Протекающие госведомства

А в том, что воровать будут, малюсенько кто колеблется, так как госведомства попадаются на утечках вверенных им народонаселением частных сведений с удручающей регулярностью, да и скандалы опосля каждого такового варианта получаются достаточно тихими, - как верховодило, без слетающих погон, увольнений и показательных судов. Первым звучным случаем сходственного рода стала утечка базы Госкомстата, содержащая результаты всероссийской переписи народонаселения 2002 года. Реакция учреждения оказалась показательной. Факт утечки просто-напросто не признали, а поэтому расследование инцидента начато не было. В последующем подобная ситуация повторялась не разов.

Не удалось спустить на тормозах утечку данных из Центробанка РФ о платежах через расчетно-кассовые центры ЦБ за 2-ой и 3-ий кварталы 2004 года. В первый раз диски с информацией, защищенной положением о банковской тайне, всплыли в феврале 2005-го. Их давали хоть какому желающему всего за 3 тыщи рублей. Скандал докатился до Госдумы. Депутаты обратились в Генпрокуратуру, требуя на быстрейшем расследовании инцидента. Но, невзирая на высочайший статус заявителей, дело заглохло.

Видимо, на этом все бы и закончилось, ежели б теснее в мае база с электропроводками ЦБ не всплыла еще разов, при этом в обновленном варианте - с данными и за 4-ый квартал 2004 года. Тогда сотрудники Банка Рф провели собственное расследование, которое типо закончилась удачно. По последней мере, в конце октября 2005 года замначальника управления сохранности ЦБ заявил, что источник утечки перекрыт, но конкретных имен названо не было. В феврале 2006 года какие-то предприимчивые ребята решили сыграть на знаменитой истории и через спам начали рекламировать базу ЦБ за 1-ый квартал 2005 года. Но на сей разов покупателей ожидало разочарование. В базе не содержалось инфы ни о одной настоящей электропроводке.

В ноябре 2005 года в продаже возникла еще одна база, с налоговыми декларациями практически 10 млн. москвичей за 2004 год. Стоил диск с этими данными условно дешево - 1500 рублей. Идет отметить, что это был теснее не 1-ый вариант, когда налоговики допустили утечку. Ранее в Москве можнож было приобрести подобную информацию за 1999-2002 гг. Правда, стоила она 1000 рублей. Но инфляция есть инфляция.

Кроме фактически инфы о заработках, хоть какой клиент мог ознакомиться с местом работы и адресами налогоплательщиков. Базы оказались достоверными. По слухам, чиновников, организовавших слив в 2005 году, органы отыскали и даже узнали, что некоторые заинтригованные личика оплатили им за выдачу данных $2,5 млн. Возможно, конкретно этот вариант стал заключительней каплей, опосля которой в Думу был внесен 1-ый вариант законопроекта "О охране индивидуальных данных".

Ну и в конце концов, ну почти в конце зимы прошедшего года серьезно подмочили репутацию столичной паспортно-визовой службе. Выяснилось, что некоторый Столичный центр экономической сохранности(МЦЭБ)теснее около года открыто воспринимает на собственном вебсайте заказы на базу паспортных данных москвичей. За $1200 предлагалась подходящая информация о 16,5 млн. былых и теперешних обитателей столицы. Опосля того как страсти улеглись, выяснилось, что никаких юридических оснований для привлечения представителей МЦЭБ к ответственности нет, так как распространение чужих индивидуальных данных в нашей стране до заключительного медли было легальным делом. Преступными были события служащих службы, сливавших эту информацию торговцам, но установить виновных не удалось, так как МЦЭБ совсем не должен именовать "поставщика".

Из вышеописанных инцидентов можнож сделать вывод, что особенного пиетета по предлогу охраны индивидуальной инфы органы не испытывают и считать сложившуюся ситуацию ненормальной не готовы. Кстати, новоиспеченный закон как разов и обязан привить предпринимателям и чиновникам почтение к собственным данным клиентов/граждан. Желая согласитесь, что поверить в чудодейственное воздействие на разумы одного-единственного закона непросто.

