Информация в современном мире является одним из наиболее востребованных товаров. Рассматривая вопрос продажи конфиденциальной информации, можно увидеть два аспекта – реализацию данных, полученных правомерным или неправомерным путем. Вторая ситуация связана с легальной передачей прав собственности на массивы данных ограниченного доступа при покупке бизнеса. В этом случае массивы сведений могут быть уязвимы в процессе предварительных переговоров. 

Рынок реализации персональных данных

Наибольший риск для бизнеса несет хищение данных ограниченного доступа с целью их последующей реализации, производимое хакерскими группировками или инсайдерами, действующими в своих интересах или в интересах конкурентов. Объем рынка конфиденциальной информации растет ежегодно. Хакеры охотятся за средствами на счетах граждан, персональными данными и иными закрытыми от широкой публики сведениями.

Черный рынок персональных данных, ранее представленный на оффлайн-площадках, например, на радиорынках, сегодня сосредоточился в Даркнете, закрытом секторе Интернета. Вход на ресурсы в большинстве случаев возможен только при помощи TOR или аналогичных программ, но на многие ресурсы можно попасть через обычный поисковик. 

Огромное количество предложений сведений группируется по двум параметрам:

• субъекту, у которого данные похищаются (конкретному банку или сотовому оператору);
• характеристикам данных (пробив по базам автовладельцев, счетах, недвижимости граждан).

Наиболее массовым товаром оказываются базы персональных данных в формате Excel по регионам России. В них можно найти ФИО, пол, телефон, паспортные данные (серия, номер, кем и когда выдан), СНИЛС, адрес регистрации и проживания. Многие базы сформированы в 2017-2018 гг. Стоимость одной записи составляет 20-25 копеек. Эта информация используется для рассылки спама и для попыток мошенническим путем похитить денежные средства с использованием методов социальной инженерии.

Отдельными пакетами продается визуальная информация, позволяющая идентифицировать личность гражданина:

• фотография паспорта и гражданина с паспортом в руках. Такой комплект стоит от 150 рублей. Данные получают в бюро пропусков и от интернет-проектов, где требуется подтверждение паспортных данных, например, электронных кошельков или онлайн-казино;
• набор скан-копий паспорта, СНИЛС, водительского удостоверения и ИНН, стоит от 300 рублей, источниками утечек часто оказываются банки.

За последний год выросло число предложений по пакетам документов обладателей банковских карт. Если необходимо оформить банковскую карту на третье лицо, то в Даркнете можно купить уже оформленные карты российских банков (Сбербанк, Тинькофф, Альфа-банк). Стоимость– от 5 000 до 12 000 рублей за карту. К пластику прилагается уже оформленный договор, скан-копия паспорта владельца счета, ПИН-код, привязанная SIM-карта, кодовое слово, логин и пароль для интернет-банка. Эксперты отмечают, что на этом рынке выросли цены, помимо Сбербанка на рынок вышли малоизвестные кредитные учреждения, расширился список номинальных владельцев карт. Оживление рынка связано с изменением структуры теневых финансовых потоков.

Помимо пакетов документов и банковских карт, в Даркнете можно приобрести и услуги, которые на сленге называются «пробивом» или получением более подробной информации о человеке по его ФИО или номеру паспорта. 

К основным услугам на рынке пробива относится получение данных из баз данных мобильных операторов:

• Билайн. Предоставляется услуга детализации звонков и смс абонента по цене от 2 000 рублей и определение местоположения, владельца номера в момент запроса. Стоимость 3 000-4 000 рублей;
• МТС. Цены выросли за год более чем на 50 процентов. За детализацию посредники просят от 15 000 до 20 000 рублей, за одно определение местонахождения одного абонента – от 10 000 рублей;
• Мегафон – детализация и установление местонахождения абонента стоят одинаково – 10 000 рублей;
• Теле 2 – стоимость детализации звонков и сообщений стартует с 5 000 рублей.

