Журнал "Итоги"

С 1 июля наконец..."> Журнал "Итоги"

С 1 июля наконец..."/> Журнал "Итоги"

С 1 июля наконец..."/>
8 (391) 22-33-733
Тех. поддержка:
noc@sibir-ix.ru
Главная
/
Блог
/
Осторожно, цифра!

Осторожно, цифра!

3 октября 2014, 14:39

Автор: Елена Покатаева. Журнал "Итоги"

С 1 июля наконец-то в полную силу заработает закон «О персональных данных»: организации, которые по долгу службы работают с нашими именами, фамилиями, адресами, номерами мобильных телефонов и банковских карт и тому подобной сугубо личной информацией, уже не смогут в случае чего сослаться на технические неувязки — к началу июля все должны быть вооружены против любых утечек персональных данных (ПД) россиян. «Итоги» заинтересовались, до какой степени теперь можно доверять разнообразным компаниям и организациям, которые наперебой просят нас заполнить свои анкеты, чтобы вручить дисконтную карту или подключить к интернет-ресурсу?

В связи с этим интересен опыт «старших товарищей» по демократизации и гласности. Там законы «О защите частной жизни» (США) и «О защите данных» (Франция) вступили в силу еще в 1974 и 1978 годах соответственно. А в 1981 году появилась общеевропейская «Конвенция о защите прав физических лиц при автоматизированной обработке персональных данных», к которой сегодня присоединилось 35 стран. Несмотря на столь солидный возраст, проблемы с утечками ПД там окончательно не решены: в прессе то и дело появляются сообщения об очередном инциденте. То ли дело у нас: граждан, данные которых утекли, например, в соответствующий магазинчик на «Горбушке» или на хакерский интернет-ресурс, по закону тоже положено извещать об утечках, но, как говорят эксперты, таких прецедентов до сих пор не зафиксировано. К сожалению, дело не в том, что у нас такие неприятные истории не случаются вовсе, — просто законы другие. Поясняет Николай Федотов, главный аналитик InfoWatch: «В России оператор обязан уведомлять соответствующий госорган о самом факте обработки ПД, в США — только об инцидентах (утрате, разглашении). В России предусмотрена ответственность за нарушение порядка защиты ПД, но нет ответственности в случае их утечки. В США — наоборот».

Иными словами, в США механизм регулирования в сфере защиты ПД прост: если гражданину нанесен ущерб, он должен быть возмещен. А чтобы организации не увиливали от ответственности, все инциденты предаются гласности, причем за сокрытие такого факта грозит наказание вплоть до уголовного дела. По степени результативности такой подход сравним с очень эффективной борьбой с тунеядцами и дебоширами через советские парторганизации. Но для современной России — закрытой и непрозрачной — законодатели придумали свой ход. «Наш закон учитывает российский менталитет — пока гром не грянет, мужик не перекрестится — и закладывает дополнительно нормы, позволяющие применить репрессивные методы к тем, кто ничего не делает для защиты или делает это неправильно, даже если факта нарушения интересов субъекта ПД еще не произошло, — рассказывает Сергей Вихорев, заместитель генерального директора по развитию компании «ЭЛВИС-ПЛЮС». — Эти превентивные меры частично компенсируют отсутствие информирования о нарушениях». Посмотрим, как наша специфика может сказаться на практике.

Законы США напрямую связывают факт утечки с ущербом. Тогда, рассуждает Николай Федотов, убытки для западного оператора ПД пропорциональны числу скомпрометированных записей: чем крупнее предприятие, тем дороже соответствующие риски. А для российского оператора оценка убытков пойдет скорее по принципу семь бед — один ответ, то есть чем крупнее предприятие, тем меньше данный риск на фоне других. При этом соблазн сбыть на сторону конфиденциальные данные граждан со временем возрастает. По оценкам аналитиков InfoWatch, в 2006 году на одну утечку приходилось в среднем около 177 тысяч записей (собственно ПД), а в 2009-м — более 750 тысяч. При средней цене 3 доллара за одну кредитку получается, что на одной флэшке можно унести в кармане два с лишним миллиона долларов. (Неудивительно, что, по оценкам компании Symantec, на «карточные» мошенничества приходится около трети всех доходов на черном рынке киберпреступлений, который составляет в России 2 миллиарда долларов.) Каким же будет наказание?

