Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

12 самых громких случаев ИТ-воровства в России (фрагмент).

Хронология российских утечек

Первые утечки, зарегистрированные официально, восходят к началу 90-х годов, когда в начале в Москве, а потом и во многих городах России начали продаваться телефонные базы данных. В столице сразу стала доступна база МГТС на компакт-дисках, потом аналогичные продукты начали предлагаться на местных «горбушках» по всей стране. Легко догадаться, что расследование всех этих инцидентов если и было, то не принесло никакого результата. Также заметим, эти постоянно обновляемые базы данных доступны и сейчас в самом что ни на есть актуальном состоянии.
Дальнейшие утечки уже можно проследить по годам. Предлагаем ознакомиться с обобщающей таблицей инцидентов с 1996 по 2005 годы, а затем с некоторыми комментариями. Однако прежде заметим, что это лишь самые крупные утечки, оставившие свой след в прессе и официальных заявлениях.

ДАТА

ОРГАНИЗАЦИЯ

ВИД УТЕЧКИ

1996 год ВымпелКом(Билайн) На черном рынке появилась база абонентов сети «Билайн». Фирма провела достаточно эффективное расследование.
1998-2001 годы Федеральные и муниципальные органы В продажу поступили базы ГИБДД, паспортных столов, жилого фонда. Расследование не принесло результатов.
Октябрь, 2002 год Госкомстат Диски с результатами переписи населения мог купить любой желающий. Госкомстат опроверг факт утечки.
Ноябрь, 2002 год МТС Продавцы начали предлагать базу абонентов сети МТС. Широкого распространения база не получила до января.
Январь, 2003 год МТС Второй тираж базы абонентов МТС. Фирма провела расследование и перекрыла канал утечки.
Май, 2003 год Телефонные компании Петербурга На трех дисках, за 1,5 тыс. рублей была доступна база абонентов всех крупных телефонных компаний Петербурга.
Июнь, 2004 год ВымпелКом (Билайн), МТС, Мегафон Некий сайт (www.sherlok.ru) торговал приватными данными абонентов всех трех операторов (на заказ).
Ноябрь, 2004 год Министерство по налогам и сборам База с доходами жителей Москвы и Подмосковья за 1999-2002 годы продавалась всего за 1 тыс. рублей.
Февраль, 2005 год Центробанк РФ Приобрела публичность база с платежами через расчетно-кассовые центры ЦБ с апреля 2003 г. по сентябрь 2004 г.
Апрель, 2005 год Центробанк РФ На черном рынке появилась новая база ЦБ за IV квартал 2004 года. 3 DVD с базой продавались за 100 долларов.
Октябрь, 2005 год НИКойл За 12 тыс. долларов в интернете (www.zahvat.ru) предложили купить БД самого крупного регистратора РФ.
Ноябрь, 2005 год Министерство по налогам и сборам База с доходами москвичей за 2004 год занимает всего один 1 DVD-диск и стоит около 50 долларов.

Все эти инциденты позволили выявить ряд закономерностей, сопровождающих российские утечки. Прежде всего, эффективное расследование по факту кражи конфиденциальных данных проводили только коммерческие организации (операторы сотовой связи, регистратор и т.д.). Каждое такое разбирательство как минимум заканчивалось перекрытием канала утечки, а как максимум судебным преследованием и наказанием.

Например, после утечки 1996 года компания «ВымпелКом» провела расследование и сделала публичное заявление, согласно которому канал утечки был выявлен и перекрыт. Хотя конкретный источник не был озвучен, эффективность принятых мер налицо: базы тут же исчезли с прилавков.
Столь же показателен инцидент на рубеже 2002-2003 годов. Компания МТС среагировала столь же быстро, как и ее конкурент несколько лет назад. Несмотря на то, что имена и фамилии злоумышленников названы не были, можно поверить в заявление оператора сотовой связи о том, что канал утечки перекрыт. Растиражированная в начале 2003 года база не обновлялась и, следовательно, довольно быстро утратила актуальность.

Наконец, инцидент середины 2004 года был предан огласке благодаря активным действиям компании «ВымпелКом», сотрудники которой самостоятельно обнаружили преступный сайт в интернете, собрали доказательства и передали дело в МВД. В результате уже в конце осени 2004 года милиция арестовала шесть человек, трое из которых оказались сотрудниками самой компании «ВымпелКом». Всем подозреваемым были предъявлены обвинения по части 2 статьи 138 (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) и части 2 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание за данные преступления – до 5 лет лишения свободы. Хотя о приговоре суда официальных сведений нет, это все-таки один из тех редких случаев, когда дело об утечке было доведено до суда.