Эксперты отмечают, что за последний год цены на рынке пробива выросли более чем в пять раз. Появилась и новая услуга – поиск пяти телефонов, которые в конкретный момент находятся ближе всего к абоненту. Стоимость ее начинается от 90 000 рублей.

Текущая ситуация на рынке банковского «пробива»:

• Тинькофф-банк и Сбербанк. В Даркнете можно заказать выписки по счету гражданина по цене от 1 500 за месяц до 7 500 рублей за полгода;
• Альфа-Банк. Цены такие: 2 000 рублей за выписку за месяц и 8000 рублей за данные по счету за полгода;
• Почта Банк, Банк Авангард, Русский стандарт. Выписка по счету или по карте гражданина за месяц стоит от 2 000 рублей;
• Уралсиб. Выписка по счету или карте за месяц – от 8 000 рублей.

Особенность рынка черных банковских информационных услуг в том, что на нем мало продавцов первичных данных, на каждого из них приходятся десятки и сотни посредников. Цены у посредников существенно выше, а ценовая политика зависит от региона. Интересно, что по некоторым банкам, например, ВТБ, предложений практически нет.

Помимо получения информации у частных организаций – банков и операторов сотовой связи – на черном рынке сведений о гражданах доступна услуга пробива по государственным базам данных. 

Наибольшей популярностью пользуется транспортная тематика:

• ГИБДД. Данные о штрафах, владельцах автомобилей, правах продаются от 1 500 рублей за запись;
• система «Розыск-Магистраль», агрегирующая сведения о передвижениях граждан на самолетах, поездах, автобусах, паромах. Пробив стоит от 2 000 рублей за запись;
• данные доступа к московским камерам видеонаблюдения системы «Безопасный город» – от 5 000 рублей.

Анализируя сложившуюся ситуацию на рынке реализации данных о гражданах, эксперты делают выводы:

• количество предложений растет, что говорит и о росте спроса, и о том, что интерес к этому способу нелегального заработка возрастает;
• резкий рост цен на банковский пробив свидетельствует о действенности политики ЦБ РФ в области повышения уровня защиты персональных данных;
• большое количество предложений информации от мобильных операторов – доказательство крайне низкой степени защиты данных в этом секторе рынка;
• резкие колебания цен, которые случаются периодически, могут свидетельствовать о проведении очередной успешной спецоперации против поставщиков данных.

Перспективы российского рынка нелегальной реализации персональных данных неясны, так как регуляторы постоянно усиливают меры защиты и случаи хищения больших объемов информации происходят все реже.

Легальный рынок реализации данных

Помимо черного рынка данных, в России появилась идея создания легальной площадки, на которой российские граждане могли бы продавать персональные данные заинтересованным бизнесменам. Фонд развития интернет-инициатив (ФРИИ) и израильский Нuman Digital Capital планируют вложить до 250 млн рублей в создание платформы «Датамания» на базе разработок IDX, дочерней компании ФРИИ, управляющей платформой для верификации данных физических и юридических лиц. Предполагается, что проект привлечет до 1 млн пользователей за первый год, которые за небольшое вознаграждение дадут доступ бизнесу к своим персональным данным.

Для реализации этого проекта предполагается разработка изменений в законодательстве, разрешающих частично свободный оборот персональных данных. Авторы идеи считают, что российский гражданин на предоставлении доступа бизнесу к своим данным сможет заработать до 60 тысяч рублей в год. Прототип платформы уже протестирован, по мнению экспертов, ее работа может оказаться востребованной для граждан и бизнеса. 

Иностранный рынок реализации персональных данных

Российский рынок данных имеет свою специфику, обусловленную потребностями заказчиков и разным уровнем информационной защиты операторов персональных данных. Немного другая ситуация складывается на иностранных рынках. Они изучены гораздо глубже, чем российский, и формирующиеся на них, особенно в США, тенденции дают возможность сделать вывод о перспективах российского рынка нелегального оборота персональных данных.

