16.07.2011 - 31.07.2011
Россиянам напомнили о потенциальной
опасности Интернета
Создание и всеобщее проникновение Интернета явилось, несомненно, одним из главных достижений технологии прошлого века. Но, как и при внедрении любого научного открытия, появились новые проблемы. Связаны они с тайной личности. В наше время утечки информации становятся нормой. На эту тему постоянно появляются сообщения в прессе. Подавляющее большинство случаев с утечкой информации в мире касается персональных данных (96%).
C каждый годом масштаб бедствия в виртуальном мире становится все более крупным. Самые крупные утечки произошли совсем недавно. В апреле этого года была взломана PlayStation Network (PSN). Тогда злоумышленникам удалось завладеть частью персональных данных пользователей, которых в Сети было зарегистрировано 77 млн. В прошлом году подобный случай произошел с Microsoft, когда оказалось возможным получить через мобильный канал доступ к аккаунтам других пользователей, которых насчитывалось 460 млн. Самая скандальная утечка также пришлась на 2010г. Речь о ресурсе WikiLeaks.
Каждый пользователь всемирной сети знает о возможности того, что его «цифровой портрет» может стать кому-либо известен. Как правило, пользователи мало задумываются об этом. Социальные сети активно развиваются. Мобильный банкинг, использование интернет-торговли, электронная почта стали нормой жизни. Только когда случается какое-то событие, затрагивающее личную жизнь большого количества человек, интернет-сообщество вспоминает о потенциальной опасности, грозящей их персональным данным.
В данном случае речь идет о массовой утечке персональных данных, произошедших в июле. Произошли они из разных источников. Их отличительная особенность в том, что они не стали результатом работы специалиста-хакера, а произошли в результате «человеческого» фактора. Кто-то где-то не дописал программу, не учел последствий и т.д. Если бы данную утечку обнаружил специалист, то течение событий было бы совсем другое. Технический директор компании Positive Technologies Сергей Гордейчик говорит, что среди экспертов в области информационной безопасности действуют определенные кодексы профессиональной чести. Так, в случае обнаружения утечки или ошибок специалисты сначала пытаются связаться с владельцем ресурса, уведомить об инциденте, устранить его, и лишь потом, иногда совместно с владельцем ресурса, публикуется информация о проблеме. В данном случае определяющим моментом было опубликование личной информации в социальных сетях либо доступ к ней по известным запросам.
Надо отметить, что происшествий было несколько, но лавина обвинений обрушилась, в основном, на «МегаФон».
Что случилось
Ϻ июля 2011 г. в поисковую выдачу «Яндекса» попали сообщения, отправленные абонентам «Мегафона» через сайт оператора. У «Мегафона», как и у других операторов, есть такой сервис: можно зайти на сайт и отправить SMS бесплатно. Пользователи поисковика, введя определенным образом сформированный запрос, могли узнать не только полные тексты сообщений, но также номера, с которых они были отправлены, и данные о банковских картах отправителей. По данным «Мегафона», в открытом доступе оказалось порядка 8 тысяч объектов, из них около 3 тысяч SMS, отправленных на 2,5 тысячи номеров пользователей сети. Самым неприятным стало то, что утечку обнаружили пользователи интернета, которые опубликовали методику поиска в Twitter, а также сделали частную переписку общедоступной на собственных веб-ресурсах.
Ͽ июля 2011 г. стало известно о появлении в открытом доступе баз данных о ДТП с участием клиентов страховой компании «РЕСО-Гарантии». Компания занимает первое место в Петербурге по сборам каско и второе - по ОСАГО. С помощью простого запроса (например, номерной знак автомобиля) в поисковых системах «Яндекс» и Rambler находились десятки тысяч фотографий с мест ДТП, снимки водительских прав и доверенностей, схемы ДТП и заявления в страховую компанию. Стало известно, где они прописаны, какие машины им принадлежат и кто на этих машинах ездит.
Ё июля 2011 г. обнаружена публикация персональных данных пользователей интернет-магазинов в поисковой выдаче «Яндекса». Выдача поисковика по специально сконструированному запросу состояла из имен, фамилий, адресов и содержания заказов покупателей более 80 интернет-магазинов. Журналисты обнаружили такие данные и в других поисковиках — Google, Bing, Mail.ru.
Ђ июля 2011 г. появилась информация, что поисковики индексируют данные заказа билетов на сайтах railwayticket.ru и tutu.ru. Все пользователи Интернета могли видеть электронные железнодорожные билеты с датами, номерами рейсов, именами пассажиров.
