Почти 31% похищенной информации во время атак на серверы различных организаций — личные персональные данные. Еще 23% захваченных сведений — учетные данные. Эти подсчеты компании Positive Technologies говорят об увеличении интереса к сведениям о людях у киберпреступников. По версии разработчиков антивирусных решений ESET, мошенников интересуют данные о платежеспособных клиентах — покупателях автомобилей, дорогих гаджетов, ювелирных изделий, пациентах платных медицинских клиник, а также о пенсионерах. Последние могут располагать значительными накоплениями, к тому же их проще ввести в заблуждение.
Личные данные попадают в базы на черном рынке чаще всего через инсайдеров или взлом информационных систем, рассказал «Известиям» Павел Коростелев, руководитель отдела компании «Код безопасности».
— В первом случае сам сотрудник организации продает имеющиеся у него персональные данные коллег, заказчиков, клиентов и так далее, — говорит специалист. — Во втором — злоумышленники похищают информацию из приложения, сайта или информационной системы.
По словам эксперта, стоимость базы с персональными данными граждан назвать сложно, так как она сильно зависит от многих факторов. Прежде всего играет роль то, какие персональные данные есть в базе. Если это только имя, фамилия и номер телефона, то цена будет низкая. Если к этим сведениям прилагается электронная почта и пароль для доступа (в открытом или зашифрованном виде), то стоимость базы возрастает. А покупка таких сведений, как номер паспорта, реквизиты банковской карты, суммы остатков на счетах, будет по карману не всем желающим. Павел Коростелев подчеркивает, что чем меньше людей видело базу, тем выше ее цена.
— Конечно, криминал интересуют прежде всего данные карт, мобильных телефон и та информация, которая непосредственно позволяет похищать деньги, валюту и цифровые активы, — рассказывает Саркис Дарбинян, управляющий партнер юрфирмы Digital Rights Center. — Однако порой и абсолютно бесполезные на первый взгляд данные могут интересовать мошенников. Например, данные геолокации, где вы жили раньше, где вы обедаете, могут помочь собрать больше информации, чтобы потом совершить прицельную атаку. Мошенники часто применяют методы социального инжиниринга, то есть, имея детальную информацию о частной жизни лица, могут расставлять ловушки в момент телефонного разговора. Поэтому любые данные, которые обогащают уже имеющиеся базы, имеют ценность, за которые на черном рынке готовы платить.
Наличие в руках преступников исчерпывающего перечня документов о человеке позволяет наносить точный таргетированный удар.
Самое безобидное, что можно придумать с чужими данными, — навязывание коммерческих услуг. По словам эксперта Павла Коростелева, преступники могут использовать персональные данные граждан, в частности для организации спам-рассылок. Например, зная, когда у человека заканчивается полис ОСАГО, страховые брокеры могут начать навязчиво предлагать свои услуги. Кроме того, персональные данные могут быть использованы для мошенничества, когда звонят якобы из банка и предлагают перевести деньги на безопасный счет. В конце концов злоумышленники могут просто взять кредит в онлайн-сервисе, зная паспортные данные человека.
Интересно, что базы личных данных интересуют не только аферистов. По словам Коростелева, персональные данные в виде кредитной истории покупают, например, банки для оценки кредиторов.
— Это не совсем корректная история, но договоры заключаются обычно не в открытую. Просто иначе купить персональные данные серьезные конторы не могут, — отмечает специалист.
— Корпорациям хочется знать о вас всё: кто вы, сколько денег вы тратите и на что, какие места вы посещаете, кого вы поддерживаете, — объясняет Саркис Дарбинян, управляющий партнер юридической фирмы Digital Rights Center. — Поэтому чисто теоретически белый рынок интересует практически все то же самое, что и черный, за исключением кардинговых сетов украденных карт.
Формально закон защищает персональные данные граждан, но всегда найдутся оговорки, позволяющие одним партнерам поделиться сведениями о клиенте с другими.
