• У липні цього року зазвичай тихий Рунет потрясла низка скандалів з витоками персональних даних користувачів найрізноманітнішого масштабу. У мережі спочатку виявилися SMS-повідомлення абонентів "Мегафону", потім спливла база покупців інтим-магазинів, далі - квиткові дані пасажирів РЖД. На цьому тлі навіть слоган "Знайдеться все!" придбав зловісний ореол, а компетентні органи пообіцяли розібратися і знайти винних (мабуть, все в тому ж нещасливому кеші Яндекса).
    Звертає на себе увагу концентрація відразу чотирьох випадків у короткому інтервалі часу і в межах країни, яка поки дуже далека від кількості витоків у США і Європі. Примітно також, що сталося це все напередодні підписання президентом РФ нової редакції закону "Про персональних даних". Знущання долі, воля випадку або навмисний акт хакерського непокори? Можливі всі варіанти.
    Хроніки інформаційної епохи
    Крадіжка інформації, у тому числі персональних даних, і їх зловмисне використання - явище настільки ж давня, як і відома професія. Організатори конкурсу на найстарішу витік інформації з асоціації Open Security Foundation (OSF) образно пожартували, що використання соціальної інженерії змієм-спокусником призвело до повного знищення всіх записів, які містилися в Дереві Знань. Ну а в якості засобу для своєї атаки змій вже тоді використав Apple.
    Якщо ж говорити серйозно, то першою відомою витоком персональних даних був визнаний випадок 1903р. з крадіжкою амбулаторних карт пацієнтів психіатричної лікарні Південній Кароліні. Відлік ж цифрового "потопу" почався з 1984р, коли була зламана комп'ютерна система в онкологічному центрі Sloan-Kettering Нью-Йорка і крадіжка медичних записів 250 пацієнтів. І вже через рік сталася перша масштабна витік: в рамках хакерського вторгнення в комп'ютерну систему бюро кредитних історій TRW могли бути скомпрометовані дані 90 млн людей.
    Створення Всесвітньої мережі (WWW) зробило "мільйонний" масштаб витоків інформації нормою. Втім, за даними InfoWatch, на інтернет-канали зараз припадає лише 16% таких випадків. Інше "витікає" по старинці: в 20% випадків інформація втрачається через паперові документи; настільні комп'ютери, сервери, жорсткі диски - 25%, ноутбуки та мобільні пристрої - 12%, знімні носії (CD, флеш-накопичувачі) - 8%. Ну і трохи "прокачується" через електронну пошту і навіть архаїчний факс - 7%. Крапелька ліні і неуважність офісних працівників - і тисячі конфіденційних паперів летять на смітник, де їх чекають "сміттєві старателів" (трэшдайверы).
    Переважна більшість витоків інформації в світі стосується персональних даних (96%). Такі дані - найліквідніші, тому зловмисники, як правило, зазіхають саме на них. Їх цікавлять атрибути банківських карт, номери соціального страхування і їх аналоги. При цьому секрети виробництва і держтаємниця цікаві в одиничних випадках, хоча, можливо, можуть коштувати більше, ніж "персоналка".
    Очевидно, що інтернет з кожним роком буде ставати все більш актуальним каналом просочування персональних даних, так як число користувачів у світі вже наближається до 2 млрд, і зростає їх охоплення соціальними мережами. Наприклад, у квітні 2011 року. Symanteс повідомила, що на Facebook протягом декількох років, можливо, відбувалася витік персональних даних користувачів і опинялася в руках рекламодавців.
    Аналітики вважають, що умовно скомпрометована була останнім часом хоча б один елемент, що стосується кожної людини в розвинених країнах. За даними тієї ж InfoWatch, загальне число скомпрометованих персональних даних склало майже 654 млн записів, а завданий збиток - 200 млн дол.
    C кожен роком масштаб лиха у віртуальному світі стає все більшим. Згадати хоча б злом PlayStation Network (PSN), здійснений 17 квітня цього року. Тоді зловмисникам вдалося заволодіти частиною персональних даних користувачів, яких у мережі було зареєстровано 77 млн, а доступ до PSN був повністю відновлений тільки через місяць.
    Експерти називають цю подію найбільшим за всю цифрову епоху, а хто-то включає в п'ятірку найвпливовіших. Посперечатися з ним за пальму першості може торішній випадок з Microsoft, коли виявилося можливим отримувати через мобільний канал доступ до акаунтів інших користувачів. А в базі Microsoft - ні багато ні мало 460 млн облікових записів.
    Якщо ж говорити про державні таємниці, то найскандальніша витік також припала на 2010р. Мова про ресурс WikiLeaks, зрозуміло.
