в надзорный орган и т. д.)», – говорит Максим Али.
В нашей стране нужно принять более жесткую политику по отношению к тем данным, которые раскрываются только в юридически значимых целях, считает Елена Авакян. «Копия паспорта должна перестать быть той единственной «священной коровой», на основании которой можно утверждать, что человек действительно заключал ту или иную сделку, – утверждает она. – Должны появиться иные методы идентификации, и они уже появляются».
В России предпринимается ряд мер, которые могут в будущем сыграть серьезную роль в реальной защите персональных данных. Так, ФПА совместно с Инновационным центром «Сколково» написали законопроект об электронной подаче заявлений в суд и об электронном взаимодействии с судами, включая участие в судебных заседаниях онлайн. «Там же речь идет и об электронной интеграции судов с порталом госуслуг», – говорит адвокат. Смысл в том, чтобы каждый человек мог получать уведомления о ведущихся в отношении него процедурах (судебных, административных, налоговых – любых) через портал госуслуг. И у судов появятся все возможности оперативно отправлять уведомления по всем имеющимся подлинным адресам указанных в заявлениях лиц. Сейчас этот законопроект находится на рассмотрении федерального правительства. Параллельно правительство решает вопрос о суперсервисе электронной подачи заявлений, который также будет связан с порталом госуслуг.
Ведь речь идет о престиже не только судебной, но и банковской системы. Если банкам перестанут доверять, то и деньги по старинке будут хранить под матрасом. И все же универсальным советом для всех остается соблюдение цифровой гигиены. Тут все эксперты как один хором заявляют: сочиняйте сложные пароли, меняйте их регулярно, никому не сообщайте свои банковские данные, не пользуйтесь сомнительными интернет-ресурсами.