В прошлом году в стране было заведено 43 дела, связанных со сливом персональных данных наших соотечественников. За первую половину 2021-го было рассмотрено 5 подобных дел. Несмотря на статистику, черный рынок конфиденциальной информации в России «цветет и пахнет». Главными «поставщиками» персональных сведений остаются телеком-компании и недобросовестные сотрудники финансовых учреждений.
Сколько персональных данных уже слито
Согласно статистике, только в январе-сентябре 2020 года было слито 96,5 млн конфиденциальной платежной и личной информации россиян. Что особо тревожно, российские цифры втрое превышают средний показатель по планете. Эксперты вынуждены признать, что рынок краденных цифровых данных в стране постоянно растет стараниями так называемых инсайдеров — сотрудников компаний, работающих с конфиденциальными сведениями клиентов. Только за прошлый год суммарный ущерб от утечек составил более 3 млрд рублей.
Лидеры в разглашении личных цифровых данных клиентов — сотрудники мобильных операторов и салонов сотовой связи. В 2020-м на их совести оказалось 67 % всей слитой информации (против 44 % в прошлом году). Банковские работники начали «исправляться»: если в 2019 году они слили 27 % от общей доли утекших личных данных, то в 2020-м эта цифра снизилась до 18 %.
Причин хищений чужих данных работниками операторских служб сразу несколько:
• низкие зарплаты сотрудников;
• доступность слива данных;
• легкий поиск покупателей украденной информации.
Но, к слову, с такой же легкостью правоохранительные органы вычисляют преступников. Многие по наивности действуют, даже не скрываясь, продавая данные своим знакомым.
Как происходит слив данных
Рассмотрим на двух реальных примерах из уже раскрытых 43 дел:
• Работник X одного из казанских офисов «ВымпелКом» сливал своему приятелю все данные по звонкам его бывшей супруги. Что особо интересно, правонарушитель не только «предоставлял» услуги бесплатно, но и привлек к противозаконному делу свою коллегу. При этом работник X даже не думал скрываться: данные другу отправлял через «Вотсап». Об его «дружеской помощи» правоохранительные органы узнали, когда потерпевшая поняла, что ее звонки отслеживаются экс-супругом не без посторонней помощи. Женщина направила жалобу «ВымпелКому», с ней связалась личная служба безопасности компании и сотрудники ФСБ. «Помощника» оштрафовали на 120 000 рублей, в отношении его соучастницы и бывшего мужа пострадавшей дела еще ведутся.
• В Якутии, сотрудник Y одного из офисов мобильного оператора, сливал данные клиента в течение месяца. «Подзаработать» сотруднику Y предложили в интернете. Не колеблясь из за последствий, он зашел в программу просмотра детализации под служебным логином и паролем, скопировал информацию в эксель таблицу и слил ее заказчику, чья личность до сих пор не известна. Сколько сотрудник Y заработал, не раскрывается, но наказание в 200 часов общественно полезного труда он уже получил.
За сколько сливают ваши данные?
Побочный продукт цифровизации имеет на черном рынке свою цену:
• «Пробив» — продажа данных об абоненте мобильного оператора, одна из самых популярных услуг в даркнете. В зависимости от вашей «ценности» для заказчика, персональная информация будет стоит от 500 до нескольких тысяч рублей. «Услуга» популярна не только из-за сравнительно низкой цены и высокого спроса. Менеджеры, работники техподдержки и других служб мобильных операторов получают зарплаты ниже средних, что толкает их на правонарушения. Более того, в инфобазах есть многочисленные дыры и лазейки — нужные данные может добыть любой сотрудник, даже без хакерских талантов. Наказание тоже не останавливает — это или условный срок, или штраф до 100 тыс. рублей.
• Базы информации коммерческих фирм и государственных учреждений. За всю базу заказчики готовы платить от 100-200 долларов. Данные одного клиента банка стоят 3-120 рублей, копию разворота вашего российского паспорта могут продать за $1, загранпаспорта — за $2,5.
Банки и мобильные операторы в курсе
Как единичные, так и масштабные утечки данных для любой компании, работающей с клиентами, — серьезный удар по репутации. Поэтому и банки, и операторы тратят огромные деньги на борьбу со своими «кротами»:
1. Увеличивают штат службы безопасности, создают специальные отделы по предупреждению и расследованию утечек.
2. Тратятся на судебные издержки.
3. Внедряют системы, применяющие машинное обучение для вероятного определения каналов слива и ненадежных сотрудников.
4. Разрабатывают системы цифровых маркировок и интерфейсов, и электронной документации.
5. Внедряют архитектурное разграничение доступа к информации по клиентам.
6. Разрабатывают полные комплексы техзащиты от распространения конфиденциальной информации.
7. Ведут просветительскую работу среди сотрудников, в частности, лекции об уголовной ответственности за слив данных.
Чтобы устранить или, по крайней мере, минимизировать проблему, этого недостаточно. Необходимо:
• коренным образом перестроить системы доступа работников к конфиденциальным сведениям клиентов;
• внедрить решения, предоставляющие доступ к детализации звонков абонентов только по специальным кодам, уточняющим цель получения информации.
Извечные вопросы: кто виноват и что делать. Из банков передают данные по счетам клиентов миллионами. После чего рождаются все эти «кибер-мошенники» которые звонят в вайбер и ватсап от имени банка. Почему Facebook за утечку данных пользователей получает миллиардные штрафы, а нашему брату все нипочем?
Очевидно, чем больше экономическая составляющая «оцифровывается», тем больше риск её попадания не в те руки. В результате никогда в истории не было более опасного времени для запуска и поддержания успешного бизнеса или возможности сохранить личное пространство в неприкосновенности. Каждая из таких утечек данных с огромным количеством записей оказывает порой катастрофическое влияние на миллионы людей и дает различные примеры того, как компания или персона может быть безвозвратно скомпрометирована.
То, что я прочитала, это, конечно, безобразие. Наши данные продают за один доллар. Не думаю, что поднятие зарплаты сотрудникам салонов связи на корню решит проблему – человеку ведь всегда мало. Причем данные есть в конторах, с которыми я даже не сотрудничала никогда! Например, проверяя кредитную историю, поняла, что от моего имени пытались открыть кредитку в банке, в котором у меня нет и не было никаких продуктов.
Видимо, у бесконечных телефонных звонков с разного рода рекламой, которые в последнее время ну уж слишком участились, ноги растут как раз отсюда. Если правильно понимаю, в даркнете на неких сервисах выставляются на продажу базы телефонных номеров, которые спамеры приобретают для своих обзвонов. Благо, на новом телефоне при большинстве таких вызовов высвечивается отметка «подозрение на спам». Трубку давно перестала поднимать, если звонит не кто-то из контактов.
Не знаю, были это мошенники или нет, но одно время меня буквально одолевали звонками с различными банковскими предложениями. На работе несколько раз слышала именно о телефонных разгооворах с мошенниками. Один раз даже была свидетельницей.
Надо сказать, что работаю в бюджетной организации, и имею зарплатную карту в одном из самых крупных банков. Как и остальные мои коллеги. Если слив информации происходит в такой крупной организации, то что можно говорить о маленьких? Считаю, что это обратная сторона цифровизации общества. Надеюсь, что все-таки банки и другие компании, владеющие нашими персональными данными, будут и впредь совершенствовать свою защиту.