    Масштаб лиха Рунета
    По частоті витоків Росії поки що далеко до розвинених країн. Так, в США за підсумками 2010 р. було зафіксовано 580 подібних інцидентів, у Великобританії 69, а в нашій країні - лише 28.
    Однак аналітики вважають, що такий розклад показує не стільки невразливість російських систем, скільки латентність витоків. Так, в США і Великобританії закон вимагає обов'язкового повідомлення громадян про витік або втрати їх персональних даних. І це вимога зазвичай виконується, після чого інформація, як правило, потрапляє в пресу і до аналітикам.
    У Росії такий стан теж є. Однак, як часто буває в нашій країні, суворість законів компенсується необов'язковістю їх виконання - досі жодного випадку подібного повідомлення не зафіксовано. Все ж виявлені в 2010р. витоку належали до категорії умисних, а не випадкових, і були пов'язана з персональними даними громадян Росії, що втекли з банківських і державних структур.
    Чимала частина викрадених даних була використана для скоєння шахрайських дій. Деяку частину витоків виявив Роскомнагляд, але для організацій це вилилося лише під стягнення.
    Ось і 18 липня 2011 р. Рунет "прорвало" тільки внаслідок активності рядових користувачів. В блогах з'явилася інформація, що "Яндекс" при певному запиті дає список з декількох тисяч SMS, відправлених з сайту "Мегафону". В цілому у відкритий доступ потрапило близько 8 тис. пошукових об'єктів, які містили інформацію про 2,5 тис. телефонних номерів.
    В "Яндексі" інцидент пояснили відсутністю на сайті "Мегафону" спеціального файлу robots.txt, в якому адміністратором сайту прописується заборону на індексацію. В "Мегафону", у свою чергу, заявили, що до інциденту може бути причетний "Яндекс", оскільки повідомлення проіндексували тільки в цій пошуковій системі.
    Посипалися взаємні звинувачення, але тут історія потонула в новій хвилі: через тиждень у відкритий доступ потрапили дані клієнтів 80 інтернет-магазинів, в тому числі секс-шопів. А 26 липня всі користувачі інтернету могли бачити електронні залізничні квитки, куплені через RailwayTicket.ru, з датами, номерами рейсів, іменами пасажирів.
    На наступний же день в пошуковій видачі опинилися документи (у тому числі "для службового користування\ і подав судовий позов про захист невизначеного кола споживачів. У союзі впевнені, що "Мегафон" порушив положення Конституції РФ (таємниця листування), закону україни "Про зв'язок" (таємниця зв'язку), а також закон про персональних даних.
    І хоча "МегаФон" відкинув ці претензії, і запропонував врегулювати ситуацію в позасудовому порядку, Союз споживачів по -, як і раніше вимагає компенсації. Рішення цієї справи буде безпрецедентним, і вперше покаже, чи можна компенсувати завдані збитки і як працює оновлене законодавство про персональних даних.
    У розпал цих скандалів, 26 липня, президент Дмитро Медведєв підписав нову редакцію закону "Про персональних даних". Незважаючи на деяке пом'якшення вимог до збору та роботи з персональними даними, новий закон вимагає великих зусиль для забезпечення захисту даних, що обробляються. Оператор персональних даних, яким тепер стає кожна державна і муніципальна організація, юридична і навіть фізична особа повинен бути готовий до збільшення витрат на організацію захисту своїх інформсистем.
    Віртуальний світ дає текти
    На збіг у часі появи нового закону і фактів витоків не звернув увагу тільки ледачий. Правда, ніхто не знає (або не)каже, хто став ініціатором: хакери, які хотіли щось довести владі, або влади, які вирішили дати урок і хакерам, і легальним учасникам цифрових відносин.
    Зате напевно можна сказати, що для компаній та інших виконавців закону виникає істотне навантаження на бюджет.
    "Закон досить суворий, і тепер будь-який відділ кадрів будь-якого підприємства в РФ - це сховище персональних даних. Отже, компанія повинна мати спеціалізований софт для зберігання цієї інформації. Посилюється і відповідальність веб майстрів за публікацію таких даних", - оцінив нову законодавчу реальність генеральний директор "Яндекса" Аркадій Волож.
    Генеральний директор квиткового інтернет-агентства "Білий міст" Дмитро Гайд висловив побоювання, що в процесі наведення законодавчого порядку може з'ясуватися, наприклад, що власникам сайтів в обов'язковому порядку потрібно буде придбати програмні продукти для захисту даних При цьому потрібну ціну зможуть впоратися тільки великі компанії, а невеликі учасники будуть змушені піти з ринку. "В результаті такого сценарію користувачі, звичайно ж, програють, так як про цієї цінової конкуренції тут говорити не доведеться", - нарікає він.br/>Однак більшість експертів вважає, що ніяких масових витоків і не було в липні. "Немає ситуації масової витоку. Є ситуація з масовим виявленням проблем, які існували давно. Ці дані зберігалися в пошукових системах і найчастіше були доступні роками. Але варто було однією з витоків отримати широке висвітлення в ЗМІ, як все тут же кинулися шукати подібні документи", - вважає головний антивірусний експерт "Лабораторії Касперського" Олександр Гостєв. Він рекомендує звикнути до таких випадків.