В принципе в каждом из разобранных инцидентов пострадавшая организация реагировала должным образом: проводилось расследование, обнаруживался и перекрывался канал утечки, иногда злоумышленники попадали под суд. Все это не выглядело бы столь впечатляющим, если бы не было контраста с деятельностью в аналогичных ситуациях государственных организаций.
Возьмем, например, утечки 1998-2001 годов. На самом деле, для максимальной корректности, в таблице следовало написать «с 1998 года по сегодняшний день», так как все появившиеся в тот период базы данных по-прежнему доступны, как в ларьках, так и в интернете. Более того, базы постоянно обновляются, поэтому сегодняшний покупатель этой незаконной продукции приобретает актуальный товар. Другими словами, каналы утечки функционируют уже почти 10 лет.

С определенной периодичностью «радуют» утечками Центробанк и Министерство по налогам и сборам. Правда, Банк почти всегда признает свою вину, что отражается в заявлениях соответствующих лиц, а Министерство предпочитает игнорировать факты утечек, заявляя, что утечка произошла не у них и сама федеральная организация ни в чем не виновата. Точно также повел себя и Госкомстат осенью 2002 года.

Таким образом, контрастное отношение к проблеме со стороны коммерческих и государственных организаций налицо. Адекватная реакция частных компаний на подобные инциденты вполне объяснима: утечка чревата прямым финансовым уроном, потерей клиентов и долгосрочным снижением имиджа. Единственное же, чем можно объяснить низкие результаты ответных действий со стороны государственных организаций, это слабая мотивировка. Действительно, число «клиентов» или финансирование Министерства по налогам и сборам вряд ли хоть как-то изменятся вследствие даже вопиющей утечки.

Однако справедливости ради следует отметить, что Центробанк обеспокоен утечками конфиденциальной информации из своих стен значительно больше других государственных организаций. На это указывает недавнее заявление заместителя начальника Управления безопасности и защиты информации Московского главного территориального управления Банка России, Владимира Бабкина, сообщившего, что канал утечки информации по банковским проводкам перекрыт. Об этом он заявил 25 октября, на пресс-конференции в рамках Всероссийского форума «Банковская безопасность: состояние и перспективы развития». По словам Владимира Бабкина, с апреля текущего года ЦБ предпринял дополнительные меры, как по защите информации, так и по допуску сотрудников. Что касается выявления конкретных источников утечки информации, то это, по мнению представителя Банка, является прерогативой правоохранительных органов.

Несколько ранее обеспокоенность по поводу предотвращения утечек конфиденциальной информации высказала Татьяна Парамонова, первый заместитель председателя ЦБ РФ. На Всемирном экономическом форуме в России она сообщила, что специалисты Банка проверяли представленные на черном рынке базы данных, претендующие на свою принадлежность к ЦБ. Однако находившаяся в них информация оказалась недостоверной, что позволяет сделать вывод о том, что записи БД были скомпонованы опытными профессионалами, но об утечке из ЦБ и речи быть не может.

Сколько стоит утечка для организации? Пожалуй, это тот самый вопрос, который себе задают руководители многих организаций, а также менеджеры по оценке рисков. Приведем некоторую статистику в этой сфере. Согласно совместному исследованию ФБР и Института компьютерной безопасности (см. «CSI/FBI Computer Crime Security Survey 2005»), в котором приняли участие 700 представителей американского бизнеса, средний ущерб каждой компании, зарегистрировавшей кражу конфиденциальных данных в 2005 году, составил 355,5 тыс. долларов. Конечно, еще не факт, что абсолютно каждая компания сталкивается с кражей конфиденциальных данных ежегодно. Тем не менее, на широкую распространенность внутренних угроз ИТ-безопасности указывают сразу несколько авторитетных исследований. Так, например, организация CERT (см. «2005 E-Crime Watch Survey»), опросившая более 800 компаний, установила, что каждая вторая компания хотя бы раз в течение года пострадала от утечки чувствительных сведений. Вдобавок, по сведениям PricewaterhouseCoopers и CXO Media (см. «Global State of Information Security 2005»), опросивших более 13 тыс. компаний в 63 странах мира (в том числе и России), более половины (60%) всех инцидентов ИТ-безопасности за прошедший год были вызваны именно инсайдерами. Аналитики подсчитали, что 33% и 20% инцидентов вызваны нынешними и бывшими сотрудниками соответственно, 11% приходятся на долю клиентов компании, 8% происходят по вине партнеров и, наконец, 7% вызваны временными служащими (контрактниками, консультантами и т.д.). Даже если не учитывать клиентов и партнеров, то за 60% всех инцидентов несут ответственность нынешние, бывшие и временные сотрудники компании, что с учетом среднего ежегодного ущерба каждой организации (355 тыс. долларов) поднимает проблему внутренней ИТ-безопасности на первое место в списке приоритетов руководства компании.