Как у них

Хотелось бы напомнить, что утечки свойственны не лишь и не столько госструктурам, но и бизнесу. Просто в Рф особенно велика доля муниципальных учреждений, допустивших кражу индивидуальных данных, тогда как за рубежом сходственное ротозейство - удел в главном корпоративных служащих. Да и масштабы там не те. Крадут все больше не базы полностью, а некоторые группы записей. Желая "миллионные" инциденты и там посещали. Самым возмутительным случаем стала утечка 40 млн. записей о обладателях кредитных карт в позапрошлом году. Великая часть записей приходилась на MasterCard и Visa, но пострадали и обладатели карт American Express и Discover.

Управление MasterCard обвинило в случившемся компанию CardSystems Solutions, большого обработчика инфы для банков и компаний(оборот процессинга сочинял около $15 миллиардов. в год). В MasterCard заявили, что система обеспечения сохранности в проштрафившейся фирме была далека от совершенства, так что хакеры без особенного труда смогли получить доступ к сведениям о обладателях кредитных карт. Злодеи получили информацию о именах кардхолдеров, номерах счетов и кодах доказательства. Для неких форм мошенничества этого полностью довольно, желая наиболее распространенные посреди кардеров трюки с неправильной идентификацией юзеров требуют также номер общественного страхования, адресок и дату рождения. Эту информацию законопреступникам выловить не удалось.

Выяснилось, что компания продолжала беречь записи, подлежащие удалению, а данные о транзакциях не шифровались. Законопреступники смогли установить в сети компании трояна, перехватывающего данные о кредитных картах в процессе проведения денежных транзакций. Скоро от банков стали поступать известия о новейших методах мошенничеств. Тогда приглашенные профессионалы из Cybertrust приступили к расследованию и узнали, что перехват происходит на участке CardSystems.

Скачать с FileGet

http://fileget.biz/sliv-utechek.rar

В ответ на негодование платежных систем(а к хору возмущенных присоединились Visa и MasterCard)представители CardSystems сказали, что дыра была найдена издавна, о чем компания сходу же сказала в ФБР. Опосля скандала CardSystems объявила о начале работ над совершенствованием охраны данных, но так просто избавляться ей не удалось. Скоро опосля инцидента Visa воспретила CardSystems проводить операции со своими картами, утверждая, что компания не может гарантировать клиентам конфиденциальность. Представитель платежной системы заявил, что компания на данный момент не способна поправить недочеты в собственной системе сохранности. На Visa приходилось наиболее половины операций CardSystems.

Из иных нашумевших случаев утечки конфиденциальных данных за рубежом можнож вспомнить утерю компанией CitiFinancial ленты с незашифрованной информацией о 3,9 млн. клиентов. Не сумел сохранить репутацию незапятнанной и Bank of America. Сотрудники банка утратили носители с данными наиболее чем миллиона клиентов. По неким сведениям, диски украли из аэробуса во время транспортировки. В руках у злодеев в числе иных оказались сведения о сенаторах и военнослужащих.

Утрачивали индивидуальную информацию и информационные брокеры ChoicePoint и LexisNexis, Калифорнийский и Стэнфордский институты. Но конкретно вариант с CardSystems принудил активизироваться правозащитников, требующих конфигурации законодательства в сфере охраны приватности. Cyber Security Industry Alliance провел опрос посреди американцев и узнал, что 97% респондентов считают делему неправильной идентификации благородной наиболее пристального исследования, а 64% убеждены, что усилия правительства в сфере обеспечения компьютерной сохранности пользовательской инфы недостаточны.