В исследовании компании Metric Labs говорится, что большой пакет персональных данных американского гражданина, включающий информацию о кредитной карте, можно приобрести по цене от 1 200 долларов. Наиболее часто на продажу выставляются номера карт медицинского страхования, они стоят от 1 доллара за запись. Uber регулярно поставляет на рынок данные об учетных записях пользователей. Это позволяет узнать маршруты поездок и ездить за чужой счет. Пользуются спросом логины и пароли от электронных кошельков, стоимость данных начинается от 250 долларов.

Особенностью американского рынка является приобретение персональных данных с целью пользования ресурсами их владельца. Помимо такси и номеров карт медицинского страхования, популярностью пользуются взломанные учетные записи участников электронных аукционов, они дают возможность покупать товары за счет ресурсов их владельцев. В России этот вид нелегального интернет-бизнеса развит существенно меньше.

В США работает три наиболее крупных рынка данных в Даркнете: Dream, Point и Wall Street Market. Среди представленных на них предложений комплексные пакеты персональных данных граждан. Профессионалы информационного рынка могут находить десятки аккаунтов гражданина в социальных сетях и иных ресурсах, формировать в единый пакет и предлагать клиентам по цене от 1 000 долларов. 

Интересно, что не все сведения о гражданах попадают в Даркнет нелегально. Долгое время провайдерам было разрешено продавать персональные данные пользователей. Закон, частично ограничивающий это право, был принят только при Обаме. Этот закон был отменен президентом Трампом, теперь провайдеры беспрепятственно могут продавать данные о посещении сайтов и геолокации посетителей.

Ответственность за продажу ПД

Эксперты отмечают, что количество преступлений, связанных с хищением и реализацией информации, в России растет с каждым годом. Существенно сократились хищения данных в государственных органах, ФНС, Росреестре, банках, но повысилось число нападений на информационные базы мобильных операторов и частных компаний. 

Хищения информации осуществляются следующими путями:

• прямым копированием данных инсайдером, иногда с использованием логина и пароля коллеги;
• внешним проникновением в информационные сети;
• перехватом информации, направляемой по сетям связи;
• заражением информационных сетей вредоносным программным обеспечением, находящим необходимую информацию и передающим ее вовне системы;
• методами социальной инженерии, при которой граждане добровольно предоставляют мошенникам необходимую информацию.

Эти способы получения данных для реализации часто нарушают нормы действующего законодательства. Уголовный кодекс РФ содержит нормы, призванные привлечь к ответственности лиц, незаконно торгующих персональными данными. 

Наибольшей защите подлежат:

• государственная тайна;
• коммерческая и банковская тайна;
• персональные данные сотрудников и клиентов.

Российское право либерально к продавцам сведений, предусмотрены невысокие сроки наказаний. Чаще всего к ответственности привлекаются лица, осуществившие хищение информации у своего работодателя, практически никогда не удается наказать организатора или посредника. Это приводит к тому, что объем черного рынка сведений о гражданах не снижается, а растет.

Наиболее часто применяется ст. 272 Уголовного кодекса РФ «Неправомерный доступ к компьютерной информации». Большая часть дел связана не с самим фактом нелегальной передачи конфиденциальной информации третьим лицам, а с реализацией или использованием вредоносных программ, нацеленных на решение этой задачи. По этой же статье привлекаются лица, изготавливающие банковские карты на подставных лиц для перепродажи (дело № 1-13/18 Астраханского областного суда). Она используется для обвинения сотрудников операторов мобильной связи, которые передают посредникам данные по их запросам, причем посредники практически никогда не становятся фигурантами уголовных дел. 

Системного применения возможностей уголовного законодательства к участникам черного рынка конфиденциальной информации не производится, особенно с учетом того, что в схемах часто бывают замешаны сотрудники правоохранительных органов, оказывающие услуги по «пробиву» граждан по различным запросам. Это связано с тем, что преступления совершаются в закрытой части Интернета, который практически не отслеживается правоохранителями.

Нарушения выявляются только в момент прямого хищения сведений у банков или операторов сотовой связи, причем администрацией организаций, которая и привлекает к делу правоохранительные органы. Рынок реализации данных ограниченного доступа в определенной части сокращается только из-за действий регуляторов, требующих внедрять все более эффективные программные и технические меры защиты персональных данных.

