Личная информация граждан, их персональные данные, все чаще продаются на черном и сером рынках. Не всегда они нужны именно злоумышленникам, чаще приобретением баз имен и телефонов граждан интересуются продавцы различного рода товаров и услуг с целью последующего предложения им собственной продукции. Насколько законна такая практика, и есть ли нормативно-правовые средства ее остановить?
Под персональными данными понимается любая личная информация о человеке, которая могла бы помочь его идентификации или нахождению его имущества или места жительства. Российский рынок продажи персональных данных в теневом секторе Интернет, так называемом dark net’e (вход на его сайты доступен только при помощи Tor или аналогичных программных средств), не очень хорошо исследован. Гораздо более объемная статистика собрана на рынке США, где информация консолидируется при помощи специализированных агентств. Но американские данные помогают составить картину происходящего на российском рынке с учетом существенно меньших масштабов происходящего.
Если поинтересоваться стоимостью информации, то компания Metric Labs говорит о том, что большой пакет персональных данных, включающий сведения о кредитной карте, может стоить около 1200 долларов США . Номер только полиса медицинского страхования стоит не более 1 доллара. В полный пакет, помимо сведений о карте, может входить информация, полученная при помощи анкет, заполняемых пользователями интернет-сервисов, социальных сетей, интернет-магазинов. Учетная запись пользователя Uber будет стоить покупателю всего 10 долларов, при этом злоумышленники получат информацию о маршрутах поездок, а новый пользователь записи сможет с ее помощью оплачивать собственные поездки, даже за рубежом. Достаточно дорого будет стоить информация о номере и пароле электронных кошельков, например PayPal. По последним данным, их стоимость на черном рынке доходит до 247 долларов США. Взломанная запись на интернет-аукционе eBay стоит существенно дешевле, но она позволяет приобретать дорогие товары за счет ее владельца.
На наиболее популярных ресурсах дарк-веба, Dream, Point и Wall Street Market, существуют десятки тысяч предложений по продаже персональных данных различных категорий. У одного американского гражданина могут существовать десятки аккаунтов в различных сервисах, злоумышленники могут объединять данные всех взломанных ресурсов и формировать пакетные предложения, при этом практически вся информация по среднему гражданину стоит около 1000 долларов США. Такие предложения столь же популярны у покупателей, как и объявления о продаже наркотиков или незарегистрированного оружия. Информация может стать помощником в шантаже, хищении средств с интернет-кошельков и с кредитных карт, иных покушениях на имущество или здоровье гражданина. Самыми дешевыми становятся адреса и пароли от электронной почты, мало кто готов искать полезную информацию среди гигабайтов спама. Отдельный интерес представляют пакеты Fullz, где указываются идентифицирующие данные, девичья фамилия матери, номер карты социального страхования и финансовая информация.
Интересно, что еще при президенте Обаме в США был введен закон, запрещающий интернет-провайдерам продавать данные своих клиентов третьим лицам без получения согласия на это самих клиентов, но президент Трамп подписал поправку, отменяющую этот закон. Теперь данные об истории посещения сайтов и геолокации пользователей могут быть проданы третьим лицам. Деятельность Роскомнадзора об обязании Фейсбука и других социальных сетей перевести хранилища персональных данных российских граждан в Российскую Федерацию может частично снизить для соотечественников риск узнать, что сведения об их аккаунте стали достоянием неизвестных лиц с неизвестными целями.
Как сообщает газета «Коммерсантъ», в 2018 году число несанкционированных проникновений в базы данных компаний с целью хищения и последующей перепродажи персональных данных граждан выросло на 32 % по сравнению с предыдущим годом. Многие хотят получить адреса и телефоны клиентов компаний-конкурентов, но зачастую сведения похищаются не для конкретного заказчика, а для их перепродажи любому заинтересованному лицу. Иногда это происходит и для личного пиара похитителей. Так, несколько лет назад прогремела история с похищением личной переписки вице-премьера Аркадия Дворковича хакерской группировкой Шалтай-Болтай. Организаторами в открытый доступ было выложено несколько малозначащих писем, при этом основной массив предлагалось приобрести на аукционе. Деятельность этой группировки была пресечена достаточно быстро . Простые граждане не всегда могут рассчитывать на такую оперативность органов, особенно когда преступление против их прав остается скрытым, пропажа двух-трех рублей с одной банковской карты останется незамеченной их держателями, а если это происходит одновременно с миллиона карт, у кого-то появляются средства на планирование следующих криминальных деяний.