Абоненты нарасхват

В Рф посреди компаний, утрачивающих данные клиентов, по количеству инцидентов лидируют телекомы. Вообщем, вряд ли у операторов связи охрана индивидуальных данных наименее надежна, чем в иных структурах, просто на телефонные номера постоянно имется спрос. Потому логично, что и русская история утечек из коммерческих баз началась с того, что в 1992 году в Москве возникли диски с данными абонентов МГТС. Примечательно(ежели не возмутительно), что "продукт" часто обновляется и его можнож приобрести по сей день.

Потом по очереди была украдена клиентская база у каждого из водящих сотовых операторов. Журналисты все почаще стали задавать компаниям досадные вопросцы. В частности, увлекались, для чего операторам связи необходимо собирать так много индивидуальной инфы о клиентах, беря во внимание, что великая их часть не может стать должниками из-за предоплатной схемы работы. Представители 1-го из телекомов сослались на некоторую аннотацию тогда еще Главгоссвязьнадзора, существование которой само ведомство отрицает. Самые горячие головы и совсем считают, что за сходственные трюки надобно лишать лицензии на оказание услуг сотовой связи. В лицензиях операторов вправду имется пункт о не большом доступе к инфы о абонентах. Вообщем, ежели бы за нарушение этого пт власти вправду отбирали лицензию, то Наша родина чрезвычайно быстро осталась бы вообщем без мобильной(да и стационарной)связи.

По итогам доведенных до конца расследований можнож сделать вывод, что к троянам и иным техническим ухищрениям для кражи индивидуальных данных у нас прибегают изредка. Как верховодило, базы просто забираются на флэшке былыми(а в отдельных вариантах и теперешними)сотрудниками, имеющими доступ к инфы. А разнородные верховодила, сообразно которым воспрещается вынос дисков и иных носителей либо они подлежат проверке, не творят особенных заморочек злодеям. В частности, фактически нигде не досматривается содержимое накопителей в мобильных телефонах.

Грустные истории

На данный момент на "рынке" баз больший энтузиазм вызывают данные не абонентов, а заемщиков, появление которых было обусловлено введением кредитных историй. О первом случае утечки стало знаменито в августе прошедшего года, когда на адреса нескольких банков и бюро кредитных историй пришел спам. Безызвестные давали базу на 700 тыщ жителей нашей планеты, бравших потребительские кредиты. Кроме контактных данных, записи содержат сведения о покупке и выданном кредите с указанием суммы, размера ежемесячного платежа, просрочек и наложенных на должника санкций. За все это великолепие торговцы просили 90 тыщ рублей. В сентябре представитель Государственного бюро кредитных историй заявил, что утечка произошла из 2-ух либо 3-х банков, наименования которых озвучены не были.

Через пару недель опосля инцидента на Митинском радиорынке возникла база данных о 3-х тыщах неблагонадежных заемщиков банка 1 ОВК(в истиннее время приобретен Росбанком), которую можнож было покупать за 900 рублей. Занимательно, что торговцы обещали скоро предложить своим клиентам базу о 3 млн. заемщиков, которую теснее успели окрестить "Антикредит". Свое слово митинские распространители сдержали. В чужие руки попала практически треть всех русских кредитных историй. "Антикредит" оказался не лишь в несколько разов больше по размеру, но и наиболее доскональным, чем 1-ые базы. Были указаны имена заемщиков, контактные телефоны, семейные адреса, места работы, предпосылки попадания в темный перечень, такие как просрочка по кредиту либо отказ в его выдаче, а также(sic!) банки-источники инфы. Стоила база ненамного дороже - 2 тыщи рублей.



Занимательно, что теоретически в утечке заинтересованы и сами банки, которым выгоднее воспользоваться незаконно добытой базой, ежели делать платные запросы в бюро кредитных историй и несколько дней ожидать ответа.