Самые дорогие утечки
Как уже отмечалось выше, средний ущерб от одной утечки составляет 355,5 тыс. долларов, однако бывают случаи, когда утечка стоит миллионы и десятки миллионов долларов, а порой и всего бизнеса.

  • В конце февраля 2005 года компания ChoicePoint, специализирующаяся на обработке данных, сообщила об утечке приватных данных о 145 тыс. граждан США. По итогам II финансового квартала эта утечка уже обошлась ChoicePoint в 11,4 млн. долларов. По компетентной оценке CSO Magazine, к концу году ущерб от утечки составит 20-25 млн. долларов.
  • В конце мая 2005 года сеть обувных магазинов DSW Shoe Warehouse сообщила об утечке приватных данных о кредитных картах и платежных чеков. По итогам II финансового квартала эта утечка уже обошлась компании DSW в 6,5 млн. долларов, что составило почти 70% ее прибыли.
  • В ноябре 2005 года сеть ресторанов быстрого питания Chipotle подала заявку в Комиссию по ценным бумагам и биржам США с намерением первичного размещения своих акции (IPO) на фондовой бирже Нью-Йорка. Среди прочего в заявке было указано, что утечка приватных данных из вычислительной сети Chipotle в августе 2004 года обошлась компании в 5,6 млн. долларов, что составило 91% прибыли фирмы за весь 2004 год.
  • В июне 2005 года компания CardSystems Solutions, занимающаяся обработкой транзакций по кредитным картам, сообщила об утечке 40 млн. номеров кредитных карт всех мировых брендов. В августе Visa и American Express разорвали контракты с CardSystems, а MasterCard приостановила сотрудничество, потребовав провести тщательный аудит и процесс сертификации. В результате CardSystems просто обанкротилась.

Как бы то ни было, пока на черном рынке действительно нет новых баз данных Центробанка, поэтому репутация этой организации под действием ободряющих высказываний различных исполнительных лиц постепенно восстанавливается.
Помимо вывода о контрастном отношении к утечкам со стороны частных и государственных организаций, детали инцидентов, перечисленных в обобщающей таблице, позволяют сделать еще один вывод: почти все утечки происходят с участием инсайдеров – сотрудников компании или министерства, имеющих доступ к конфиденциальной информации в силу служебных обязанностей.

Например, когда сотрудники компании «ВымпелКом» обнаружили в интернете сайт, который торгует приватными данными абонентов сетей «Билайн», МТС и «Мегафон», то ниточки привели именно внутрь самого оператора мобильной связи. Аналогично развивались события с другими «сотовыми» утечками, только в этих инцидентах виновные избежали судебного преследования.

«Недостаточный контроль над действиями своих же сотрудников часто перерастает в серьезные убытки для предприятия. В современной практике не редки случаи, когда инсайдеры сговариваются друг с другом, торгуют конфиденциальной информацией или осуществляют финансовое мошенничество в рамках самой компании. Последствия таких инцидентов очень плачевны: прямые убытки и снижение числа клиентов сопровождаются штрафами и судебными преследованиями со стороны регулирующего органа.

Таким образом, над всеми операциями с чувствительными данными должен быть установлен прозрачный, но жесткий контроль», - считает руководитель отдела системного ПО компании «Гелиос Компьютер» Вячеслав Лупанов.
Далее, при более подробном рассмотрении обстоятельств последней утечки из Министерства по налогам и сборам, будет показано, что и она не обошлась без прямого участия инсайдеров.

2005 год – год инсайдеров
К сожалению, по-другому почти закончившийся год не назовешь. Во-первых, статистика самых авторитетных организаций (ФБР, Института компьютерной Безопасности, CERT и т.д.), отслеживающих глобальные и локальные тенденции в ИТ-безопасности, впервые наиболее четко показала превалирование внутренних угроз над внешними. Если в 2004 году можно было утверждать, что на долю инсайдерских атак приходится не более 40%, то сегодня эта цифра легко превысила 60%. Во-вторых, обобщающая таблица выше наглядно демонстрирует, что в России 2005 год ознаменовался, как минимум, четырьмя крупными утечками. Причем последние две буквально шокировали общественность. Остановимся на них подробнее.

