Совершенно несекретно

Во вторник прокуратура Татарстана сообщила о нарушении, которое местный Роскомнадзор обнаружил в исполкоме Спасского района республики. В органе муниципальной власти пренебрегли безопасностью сведений о местных жителях: «Дела по переписке с федеральными и государственными органами исполнительной власти, с муниципальными органами хранились на открытых стеллажах в организационном отделе, в помещении, не оборудованном шкафами, исключающими несанкционированный доступ к ним». Возбуждено дело по статье 13.11 КоАП РФ (нарушение порядка сбора, хранения, использования или распространения информации о гражданах).

Утечки данных из госструктур происходят регулярно, отчитываются в аналитическом центре Zecurion Analytics: в прошлом году конфиденциальная информация в 16,9% случаев «утекла» именно из организаций бюджетного сектора. Так, на минувшей неделе суд в Костроме на 130 тысяч рублей оштрафовал 53-летнего местного жителя – бывшего замначальника УФМС РФ по Костромской области. В марте 2015 года мужчина попросил действующего сотрудника ведомства за 15 тысяч рублей предоставить ему сведения из базы данных совершеннолетних жителей региона. Информация нужна была ему для проведения адресных рекламных акций. После передачи взятки мужчина был задержан сотрудниками областного УФСБ.

Плохое состояние информационной безопасности в госкомпаниях объясняется прежде всего тем, что у чиновников нет мотивации хорошо защищать данные граждан, убеждены в Zecurion Analytics. «Для госкомпаний в большинстве случаев репутационный и в целом финансовый ущерб от утечек гораздо ниже, чем для частных», – говорится в отчете центра за 2014 год. Другие причины?– большие объемы конфиденциальной информации, которую обрабатывают чиновники, и большое количество лиц, имеющих к ней доступ.

В целом Россия занимает второе место после США по числу утечек: за прошлый год в Zecurion Analytics насчитали 41 такой инцидент. Однако реальное число утечек в стране может быть много больше, признают аналитики. Это связано с «отсутствием требования разглашать информацию об инцидентах на законодательном уровне» в России.

Сомнительную пальму первенства по доле утечек среди отраслей удерживает розничная торговля – в 17,7% случаев утекшие данные представляли собой именно информацию о покупателях магазинов. В 16,2% это были сведения о пациентах медучреждений, а в 13,5% – о клиентах финансовых организаций.

«Прежде всего надо понять, какого рода неправомерное использование данных здесь возможно, – комментирует ситуацию «НИ» президент Союза потребителей России Петр Шелищ. – Анкеты на скидочные карты, которые предлагается заполнять клиентам, используются для рассылки разной рекламы. Я не вижу тут возможности какого-то опасного использования. А вот паспортные данные, которые требуют в финансовых организациях, могут мошеннически использоваться. Я всем советую, когда запрашиваются паспортные данные просто для информационных целей, их не указывать. Другое дело?– банк, где вы без паспорта ничего не оформите».

Персональные данные часто становятся объектом купли-продажи, причем торгуют информацией те, кто по идее должен ее оберегать. В мае в Тверской райсуд Москвы направили уголовное дело в отношении 26-летнего сотрудника крупной страховой компании Ивана Чистякова. Он воспользовался «служебными возможностями в корыстных целях»: скопировал на флешку персональные данные 387 тысяч клиентов и продал их за 50 тысяч рублей. Примечательно, что мошенник, купивший информацию у Чистякова, перепродал ее уже за 400 тысяч.

По 700 рублей продавал всем желающим информацию работник одной из компаний сотовой связи в Чите. Молодой человек попался по размещенной им в Сети рекламе. Выяснилось, что до задержания он успел скопировать и реализовать персональные сведения по пяти абонентам. В середине декабря 2014 года уголовное дело в отношении злоумышленника было направлено в суд.

Известно, что благодаря нарушениям законодательства о персональных данных процветают всевозможные ритуальные компании и похоронные агентства: хрестоматийным стал случай, когда уже через несколько минут после смерти человека в больнице с его родными связывается коммерсант, предлагающий услуги по организации траурной церемонии. Так, в феврале этого года омский полицейский продал ритуальной компании персональные данные умершего, за что лишился должности (о результатах служебной проверки в местном УМВД не отчитывались). Годом ранее в Красноярском крае был задержан руководитель ритуальной организации, который за 2 тысячи рублей хотел получить у медсестры сведения об умерших в больнице. В мае 2014 года УФАС Бурятии выявила сговор между ритуальной службой и девятью больницами Улан-Удэ, которые раскрывали агентам персональные данные умерших. Проверка была инициирована по заявлениям фирм-конкурентов.

