W 2020 roku w sądach rozpatrywane były 43 sprawy dotyczące wycieku danych osobowych Rosjan, a w pierwszej połowie 2021 roku było ich tylko pięć. Eksperci, z którymi rozmawiał Forbes, twierdzą jednak, że z roku na rok w Rosji rośnie czarny rynek danych osobowych, a jego liderami są sektor finansowy i firmy telekomunikacyjne 0 akcji
Ile danych wyciekło
Od stycznia do września 2020 r. w Rosji wyciekło 96,5 mln rekordów danych osobowych i informacji o płatnościach (według InfoWatch). Jednocześnie udział wycieków związanych z nieuczciwymi działaniami przekracza 10% – na świecie liczba ta jest trzykrotnie niższa.
Czarny rynek danych osobowych stale się rozwija, a głównym powodem tego są insiderzy – pracownicy firm, które za darmo sprzedają lub udostępniają poufne dane swoich klientów, wynika z badania firmy Krok IT (dostępne od Forbes). W 2020 r. łączne szkody spowodowane wyciekami danych osobowych przekroczyły 3 miliardy rubli, wynika z materiałów „Croc”.
Liczba publikacji dotyczących ujawnionych przypadków związanych z kradzieżą danych podwoiła się w 2020 r. w porównaniu z 2019 r., powiedział Ashot Hovhannisyan, CTO DeviceLock i właściciel kanału Information Leaks Telegram. Absolutnym liderem w kradzieży danych w 2020 r. są pracownicy operatorów komórkowych i sklepów z telefonami komórkowymi, podobnie jak w 2019 r. – napisał Hovhannisyan. W 2020 r. udział tego segmentu wzrósł z 44% do 67%, natomiast udział pracowników banków na drugim miejscu spadł z 27% do 18%.
Przyczyn takiego wzrostu liczby kradzieży u operatorów, wskazuje Oganesyan, jest kilka: niskie pensje pracowników front office i sklepów z telefonami komórkowymi, a także łatwość identyfikacji przestępców. Napastnicy, którzy pracowali w sklepach komunikacyjnych, sprzedawali skradzione dane bez ukrywania, często swoim znajomym. Dzięki temu funkcjonariusze organów ścigania mogli łatwo znaleźć takich sprzedawców, a następnie dokonać zakupu testowego, powiedział ekspert.
Za „Okiem Boga”: kto stworzył główną usługę w Rosji do wyszukiwania danych osobowych i dlaczego nie jest zamknięta
Jak dane są łączone
Problem kryminalnego naruszenia danych jest dziś istotny dla całej Rosji, chociaż najczęściej robią to pracownicy operatorów telekomunikacyjnych, menedżerowie banków i urzędnicy służby cywilnej w regionach, powiedział Andrey Arsentiev, szef analityki i projektów specjalnych w InfoWatch Group. Forbesa. Wynika to zarówno z niższego poziomu bezpieczeństwa zasobów informacyjnych, jak i niskich wynagrodzeń – przekonuje Arsentiew. Jego słowa potwierdzają dane systemu GAZ „Sprawiedliwość”: według informacji z niego w 2020 r. Rozpatrzono 43 sprawy na podstawie art. 138 ust. 2 karnego – naruszenie tajemnicy korespondencji, rozmów telefonicznych, pocztowych, telegraficznych lub innych wiadomości obywateli. W tym roku takich przypadków jest jak dotąd tylko pięć.
W maju 2020 roku specjalista biura VimpelCom w Kazaniu, Burlak M.V. otrzymał grzywnę w wysokości 120 000 rubli za ukaranie i przesłanie przyjacielowi danych o telefonach swojej byłej żony, wynika z materiałów sądu. Burlak zrobił to za darmo, a także przyciągnął do przełomu swojego kolegę, którego nazwiska nie ujawniono. Burlak wysłał informację o połączeniach do klienta za pośrednictwem komunikatora WhatsApp. Kiedy ofiara zorientowała się, że jej były mąż zna szczegóły jej komunikacji przez telefon komórkowy, napisała skargę do VimpelCom. Jak wynika z akt sprawy, później skontaktowała się z nią służba bezpieczeństwa operatora i FSB. Sprawy sądowe przeciwko byłemu mężowi ofiary i innemu pracownikowi VimpelCom, który stawił się w sprawie, nadal trwają.