Ѓ июля 2011 г. в поисковой выдаче оказались документы Федеральной антимонопольной службы, Федеральной миграционной службы РФ, Счетной палаты, Минэкономразвития, портала госзакупок и другие. Правда, представители ведомств заявили, что документы не представляли собой никакой секретности.
Расследование случившегося
Массовые сообщения об утечках персональных данных привлек внимание чиновников из самых разных ведомств. Причем, реакция была на редкость быстрая и разносторонняя. Обсуждается возбуждение уголовного дела против «МегаФона».
Роскомнадзор направил в арбитражный суд Москвы протокол об административном правонарушении «МегаФона». Факт попадания в публичный доступ SMS-сообщений говорит о нарушении условий лицензии оператора. Представитель ведомства Михаил Воробьев заявил журналистам, что происшедшее может иметь признаки нарушения закона «О связи» и «О персональных данных». По словам Воробьева, привлечь поисковые системы за нарушение закона «О персональных данных» нельзя: их функции сводятся лишь к индексации страниц с персональными данными. Но чтобы предотвратить утечки, Роскомнадзор, по словам Воробьева, попросил «Яндекс», Google, Microsoft и Mail.ru рассмотреть техническую возможность блокировать запрос, который позволяет получить доступ к персональным данным.
Роспотребнадзор предложил пострадавшим обратится в суд. Абоненты, чьи права были нарушены из-за появления текстов SMS-сообщений в открытом доступе в Интернете, имеют право предъявить претензии непосредственно сотовому оператору. Оператор связи обязан обеспечить соблюдение прав абонентов на тайну телефонных переговоров и сообщений, передаваемых по сетям подвижной связи. Кроме того, правовым основанием для предъявления требований о возмещении вреда потребителю в подобной ситуации является ряд положений закона «О защите прав потребителей» и Гражданского кодекса РФ.
Союз потребителей России будет судиться с «МегаФоном». В исковом заявлении, поданном союзом, говорится, что «ответчиком было нарушено право абонентов на неприкосновенность частной жизни, тайну сообщений». Вред, нанесенный абонентам, определяется как моральный. Истец требует признать действия мобильного оператора «противоправными по отношению к неопределенному кругу лиц».
Комитет Госдумы по информационной политике, информационным технологиям и связи заявил о том, что предпримет меры по обеспечению защиты персональных данных сотовых абонентов. Председатель комитета Сергей Железняк полагает, что случай грубо нарушает права человека на защиту персональных данных и тайну переписки. Комитет уже обратился в правоохранительные органы и профильное ведомство с требованием прекратить доступ к этой информации, провести тщательное расследование, разобраться в причинах инцидента и наказать виновных в утечке персональной информации в глобальную Сеть. «Мы также проанализируем, насколько эффективны действующие нормы законодательства, и в случае необходимости будем совместно с правительством готовить предложения по ужесточению требований к хранению персональных данных», - подчеркнул Сергей Железняк. Осенью в Комитете Государственной Думы по информационной политике, информационным технологиям и связи, по словам его председателя Сергея Железняка, будет создана рабочая группа для анализа случаев утечек персональных данных и выработки изменений в законодательство.
Реакция сторон
«Мегафон» объявил о том, что планирует компенсировать бонусами моральный ущерб тем своим абонентам, которые пострадали от утечки их SMS-сообщений в открытый доступ. Им будут предложены на выбор бесплатные пакеты SMS или разговоров, заявили представители «Мегафона». После инцидента с утечкой текстов сообщений в результаты поиска «Яндекса», к оператору с претензиями обратились уже десятки абонентов.
«Яндекс» и Google написал инструкцию по защите личных данных от поисковиков. Инструкция для веб-мастеров ресурсов, которые собирают и обрабатывают персональные данные пользователей Сети, опубликована на официальных сайтах компаний.