Рассказывает Евгений Царев, заместитель директора департамента продуктов и услуг компании LETA: «Если в России со счета клиента через интернет-банк пропадают деньги, то банк почти никогда не несет финансовой ответственности, а в США практически всегда». То есть в США деньги крадут у банков, а в России — у клиентов.

Правда, о полном беспределе на этом рынке говорить не стоит. Там, рассказывают эксперты, действует саморегулирование: черный рынок занимает определенный процент от белого, например, кардеры «отъедают» не более полпроцента от прибыли по карточным платежам. С этой долей банкиры готовы мириться — они заранее закладывают в бюджеты соответствующие убытки, но и вырасти сверх выделенного процента ей не дают. «Ловить и сажать при таком уровне хищений экономически невыгодно, — комментирует Николай Федотов. — На расследование инцидента уйдет больше средств, чем в итоге сэкономят все затронутые стороны (банк, клиенты, государство). Поэтому ловят кардеров лишь показательно, в основном тех, кто зарвался». Иными словами, данные собственной кредитки по-прежнему не стоит доверять никому. А как быть, скажем, с паспортными данными? Их ведь тоже сегодня продают на черном рынке. Правда, за копейки.

Стоят они так недорого, отмечают специалисты, потому что самостоятельной ценности не имеют и используются в мошеннических схемах в качестве вспомогательной информации. «От 1/2 до 3/4 выручки от мошенничества с кредитами уходит на подкуп и поддельные документы, — поясняет Николай Федотов. — Ксерокопия чужого паспорта здесь играет примерно такую же роль, как темные очки в карьере разведчика: каждый может вообразить, что он уже почти Штирлиц, осталась сущая малость — пробраться в секретный бункер и выкрасть секретную папку». До сих пор в России не зарегистрировано ни одного случая, когда при помощи одной только копии паспорта преступник смог бы украсть деньги.

Такую позитивную роль неожиданно сыграло наследие прошлой эпохи — у нас до сих пор везде нужны бумаги. А вот в США, где гораздо сильнее развиты интернет-услуги, по оценкам компании LETA, 20 процентов всех видов мошенничества сегодня происходит с использованием чужих персональных данных. И нас это ждет: услуги в электронном виде стремительно приближаются, а вместе с ними — явление, называемое кражей личности. В США даже создан сайт, куда «физические оригиналы», пострадавшие от своих цифровых копий, могут обратиться за консультацией. Правда, массовым явлением кража личности пока не стала даже на развитом Западе: для этих целей нужно ПО, способное аккумулировать всевозможные данные, которые сами пользователи оставляют в Сети, а оно в виде коробочных продуктов на черных рынках пока не представлено. Но в течение нескольких лет эта задача точно будет решена, и тогда нас могут ожидать новые проблемы. Сам принцип превентивной защиты данных может дать сбой. «Средний пользователь iPhone устанавливает примерно десять приложений, а это как минимум десять разных компаний или физических лиц, которые получают доступ к большому объему ваших данных», — комментирует Евгений Царев. Данные недавних исследований подтверждают: доля внешних угроз безопасности данных постоянно растет, в то время как объем утечек через инсайдеров снижается.

К тому же, как говорит Тимур Аитов, вице-президент Ассоциации российских банков, наш закон требует избыточной безопасности, заставляя надежно хранить любые данные, связанные с конкретной личностью. Став частью цифровой личности, такие малозначительные сегодня для мошенников параметры, как сканы паспортов, номера водительских удостоверений и соцкарт и т. п., приобретут самостоятельную ценность. И на ПД россиян начнут охотиться всерьез, как сегодня в США на номер соцстрахования.