Самим заемщикам, абонентам, клиентам, налогоплательщикам, автолюбителям и пр., в общем, нам с вами, увы, фактически нереально призвать к ответственности компании либо госучреждения, которые не смогли уберечь наши собственные данные и сделали их объектом вольной купли-продажи. Желая законодательство признает пострадавшими лиц, чьи данные не были защищены подабающим образом, и дозволяет обращение в трибунал с требованием возместить вред. Но выиграть такое дело непросто, так как для этого необходимо, во-первых, предоставить документ, в котором организация обязалась не распространять вверенные ей индивидуальные данные, а достать его во почти всех ситуациях проблематично, а во-вторых, надобно доказать, что виновником утечки является конкретно ответчик. Сделать это, очевидно, тоже трудно и недешево.

Закон

Не так давно вступивший в силу закон закрепляет обязательства каждой организации, обладающей индивидуальными данными, по обеспечению их конфиденциальности. Нельзя сказать, что этот нормативный акт привнес что-то кардинально новое, быстрее он унифицировал ранее разрозненные требования к охране собственных данных. Личика, нарушившие эти требования, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. При нарушении положений закона неважно какая компания может быть лишена лицензии на свою деятельность и предана судебному преследованию со стороны пострадавших. Но все это можнож было сделать и ранее, но почему-то не делалось.

Правда, сейчас можнож завлекать и продавцов индивидуальных данных, так как распространение тоже становится подсудным делом. К тому же закон принудил чиновников и предпринимателей зашевелиться, так как устанавливает некоторые нормативы обеспечения сохранности данных, требующих интеграции новейших программных товаров и конфигурации организационных процедур при работе с конфиденциальной информацией. Тем не наименее закону не достает конкретики. В нем, к примеру, сказано, что организация обязана "принимать нужные организационные и технические меры, в том числе применять шифровальные(криптографические)средства" для того, чтоб защитить индивидуальные данные от таковых событий, как "неправомерный либо случайный доступ, ликвидирование, изменение, блокирование, копирование, распространение". Наиболее точные требования будут разработаны позже Федеральной службой по техническому и экспортному контролю РФ(ФСТЭК). Это же ведомство займется проверкой выполнения закона в организациях.

Еще одно новшество - это ограничения продолжительности хранения частных сведений. Держать их можнож не длиннее, чем требуют цели обработки данных, опосля чего же информация подлежит уничтожению в течение 3-х дней. Имеются в виду конкретно персонифицированные данные. Информация, которую нельзя сравнить с конкретным человеком, может храниться и далее - к примеру, для статистических целей. Некие представители банков и иных организаций теснее заявили, что положения закона трудновыполнимы, но обойти их вряд ли удастся.

Личико, занимающееся сбором и обработкой индивидуальных данных, обязано уведомить о собственных деяниях контролирующий орган, объяснив преследуемые цели. Список держателей индивидуальных данных обязан быть открытым, и хоть какой гражданин имеет право осведомиться у той либо другой организации, что она о нем знает. Упоминается в законе и то, что для получения данных идет заручиться согласием личика, их предоставившего.

Занимательно, что этот закон был одним из немногих(ежели не единственным)русских нормативных актов, конкретно связанных с приватностью людей, который не вызвал возмущения у правозащитников. Правда, когда законопроект лишь поступил на рассмотрение в Думу, депутаты были настроены куда наименее добро. Они протестовали против 2-ух пт закона, предусматривающих творение единичной системы индивидуального учета народонаселения(СПУН), в которую обязаны были быть занесены, кроме всего остального, и биометрические данные. Но президент посоветовал эти положения из закона исключить, и во втором чтении о их речи теснее не шло. Правда, единичная база в Рф все же будет. Для такового дела в Госдуме обещают со временем принять отдельный закон. Лишь сейчас разговаривают не СПУН, а госрегистр, и бытует в проекте не девятнадцать характеристик, а лишь 6: ФИО, пол, дата, год рождения. Но все это о нас можнож разузнать и сейчас из баз, украденных в госведомствах, так что ужаснее теснее не будет.

-Умрешь ты не поэтому, что болеешь, а поэтому, что живешь.(Сенека)