Защита данных при реализации бизнеса

При переходе предприятия в руки нового владельца вместе с правами собственности на товары, денежные средства, ноу-хау переходят и права владения массивами конфиденциальной информации, накопившейся в результате деятельности компании. Но до момента переоформления прав всегда существует этап предварительного аудита, на котором потенциальный покупатель хочет получить максимально возможную информацию об активе, чтобы сделать справедливую оценку. 

Его обычно интересует:

• доходность бизнеса;
• сведения о его клиентах, политике их привлечения, маркетинговых приемах;
• структура, платформа, исходный код и другие элементы построения сайта;
• бизнес-модель;
• активы и права на них.

Эта информация может быть отнесена к коммерческой тайне компании, и предоставлять ее лицу, которое может отказаться от покупки, следует с осторожностью. Сам факт выставления бизнеса на рынок должен стать оказаться вне зоны доступа третьих лиц, так как он может негативно повлиять на мотивацию сотрудников и лояльность клиентов. Покупатель может оказаться недобросовестным и проявить заинтересованность только для того, чтобы без труда узнать секреты бизнес-успеха владельца компании. 

Существует несколько правил безопасности, которые снизят риск утечки коммерческой тайны:

• подготовить оферту для неограниченного круга покупателей, в которую включить необходимую информацию о сфере работы бизнеса, доходности, количестве персонала, и на первом этапе переговоров не предоставлять заинтересовавшимся лицам сведений больше, чем указано в оферте;
• подписывать на втором этапе переговоров соглашение о неразглашении (Non-disclosure agreement). Оно предусматривает ответственность за передачу доверенной секретной информации или документов третьим лицам. Допустимо сделать исключение для передачи такой информации консультантам – юристам, бухгалтерам, аудиторам – при условии подписания с ними аналогичного соглашения о соблюдении режима коммерческой тайны. В случае отказа покупателя от сделки в соглашении следует предусмотреть обязанность покупателя уничтожить полученные копии документов в бумажном виде, а также данные на электронных носителях, включая переписку по электронной почте, без возможности восстановления;
• на каждом этапе переговоров предоставлять потенциальному партнеру данные с повышающейся степенью конфиденциальности. В случае отказа на одном из предварительных этапов, наиболее ценные сведения не будут ему предоставлены и не подвергнутся угрозе разглашения;
• по результатам первичных договоренностей заключить предварительный договор продажи бизнеса, в котором предусмотреть обязанности сторон в части заключения основного договора. В соглашении прописываются этапы сделки, документы, которые следует подписать, обязательство о задатке, подтверждающее намерение сторон. Если задаток предусмотрен и внесен, то в случае отказа покупателя от сделки он остается у продавца. Это подтверждает намерение приобрести актив и свидетельствует о том, что коммерческая тайна получается не с целью ее распространения. Если же от сделки отказывается продавец, задаток перечисляется покупателю в двойном размере. Задаток для обеспечения исполнения обязательств может быть размещен на аккредитиве в банке или доверен профессиональному посреднику-медиатору. Такое же финансовое обеспечение может быть предусмотрено как гарантия выполнения обязательства по сохранению конфиденциальности на определенный срок.

Выполнение этих задач позволит избежать преднамеренного или непреднамеренного разглашения коммерческой тайны в процессе сделок с работающим бизнесом. Формулировки предварительного соглашения и соглашения о неразглашении, касающиеся ответственности за распространение коммерческой тайны, должны быть однозначными, не допускающими двоякого толкования. Для упрощения привлечения виновника к ответственности на все передаваемые в ходе переговоров носители коммерческой тайны требуется наносить гриф конфиденциальности.
Все мероприятия, направленные на сохранение коммерческой тайны, должны основываться на понимании структуры составляющих ее документов и файлов и их места нахождения в каждой конкретной ситуации, это упростит контроль над ее неправомерным распространением.

02.04.2020