Похоже, что цифровые технологии действительно способны преобразить наш мир до неузнаваемости. Как шутят специалисты в сфере защиты ПД: «В связи с утечкой информации Число Зверя пришлось изменить...»

Как минимизировать риск утечки персональных данных в руки мошенников?

Технический консультант Symantec Олег Головенко: "Нужно ликвидировать нынешние причины неэффективности защиты ПД: недостаточно ответственный подход к этому вопросу российских компаний, малая распространенность технических средств защиты и слабое понимание со стороны компаний, каким образом лучше защитить себя от подобных утечек. А это связано с отсутствием нормального единого стандарта или хотя бы единых подробных рекомендаций по обеспечению подобной защиты для предприятий из различных сфер деятельности".

Ру­ко­во­ди­тель нап­рав­ле­ния за­щи­ты пер­со­наль­ных дан­ных, "Инфо­сис­те­мы Джет" Юрий Черкат: "Компаниям — операторам ПД необходимо не строить лоскутную систему защиты, пытаясь охранять только то, что требует закон, а использовать комплексный подход к безопасности IТ-инфраструктуры и бизнес-процессов. Другими словами, надо следовать не только букве, но и духу закона, который направлен не на формальное выполнение набора требований, а на предотвращение возможных утечек, то есть реальную защищенность".

За­мес­ти­тель ди­рек­то­ра де­пар­та­мен­та про­дук­тов и ус­луг LETA Евгений Царев: "Думаю, в XXI веке это почти невозможно. Пример: телефон, который вы носите с собой, знает не только ваше местоположение, но и все связи и интересы. Некоторые провайдеры давно хранят SMS, MMS, голосовую почту и даже всю историю переговоров своих клиентов. И открывают рекламодателям доступ к этой информации. В одних странах это происходит в соответствии с законом, в других, как у нас, неофициально, но этим занимаются все".

Среднее количество граждан, пострадавших от одной утечки данных банковских карт
 Хакерские атаки 263 000
Инсайдерские утечки 68 000
Кража/потеря 67 500
Проблемы в политиках безопасности 30 572
Мошенничество 6353
Источник: Symantec, 2011

Скрывать нельзя открывать

Глав­ный ана­ли­тик InfoWatch Николай Федотов: "Бытует распространенное мнение, что для предотвращения мошенничества персональные данные следует засекречивать. На мой взгляд, это спорный тезис. Для совершения преступлений используется много разной информации. Было бы неразумно запрещать, ограничивать или засекречивать все, что используется, правда? Но столь же неразумно все разрешать, в том числе предметы (сведения), которые могут быть использованы только для преступных целей и больше ни для каких. Очевидно, разумное решение заключается в том, что ограничения следует налагать на такие предметы и сведения, которые для противоправных целей применяются много чаще, чем для законных, и могут быть эффективно ограничены в обороте. Скажем, оружие этим критериям удовлетворяет. А персональные данные?


Например, множество мошеннических схем построено на информации о кредитах граждан. Но такая информация может быть использована не только мошенниками, но и многими честными гражданами и организациями, например, для построения деловых и личных взаимоотношений. Право знать, что человек, с которым ты имеешь дело, не вернул кому-то долг, вполне вписывается в конституционное право на свободу информации. Информация ведь свободна не просто так, а ради полезных целей. Если бы (представим невозможное) нам удалось надежно закрыть персональные данные, как того требует 152-ФЗ, вероятно, не случились конкретные факты мошенничества с кредитами, которые имели место в действительности. А вот общее число преступлений вряд ли бы снизилось. Ведь недоступность одного способа мошенничества не приводит к тому, что профессиональный обманщик бросает преступный промысел и идет вкалывать на завод. Единственное, что склонило бы помянутого гражданина к праведной жизни, так это отправка его года на три шить рукавицы в Пермский край. А этому будет способствовать отнюдь не секретность данных, а своевременное выявление и учет преступлений.