Хотя финансовая отрасль и не в первой тройке по числу утечек, но ущерб от нарушений правил хранения персональных данных в ней максимален. Так, много шума полтора года назад наделал скандал с данными клиентов Сбербанка в Ижевске. В январе 2014 года на окраине города прохожие обнаружили на свалке среди строительного мусора ксерокопии паспортов, анкеты с паспортными данными, выписки по счетам, заявления на выдачу кредитов, сведения о содержимом банковских ячеек, копии трудовых книжек... В дальнейшем выяснилось, что таким образом «утилизировались» документы, вывезенные из офиса Сбербанка перед ремонтом. Однако о результатах внутреннего расследования инцидента руководство финансовой организации так и не отчиталось. Годом ранее похожий инцидент был зарегистрирован в Зеленограде – там копии паспортов и других документов клиентов Сбербанка нашли в мусорных контейнерах.

Случались в крупнейшем отечественном банке и намеренные утечки, ведущие к преступлениям. Так, 2 июля прокуратура Кабардино-Балкарской Республики направила в Нальчикский горсуд уголовное дело о хищении денег с незаконным использованием сведений, составляющих банковскую тайну, в отношении замруководителя отделения Сбербанка Тагира Арамисова и его знакомого. Арамисов, использовав банковскую базу, сделал подборку лиц со значительными средствами на счетах. Затем их персональные данные (номер карты, номер телефона клиента, подключенного к услуге «мобильный банк», паспортные данные, наличие средств на счете) передал своему знакомому Алану Кодзокову. Сообщники похитили со счетов трех клиентов банка более 2,6 млн. рублей.

Халатным подходом к хранению персональных данных грешат и в других банках. В 2009 году работник ярославского филиала банка ВТБ-24 повез коробки с документами на свалку, где должен был их сжечь. Но по неизвестной причине часть бумаг попала в руки бомжей.

Нередки в российских финансовых организациях и организованные утечки (которые, к слову, составляют, по данным Zecurion Analytics, 32% от всех утечек против 34,1% случайных). В прошлом году стало известно, что сотрудники банка «Первомайский» на Кубани несколько месяцев «выдавали» кредиты по персональным данным бывших (в том числе умерших) клиентов банка. Общий размер ущерба, который мошенники нанесли банку, оценивается более чем в 2 млн. рублей.

А в январе 2014 года от действий мошенников пострадали клиенты сразу нескольких российских банков. Подкупленные сотрудники банков передавали злоумышленникам сведения о крупных вкладчиках, а также копии их паспортов. Мошенники изготавливали поддельные паспорта, заводили счета, на которые впоследствии переводили средства с основных счетов вкладчиков, и обналичивали деньги. Службы безопасности банков долгое время не замечали происходящего, благодаря чему мошенники разжились 70 млн. рублей.

В феврале следователи Амурской области отчитались о расследовании хищения средств клиентов одного из коммерческих банков (какого именно, правоохранительные органы не сообщают). Менеджер по продажам, в чьи обязанности входило ведение базы клиентов, передала знакомому сведения о счетах, операциях и вкладах клиентов. В результате этих действий со счетов пострадавших было похищено более 1 млн. рублей. Сотрудницу уволили «по причине потери доверия работодателя», и вскоре она оказалась на скамье подсудимых.

Неудивительно, что большинство россиян опасаются пользоваться сервисами интернет-банкинга, боясь утечек: по результатам опроса, проведенного в прошлом году «Лабораторией Касперского» совместно с аналитическим агентством B2B International, 53% опрошенных уверены, что безопаснее совершать финансовые операции в реальном банке, а не в Сети. А 41% пользователей, которые все же решаются проводить денежные операции в Интернете, чувствует себя уязвимо. Отметим, что, по данным Zecurion Analytics, 13% утечек происходят по неэлектронным каналам.

И несмотря на такую осторожность, жертвы мошенничеств с кражей персональных данных чаще всего сами предоставляют злоумышленникам информацию. Например, за последние недели только в Саратовской области зафиксированы четыре случая мошенничества по следующей схеме: на телефон местного жителя приходит SMS с просьбой подтвердить данные о мобильном банке, после чего со счета списывается крупная сумма. Об этом сообщили в конце июня в областном ГУ МВД. А в Алтайском крае на днях неизвестные похитили около 200 тысяч рублей у жителей Барнаула, а также Заринского, Славгородского и Немецкого районов, которые разместили на одном из известных сайтов объявления о продаже имущества. Злоумышленники связывались с авторами объявлений по телефону и говорили, что готовы приобрести товар и перевести за него немалую сумму задатка на банковскую карту, в связи с чем просили назвать им номер карты или подключить мобильный банк на телефоне. Со счетов жертв списывались деньги: от 20 до 100 тысяч рублей. А в Костромской области в начале июня появились сведения о злоумышленниках, которые получали доступ к личным данным граждан под предлогом проведения соцопроса или сбора подписей в поддержку общественных инициатив. Во всех этих случаях конфиденциальную информацию люди сообщали вполне добровольно.