— Существует множество различных схем, когда действующее законодательство можно обойти, — говорит Дарбинян. — И специалисты рекламного и операторского рынка это прекрасно знают. Зачастую это все оформляется договорам оказания услуг, договорами предоставления прав на ПО. Например, когда скоринг гражданина может осуществляться на стороне заказчика с данными, в отношении которых он сам является оператором.
— Нельзя сказать, что именно какие-то конкретные документы наиболее уязвимы для утечек. Например, если в вашей организации есть база сотрудников с их именами, номерами паспортов, телефонов и трудовыми книжками, то велика вероятность, что довольно скоро она появится на черном рынке, тем более данные в ней, что называется, упакованы и удобны для использования, — комментирует Павел Коростелев.
По мнению эксперта, сложно выделить документы, утечка которых более критична. И тем менее особое внимание стоит уделить хранению документов о состоянии здоровья.
— Любые документы могут потребоваться для организации получения услуг внешними сервисами. В случае отказа от их предоставления человек не сможет с этими сервисами работать.
Юрист Дарбинян обращает внимание и на необходимость осмотрительности в социальных сетях.
— Да и, конечно, стоит внимательно относиться к тому, что и как мы выкладываем в своих социальных сетях. Машины активно парсят (от англ. parse — анализировать, собирать информацию. — «Известия») нас каждый день, создавая все более отчетливый портрет каждого. При этом не стоит забывать, что в больших городах технологии распознавания лиц стирают грань между онлайном и офлайном. Теперь, даже находясь не в Сети, машины продолжают считывать наши перемещения и даже наши эмоции, отражающиеся на лице. Поэтому, к сожалению, у людей становится все меньше выбора. И уж точно от их согласия зависит все меньше.
По мнению эксперта, профилактические меры, способные минимизировать риск утечки личных сведений, включают в себя скептическое отношение к предложению выслать персональные данные, внимательное изучение сервисов и сайтов перед отправкой документов, а также регулярную отправку заявлений об отзыве права работы с персональными данными в организации и сервисы, с которыми больше не планируется взаимодействовать.
— Если вы нашли персональные данные в открытом доступе, то нужно написать заявление в Роскомнадзор, сообщив, что не давали права на обработку и публикацию данных сторонним организациям. Ведомство постарается убрать информацию из интернета, а компанию, которая выставила данные в открытый доступ, могут оштрафовать, — комментирует Коростелев.
Существует и альтернативный путь защиты своих прав.
— Есть еще механизм права на забвение, когда можно самостоятельно обратиться к поисковикам для удаления ссылок из поисковой выдачи, — рассказывает юрист Дарбинян. — Можно также самостоятельно обратиться в суд, наняв компетентных юристов, специализирующихся в сфере приватности и IT. Дело в том, что трансграничная природа интернета с множеством надстроек анонимности не позволяет простому человеку, понять, кого привлекать. Поэтому порой необходимо проводить расследование инцидента, искать цифровые следы, в результате чего можно установить виновное лицо, конкретного автора сообщений или владельца сайта. В таком случае гражданин может взыскать с лица, незаконно обрабатывающего его данные, всю сумму ущерба и компенсацию морального вреда.
Павел Коростелев полагает, что решение проблемы защиты персональных данных нельзя назвать простым. Таких важных сведений много, и они могут по-разному обрабатываться. Однако специалисты уверены в том, что необходимо ужесточение регулирования при работе с данными, а также увеличение штрафов в КоАП за нарушение законодательства в области персональных данных.
— Надо обязать организации и сервисы уведомлять власти и пользователей об утечках личной информации, — говорит Коростелев.
Сама природа хищения личных данных главным образом связана с проблемой удаленной идентификации человека — как достоверно узнать, кто по ту сторону экрана оформляет кредит или совершает транзакцию — реальный владелец документов или кибермошенник? Павел Коростелев считает, что проблема удаленной идентификации человека, в частности, может быть решена с помощью цифрового паспорта.
— В этом случае на запрос организации или сервиса будет отправляться не копия паспорта, а определенный набор символов, который подтвердит его принадлежность конкретному человеку.
Иван Петров