    Цієї ж позиції дотримується віце-президент безпеки групи QIWI Володимир Загрибелин. "Швидше за все, те, що ми бачили, це результат роботи неуважної адміністраторів сайтів, так званий людський чинник. Такого роду "помилки" зустрічалися і раніше, просто не мали такого яскравого освітлення і суспільно резонансу", - зазначив він.br/>Технічний директор компанії Positive Technologies Сергій Гордейчик взагалі вважає, що широкий розголос інцидентів з витоками призвела до популяризації добре відомих "спеців" технік конкурентної розвідки і злому через пошукові системи. Такі прийоми демонструються на прикладах порталів свідомо добре захищених компаній і навіть спецслужб. Однак серед експертів в області інформаційної безпеки, говорить С.Гордейчик, діють певні кодекси професійної честі. Так, у разі виявлення витоків або помилок фахівці спочатку намагаються зв'язатися з власником ресурсу, повідомити про інцидент, усунути його. І лише потім, іноді разом із власником ресурсу, публікується інформація про проблему.
    "Масовий ж користувач не знає про такий практиці, не бачить необхідності проходити складну процедуру. Знайшов, написав у блозі, відправив у ЗМІ і захлинаючись читає новинні стрічки", - пояснює експерт.
    За статистикою Positive Technologies, які призводять до витоку інформації уразливості містяться більш ніж у 50% всіх сайтів - так що при бажанні завжди можна знайти що-небудь конфіденційну.
    Ковчег для користувача
    Але все ж липневий випадок дійсно привів у тонус багатьох учасників інтернет-ринку. Наприклад, "Яндекс" тепер думає, як підвищити "ввічливість" пошукового робота відносно персональних даних, хоча за директивою ЄС пошуковики цього робити не зобов'язані, можуть і надалі здійснювати автоматичне індексування.
    Голова комітету з платіжним системам і банківських інструментів Національної асоціації учасників електронної торгівлі Борис Кім вважає, що тепер компанії почнуть більш відповідально підходити до технічних аспектів захисту конфіденційних (у тому числі і персональних даних, а пошукові служби переглянуть можливості агресивного індексування сторінок з використанням розширень і надбудов до браузерів.
    У свою чергу С.Гордейчик порекомендував компаніям перевірити безпеку своїх веб-сайтів, відсутність конфіденційної інформації на незахищених сторінках, і контролювати вмісту кеша пошукових машин. Багато власників сайтів додатково впровадили криптографічні протоколи для максимально безпечного з'єднання користувача з серверами компанії.
    Google-Росія заявили, що давно пропонують і власникам сайтів, і їх користувачам почитати складені компанією докладні інструкції про те, як діяти в інтернеті і уберегтися від витоку даних. "Потрібно дотримуватися елементарні норми безпеки, пов'язані з розміщенням інформації у відкритому доступі, рекомендації пошукових служб про способи заборони індексування сторінок", - заявляють в Google.
    Між тим, як ні захищайся, дані користувачів можуть опинитися в руках зловмисників через державні канали. Експерти говорять, що інформаційна система російських відомств морально застаріла, а на створення нової піде років п'ять. І без цього малоймовірна повноцінна реалізація програми "електронний уряд".
    Однак рядовому користувачеві захистити право приватного життя можна і потрібно. Б.Ким рекомендує використовувати антивірусні програми, при покупках в інтернет-магазинах вибирати відомі і великі, а в платіжних системах проводити оплату через захищене (SSL) з'єднання. А С.Гордейчик пропонує при реєстрації на "одноразових" ресурсах або в інтернет-магазинах використовувати псевдоніми, якщо це не заборонено продавцем і не планується наприклад здавати товар по гарантії. Що ж стосується платіжних систем, то рекомендується використовувати або окрему пластикову картку з невеликим кредитом, або використовувати "віртуальні" одноразові карти.
    У самому ж Мінкомзв'язку РФ взагалі заявили, що користувачеві в інтернет слід керуватися нормами оновленого законодавства і передавати персональні дані лише в тому обсязі, який необхідний для досягнення цілей їх обробки. "На законодавчому рівні всі заходи прийняті. Витік можлива тільки при порушенні вимог законодавства", - переконані в міністерстві.