Kolejny podobny przypadek miał miejsce w Jakucji, gdzie w czerwcu 2020 r. sprzedawca biura jednego z operatorów komórkowych Patranzhel V.O. został skazany na 200 godzin prac społecznych za przeciek rozmów abonenckich w ciągu jednego miesiąca. . W lipcu 2019 roku do Patrangelo napisał internauta z prośbą o przesłanie listy połączeń wychodzących i przychodzących z określonego numeru na czerwiec tego samego roku. Patranzhel wszedł do przeglądarki szczegółów połączenia SSVO za pomocą swojego loginu i hasła do usługi, wpisał swój numer telefonu i otrzymał informacje o połączeniach. Następnie przestępca skopiował dane do Excela, pobrał je na swój telefon komórkowy i wysłał do klienta. Ile pieniędzy Patranzhel otrzymał za taką „pracę” nie jest wskazane w dokumentach sądowych, FSB była również zaangażowana w jej rozwój. Nie było możliwe ustalenie tożsamości klienta.
„Większość pracowników nie myśli o tym, co kontrolują ich posłańcy”: w jaki sposób poufne informacje wyciekają w Rosji i co się dzieje < /p> < h2> Ile kosztują dane
Przebicie się to efekt uboczny cyfryzacji: poprawiła jakość życia, ale stworzyła nowe zagrożenia, mówi Arsentiev z InfoWatch. Zaznacza, że każda część danych osobowych ma teraz cenę czarnorynkową. Ekspert dodaje, że usługa penetracji mobilnej, czyli sprzedaż danych abonentów firm komórkowych, cieszy się stałym popytem w darknecie. W zależności od ilości szczegółów certyfikat dotyczący jednego subskrybenta może kosztować od 500 rubli do kilkudziesięciu tysięcy, mówi.
Głównymi czynnikami rozkwitu mobilnej penetracji są wysokie zapotrzebowanie na tę usługę, menedżerowie z niskimi zarobkami, luki w bezpieczeństwie informacji firm komórkowych i niezbyt ścisła odpowiedzialność za takie przestępstwa, zauważa Arsentiev. Z reguły skazani pięściarze otrzymują grzywnę w wysokości do 100 000 rubli lub wyrok w zawieszeniu.
Bazy danych, które zostały skradzione z różnych organizacji rządowych i komercyjnych, są bardzo popularne w ciemnej sieci, dodaje Anatoly Sazonov, wiodący specjalista w dziale audytu w Infosecurity a Softline Company. Według niego ceny takich baz danych osobowych zależą od składu i ilości danych, ich koszt zaczyna się średnio od 100 do 200 USD. Koszt klientów tych banków waha się od trzech rubli do 120 rubli za wejście, cena za spread paszportu rosyjskiego zaczyna się od 1 USD, za zagranicznego – od 2,5 USD (wg Infosecurity a Softline Company).
W darknecie codziennie pojawiają się nowe reklamy sprzedaży baz danych, ale nie zawsze są to cenne informacje – powiedział Forbesowi autor kanału Telegram w dziedzinie bezpieczeństwa informacji In4security. Często jest to wynikiem kompilacji ze starszych wycieków lub analizowania otwartych informacji, dodał.