23 октября 2005 г. в интернете появилось объявление о продаже базы данных одного из крупнейших регистраторов России – компании «НИКойл». Этот регистратор ведет реестры акционеров таких гигантов, как «Лукойл», МТС, «Скайлинк» и еще нескольких сотен корпораций национального масштаба. Любой желающий мог вступить в переписку с продавцом, оставившим свое объявление в форуме ресурса www.zahvat.ru в разделе «Враждебные поглощения». Автор сообщения заявил, что предлагаемая база актуальна на 1 августа, и запросил за нее 12 тыс. долларов. Инцидент тут же получил широкую огласку, а расследование, проведенное компетентными специалистами, позволило установить, что предложение действительно достоверно.

Между тем, согласно нашему законодательству данные реестров акционеров являются закрытой информацией, раскрывать которую эмитент обязан лишь в строго определенных случаях и в ограниченном объеме. Такая закрытость оправдана тем, что все акции в России существуют не в бумажном виде, а в виде записей на счетах в реестре. Располагая же персональными данными акционера, можно списать его акции по поддельной доверенности, что весьма распространено в российской «предпринимательской практике». Пострадать от таких действий может не только акционер, но и эмитент, который должен будет возместить своему совладельцу ущерб. Что касается акций небольших компаний, то раскрытие персональных данных их акционеров может стать хорошим подспорьем для недружественного поглощения. Таким образом, предлагаемая база является действительно ценным и чрезвычайно опасным товаром. По сведениям из компетентных источников, ее реальная стоимость составляет около 100 тыс. долларов и именно эту цену уже заплатили за нее ранее серьезные покупатели. В конце октября база, судя по всему, продавалась уже второй раз.

Не успели улечься страсти вокруг базы «НИКойла», как общественность была второй раз шокирована: спустя всего неделю в продажу поступила база «Налоговая инспекция – 2004», содержащая, как легко догадаться, информацию о доходах москвичей за 2004 год. Рекламное письмо (спам) с предложением купить за 3 тыс. рублей этот контрафактный DVD-диск было разослано многим жителям Москвы и Подмосковья. Однако на практике оказалось, что продаваемая с рук база стоит несколько дешевле своего аналога в Интернете – всего 1,4 тыс. рублей. Всего в базе содержалось более 9,9 млн. справок о доходах за 2004 г. с помесячной разбивкой, сведениями о месте работы, реквизитами и адресами налогоплательщиков.

Следует отметить, что эти два инцидента вызывали глубокий общественный резонанс. Не остались в стороне политики, пресса и граждане. Спецслужбы также среагировали, но уже на второй инцидент с «налоговой» базой. Как свидетельствует пресс-релиз, ФСБ и УБЭП ГУВД города Москвы одновременно провели серию обысков «в ключевых точках сбыта, на съемных квартирах и в других установленных помещениях, где участниками организованной преступной группы производилась и реализовывалась нелегальная продукция». Обыски проводились в рамках уголовного дела, возбужденного по ст. 173 УК («лжепредпринимательство») и ст. 183 УК («незаконное получение и разглашение сведений, содержащих коммерческую, налоговую и банковскую тайну»). Представители ФСБ и ГУВД не назвали дату возбуждения этого дела, но его расследование ведет Главное следственное управление ГУВД Москвы.
Пресс-служба ФСБ сообщила, что информация, которую тиражировали преступники, «согласно ст. 102 Налогового кодекса Российской Федерации составляет налоговую тайну». Судя по всему, в данном случае действия силовых структур были направлены не на выявление источника утечки, а на устранение последствий вопиющего нарушения закона.

Довольно сложно объективно оценить эффективность проведенной ФСБ операции, так как на следующий день после оперативно-следственных мероприятий базы по-прежнему были доступны каждому желающему. Однако далеко не факт, что именно полное пресечение распространения упомянутой базы было целью операции.

Интересен тот факт, что представители Федеральной налоговой службы и Пенсионного фонда категорически отрицают, что утечка информации могла произойти именно из их ведомства. Между тем, заявление ФСБ содержит упоминание того, где предположительно следует искать источник утечки: «Указанные информационные массивы содержат в себе данные, предположительно похищенные из систем персонифицированного учета ФНС России и возможно других органов финансового контроля». Поэтому в настоящий момент сотрудники силовых структур работают в вычислительных центрах Федеральной налоговой службы и Пенсионного фонда, сверяя оказавшиеся в продаже данные с базами этих ведомств.