В России еще несколько лет назад достаточно легко можно было купить:
Все они содержат те персональные данные, которые при попадании в руки злоумышленников могут причинить ущерб своим владельцам. С появлением строгих требований об установке защищенного программного обеспечения для всех государственных органов и операторов персональных данных таких предложений стало меньше. Но не снизился поток кибератак, нацеленных на хищение сведений любого рода, касающихся конкретных граждан, с целью их перепродажи. Они осуществляются следующими путями:
С целью защиты персональных данных российских граждан от продажи и покупки депутаты Госдумы, среди которых небезызвестный Андрей Луговой, прочно связанный в памяти россиян с убийством Литвиненко, внесли законопроект, согласно которому все интернет-сервисы, осуществляющие обработку персональных данных граждан, обязаны делать это на серверах, расположенных в России. Законопроект быстро стал законом, который вступил в действие 01.09.2016 г. Это помогло частично обезопасить информацию от несанкционированного хищения ее держателями хостингов с целью дальнейшей перепродажи. Вместе с внедрением норм закона произошло создание автоматизированной системы «Реестр нарушителей прав субъектов персональных данных». В нее теперь включаются все операторы, которых можно заподозрить в продаже или покупке данных пользователей. Запуск этой системы прошел успешно, и теперь каждый гражданин, прежде чем доверить свои данные какому-либо участнику рынка, может проверить, не успел ли тот стать участником этого криминального рейтинга. Попасть в реестр можно на основании заявления пострадавшего субъекта, направленного им в Роскомнадзор.
Борьба с хакерами, похищающими персональные данные граждан, ведется в рамках Уголовного кодекса, в котором предусмотрена ст. 272 «Неправомерный доступ к компьютерной информации». Практика ее применения в России пока не очень широка. Тем не менее приговоры за возмездное оказание услуги в виде предоставления неправомерного доступа к логину и паролю потерпевшего, совершенное путем применения специальных знаний, не столь редки. Случаи единичного хищения и продажи данных наказываются на практике 1-2 годами ограничения свободы. Случаи задержания серьезных хакеров и привлечения их к суду прессой практически не раскрываются, прецедент с сотрудником СК «Открытие», продавшим данные 380 тысяч клиентов за 50 тысяч рублей, стал одним из немногих, известных широкой публике.
Защита персональных данных гражданина, не похищенных хакерами, а переданных оператору для обработки, также предусмотрена рядом нормативно-правовых актов. Среди них ст. 24 Конституции РФ, которая предусматривает, что распространение информации о частной жизни человека недопустимо. Это понятие не совсем совпадает с предложенным в законодательстве о персональных данных, которое также запрещает любую обработку этой информации без согласия субъекта и не в соответствии с изначально заявленными Роскомнадзору целями ее сбора. Но и при наличии согласия продажа персональных данных, передача их третьим лицам оператором персональных данных за деньги должна преследоваться как пользование чужим имуществом с целью получения незаконного обогащения.
На помощь гражданину должны прийти ст. 137 УК РФ, говорящая о запрете нарушения неприкосновенности частной жизни, а также деятельность Роскомнадзора, который обязан привлекать к административной ответственности лиц, незаконно распространяющих такую информацию. В этом случае должны работать нормы статьи 13.11 КоАП РФ, предусматривающие ответственность за использование персональных данных в целях, противоречащих тем, с которыми они собирались. Максимальная ответственность по этой статье составляет всего 75 тысяч рублей, что иногда несоизмеримо с получаемыми выгодами.
Тем не менее активность Роскомнадзора не распространяется на обычных работодателей, не входящих в реестр операторов персональных данных, и на многие другие компании. В ряде случаев даже после многочисленных проверок Роскомнадзора кандидаты, выложившие свои данные на сайт Headhunter, внезапно узнают, что их телефонные номера оказались у агентов банка Ренессанс Капитал. Эта практика не столь очевидна, как взлом информационных сетей и хищение персональных данных с использованием вредоносных программ, ее сложнее преследовать по закону, но моральный ущерб гражданам она приносит серьезный.
Развитие нормативно-правовой базы должно остановить систематическое хищение и продажу персональных данных граждан, что поможет снизить уровень преступности и напряженности в обществе.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