Nieszczelne banki: czy możliwe jest powstrzymanie wycieków danych osobowych
Kim są operatorzy i banki
Sprzedaż lub przekazanie danych osobowych klientów firmom to przede wszystkim utrata reputacji – mówi Konstantin Ankilov, dyrektor generalny TMT Consulting. Ale operatorzy również wydają pieniądze na rozwiązanie tego problemu – muszą utrzymać zwiększony personel służby bezpieczeństwa, która zajmuje się problemem przecieków, a także wydawać pieniądze na koszty prawne, gdy takie sprawy trafiają do sądu – mówi ekspert. Aby zmniejszyć liczbę wycieków, konieczna jest przebudowa systemu dostępu pracowników do danych abonenckich – powiedział Denis Kuskov, prezes Telecom Daily. Według niego konieczne jest wdrożenie takich rozwiązań, aby nikt nie mógł odbierać informacji o telefonach od klientów np. bez przedstawienia specjalnych kodów, które wskazywałyby na celowość odbioru danych. Jeśli tego nie zrobimy, mobilny przełomowy rynek będzie istniał jeszcze przez wiele lat – narzeka Kuskov.
Teraz, aby zapobiegać wyciekom, firmy wdrażają systemy wykorzystujące uczenie maszynowe do określania najbardziej prawdopodobnych kanałów wycieków i pracowników, którzy mogą potencjalnie stać się insiderami, mówi Aleksandr Czernykhov, wiodący ekspert w obszarze bezpieczeństwa informacji Krok. Dodał, że w celu zbadania wycieków opracowywane są obecnie systemy cyfrowego oznaczania dokumentów i interfejsów, co również pomaga w znajdowaniu osób poufnych.
Przedstawiciel Sbierbanku powiedział Forbesowi, że w 2020 roku firma nie znalazła ani jednego przypadku wycieku danych osobowych od pracowników banku. Stało się to możliwe dzięki „nowej architekturze procesów przeciwdziałania wyciekom”, odnotowanej w Sbierbanku, ale nie ujawnionej szczegółów pracy z tym problemem. MTS posiada architektoniczne zróżnicowanie dostępu do informacji, opracowano również pełen zakres technicznych zabezpieczeń przed rozpowszechnianiem danych osobowych – są to kontrola dostępu programowa i sprzętowa oraz stały monitoring – powiedział przedstawiciel operatora. Dodał, że firma informuje również pracowników, że osobom postronnym nie należy wpuszczać do chronionych informacji i że istnieje za to groźba odpowiedzialności karnej.
Przedstawiciel VimpelCom powiedział, że operator nie toleruje żadnej formy naruszenia prywatności danych osobowych użytkowników. Firma jest gotowa do współpracy z uprawnionymi organami w dochodzeniu takich naruszeń – dodał. Rzecznik Megafon odmówił komentarza. Przedstawiciel T2 RTK Holding (marka Tele2) nie odpowiedział na prośbę Forbesa.
Wyciek danych i ryzyko cofnięcia licencji: banki wymieniły główne zagrożenia związane z cyberatakami
Co zagraża sprzedaży danych osobowych
< p>Co do zasady nielegalne działania z danymi osobowymi w obecnej praktyce są wykorzystywane w sprawach karnych o nieuczciwe działania (głównie na odległość), wyjaśnia Dmitrij Gorbunow, partner Rustam Kurmaev & Partners. Według oficjalnych statystyk w samym 2020 r. sądy rozpatrzyły ponad 36 500 przypadków oszustw, co stanowi o jedną trzecią więcej niż w 2019 r., przy czym skazano 60% sądów. Do tej pory nie pojawiły się te same statystyki dla 2021 r., ale całkiem możliwe jest oczekiwanie wzrostu w takich przypadkach o 25-30% – sugeruje Gorbunow.
W przypadku wykrycia wycieku nieistotnych danych osobowych osobie grozi grzywna w wysokości do 50 000 rubli, a osoba prawna – do 6 milionów rubli, mówi Alexey Gavrishev, partner zarządzający kancelarii AVG Prawny.
Kara za naruszenie tajemnicy rozmów telefonicznych i korespondencji może wynosić do czterech lat więzienia, powiedział Gawriszew. Ponadto informacje, które przechodzą przez operatora telekomunikacyjnego, są najczęściej tajemnicą handlową, a ich ujawnienie podlega karze do pięciu lat więzienia, dodał prawnik.