Ставить на пути преступников столь мелкие препятствия, как конфиденциальность персональных данных, — это значит совсем не понимать логики и экономики криминального мира. Препятствия должны быть настолько серьезными, чтобы остановить противника или задержать его на время одного-двух прицельных «выстрелов» противостоящей стороны. С врагом надо воевать, а не щекотать его
".


Похожие новости

6 октября 2015, 11:40
В Красноярске пройдет крупнейшая за Уралом выставка информационных технологий itCOM-2015

С 15 по 17 октября 2015 года Красноярск станет центром демонстрации современных достижений в сфере IT и связи. Именно в эти даты пройдет крупнейшая на территории Сибири и Дальнего Востока XIII специализированная выставка-форум «itCOM – Информационные технологии. Телекоммуникации». Одним из официальных партнеров выставки выступит и ООО «Оптизон».

15 сентября 2015, 13:48
У какого провайдера в Красноярске самый дешевый безлимитный Интернет?

Сейчас почти и не найдешь оператора, который бы не предлагал абонентам пакет услуг. В рекламных листовках нам навязчиво рассказывают, что без кабельного или IP-ТВ и без телефонии жизни нет. Но есть категория абонентов, которым не нужны ни множество телеканалов, ни IP-телефония. Им просто нужен доступ в Интернет. Почту проверить, в социальной сети пообщаться, видео на YouTube посмотреть, в онлайн-игрушку поиграть, фотографии в Одноклассниках посмотреть и т. д. Им не нужны высокие скорости, им не нужны супертехнологии в виде xPON и т. п. Недорогой доступ в Сеть — вот все, что требуется от провайдера.

5 сентября 2015, 11:25
В Минкомсвязи объявили список телеканалов, за которые провайдеры не имеют права взимать оплату с абонентов

Соответствующее разъяснение на встрече представителями медиа-индустрии сделал заместитель министра связи Алексей Волин. В перечень вошли 20 обязательных общедоступных телеканалов, входящих в первый и второй мультиплексы, а также получившие право на осуществление эфирного цифрового наземного вещания с использованием позиций в мультиплексах на всей территории РФ

5 сентября 2015, 11:17
Администрация Лесосибирска сменила провайдера

Благодаря Интернету от ТТК на городском портале Лесосибирска теперь успешно работает «Электронная приемная». Любой гражданин может отправить электронное письмо или запрос в адрес руководства города, не выходя из дома.

31 августа 2015, 20:17
В Норильске абонентам МТС стало доступно 126 каналов в базовом пакете

В обновленный пакет по технологии DVB-C вошли такие каналы, транслируемые в высокой четкости, как Animal Planet HD, Discovery Channel HD, MTV Live HD, Eurosport HD, LifeNews HD, а также каналы Спорт 1, Travel Channel HD, HD Life, TLC HD, Food Network HD и другие.

31 августа 2015, 20:07
Мобильные кардиографы передали 61 000 ЭКГ через сети «МегаФона» в Красноярском крае

Только с начала 2015 года медики уже успели обработать более 21 000 кардиограмм пациентов, и в каждом двадцатом случае врачи диагностировали состояния, угрожающие жизни людей.

30 августа 2015, 13:39
Россиянам предлагают выиграть страшный квест

Телеканал «Настоящее Страшное Телевидение» (НСТ) предлагает создать карту страшных мест России и выиграть приз. Принять участие в необычном конкурсе могут все желающие граждане старше 16 лет.

19 августа 2015, 06:46
Концерт MegafonLive в Красноярске и Новосибирске стал испытанием сети оператора

Всего за время концерта абоненты «МегаФона» проговорили больше 50 часов, а объем передачи данных можно сравнить с 15 000 фотографий, выложенных в социальные сети.

19 августа 2015, 06:39
Деловой центр "Кедр" подключили к сети ТТК-Сибирь

Узел связи, рассчитанный на 24 клиентских Ethernet-порта пропускной способностью до 1 Гбит/сек позволяет поучить арендаторам услуги ШПД, телефонию, а также организовать IP VPN.