«Действия правоохранительных органов вполне логичны. Во-первых, устранить все последствия утечки и пресечь распространение информации невозможно, так что разумно попытаться хотя бы частично воспрепятствовать массовому тиражированию. Во-вторых, ведомства, из которых предположительно произошла утечка, всячески отрицают свою причастность к инциденту. Более того, они не обладают необходимой инфраструктурой не только для предотвращения утечки чувствительных данных, но и для пассивного мониторинга, который бы позволил установить, кто, когда и что делал с конфиденциальной информацией. Таким образом, выявить источник утечки прямо «на месте» нереально. Приходится разматывать клубок с другого конца», - считает Денис Зенкин, директор по маркетингу компании InfoWatch.
Как бы то ни было, задержав преступников, имеющих отношение к действительно массовому тиражированию базы, вполне возможно выйти на реальный источник утечки. Например, сразу после спецоперации в прессе начала распространяться информация, что несколько человек, занимавшихся производством и оптовой продажей контрафактной базы и задержанных в ходе операции, теперь утверждают, что купили сведения у неких чиновников за 2,5 млн. долларов. Правда, никто из сотрудников налоговых и иных органов, имеющих доступ к такой информации, пока не задержан.

Если ФСБ сможет установить виновных, то госслужащим, нарушившим принятое обязательство не разглашать секретные сведения, будет грозить от 3 до 10 лет лишения свободы. Но единственным громким делом в этой области было "дело статистиков": после нескольких лет следствия в прошлом году Мосгорсуд приговорил бывшего главу Госкомстата России Юрия Юркова и бывшего директора вычислительного центра этого ведомства Бориса Саакяна к 4,5 и 4 годам лишения свободы за торговлю статистическими данными.
Таким образом, следы от «налоговой» базы снова ведут к инсайдерам. В целом же на 2005 год выпало целых 4 громких утечки, в то время как в предыдущие годы дело ограничивалось лишь одной или двумя.

Защита приватных данных
Вряд ли можно обвинить в некомпетентности специалистов ФСБ, расследовавших громкие утечки. Как уже упоминалось выше, если в организации нет соответствующей инфраструктуры, то вычислить источник утечки практически невозможно. При этом, как показывает последняя статистика, такой инфраструктуры действительно нет.

В рамках исследования «Внутренние ИТ-угрозы в России 2004» компания InfoWatch опросила около 400 российских организаций (из них около 60 являлись представителями министерств и ведомств). Лишь 1% респондентов использует технические продукты для борьбы с утечками, хотя 87% считают их самым эффективным средством решения проблемы. Более того, 68% организаций вообще не предпринимают никаких мер для защиты своих чувствительных цифровых активов, а оставшиеся 32% в большинстве своем принимают меры лишь для ограничения связи с внешними сетями, как таковыми.

«Бороться с утечками можно», - считает Вячеслав Лупанов. «Сегодня конфиденциальные сведения воруют инсайдеры, которые могут скопировать их себе на любой носитель (CD, DVD, USB-карты, дискеты) или даже распечатать на принтере и спокойно вынести за пределы офиса для передачи третьим лицам, либо использовать в своих личных интересах. Еще один способ «выноса» информации – отправка конфиденциальных файлов по электронной почте, как с использованием корпоративного почтового сервера, так и при помощи бесплатных почтовых систем (типа Mail.ru, Pochta.ru и др.), которые в последнее время приобрели очень большую популярность», - добавляет эксперт.

Таким образом, обеспечить защиту приватных и конфиденциальных сведений можно. Для этого существуют специальные технологии и решения, однако организации их попросту не используют.

Между тем, государственные структуры и крупные коммерческие организации могли бы не только существенно упростить работу правоохранительных органов, но и вообще предотвратить утечку чувствительных данных и вызванные этим прямые финансовые убытки и потерю репутации. Для этого необходима лишь соответствующая мотивировка. Правда, как уже говорилось выше, у многих государственных образований не хватает как раз достойного стимула.
В заключение хотелось бы добавить, что если текущая тенденция увеличения числа громких утечек и безнаказанности подобных преступлений сохранится, то такие понятия как «частная жизнь», «приватные» и «личные сведения» просто исчезнут из нашего лексикона.

Источник: http://www.cnews.ru/


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

15ноября

ЭОС - участник форума «Искусственный интеллект, большие данные, отечественный софт: национальная стратегия»

Узнать больше

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

09октября

ЭОС - участник Всероссийского форума «ПРОФ ИТ»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