В ИД «Комсомольская правда» состоялась конференция «Защита персональных данных россиян в интернете: почему участились случаи утечки информации? Ужесточение контроля в сети». В мероприятии приняли участие председатель комитета Государственной Думы по информационной политике, информационным технологиям и связи Сергей Железняк, врио директора Департамента создания и развития информационного общества Министерства связи и массовых коммуникаций Российской Федерации Игорь Химченко и исполняющий обязанности начальника Управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров. Пользователям интернета было предложено несколько универсальных советов: пользоваться только теми ресурсами, к которым есть доверие, и услугами организаций с положительной репутацией; вводить персональные данные лично, не доверяя это делать кому-то, кто не в полной мере осознаёт серьёзность последствий, например детям; если произошла утечка, обязательно обращаться в суд с требованием возмещения ущерба – за деятельность по несанкционированной обработке персональных данных предусмотрен штраф от 5 до 500 тысяч рублей; «продвинутые» пользователи могут обратиться к определённым системам шифрования и кодирования информации. Важно знать, в соответствии с каким протоколом шифруется информация. «Проблемы происходят зачастую из-за того, что люди автоматически ставят отметку «да, согласен», в то время как стоит внимательно прочесть условия соглашения», – отметил Игорь Химченко.
Причины и последствия
Реакция на произошедшее представляется слишком «раздутой». Никакого реального ущерба данное событие никому не нанесло. Технические сбои случаются у каждой компании. По статистике Positive Technologies, приводящие к утечке информации бреши содержатся более чем в 50% всех сайтов, так что при желании всегда можно найти что-нибудь конфиденциальное.
Что касается причин утечек информации, то им, вероятнее всего, является ошибка программистов или неправильная работа с организацией сайтов. «Яндекс» индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Стандарт, регламентирующий работу поисковых систем в интернете, включающий в себя описание файла robots.txt, был принят еще в 1994 году. Исходя из этих правил, работают все поисковые системы, они также хорошо известны администраторам большинства интернет-ресурсов. Вся информация, не запрещенная к индексации администратором сайта в файле robots.txt, доступна роботам поисковых систем. Никакой поисковый робот не может оценить соответствие содержания страниц законодательным нормам. И ответственность за размещение информации в открытом доступе лежит на том, кто её разместил или не защитил должным образом.
Аналитики считают, что «утечка» SMS вряд ли спровоцирует отток абонентов и другие негативные последствия для бизнеса «МегаФона». Базы данных операторов связи и раньше попадали в открытый доступ. Данные абонентов сотовых операторов неоднократно попадали в открытую продажу. Их можно скачать по Интернету.
Кое-кто из журналистов высказал мнение, что скандал с Мегафоном был тщательно спланирован. В определенный момент был послан специально сконструированный запрос в «Яндексе» и результат тут же был выложен в свободную сеть. «Представляете, какая мизерная вероятность того, что кто-то из журналистов случайно обнаружил сенсационный прокол «Мегафона», иначе это назвать сложно», -- считает корреспондент газеты «Коммерсант» Борис Горлин. Причиной скандала называют желание заинтересованных лиц показать людям, что их личная жизнь ничем не защищена и в любой момент может стать предметом стороннего интереса. Некоторые связывают раздувание скандала с публикацией новой редакции «Закона о персональных данных».
Большинство экспертов считают, что никаких массовых утечек и не было. «Нет ситуации массовой утечки. Есть ситуация с массовым обнаружением проблем, которые существовали давно. Эти данные хранились в поисковиках и зачастую были доступны годами. Но стоило одной из утечек получить широкое освещение в СМИ, как все тут же кинулись искать подобные документы», - считает главный «антивирусный» эксперт «Лаборатории Касперского» Александр Гостев. Он рекомендует привыкнуть к таким случаям.
«Мегафон» попросту облажался, - заявил Русской службе Би-би-си главный редактор журнала «Хакер» Никита Кислицин. - Это в чистом виде проблема компании и ее некачественной работы. Думаю, эта ситуация продолжалась довольно долго, просто сейчас ее заметили. Эта история всколыхнула всех только потому, что задела множество людей. А вообще, постоянно утекают не только SMS-сообщения. Известно множество случаев непреднамеренной утечки секретных документов или, скажем, видео с камер наблюдения. В Google можно найти тысячи веб-камер и смотреть в режиме реального времени, что там происходит. Эта проблема была, есть и будет, время от времени к ней возвращаются».
Выводы
Случившиеся утечки информации показали, что рядовой пользователь мало заботиться о тайне личности, когда дело касается Интернета. В социальные сети размещают массу информации о себе, своих друзьях и близких. И мало кто задумывается о возможных последствиях. Данные о здоровье, финансовом положении, детях, пристрастиях можно получить при определенном умении практически на каждого жителя страны. Постепенно все органы власти и здравоохранения переводят свои архивы в электронный вид и начинают работать в системе электронных баз данных через Интернет. Удобно, но и очень опасно. В сложившихся условиях гражданин должен уметь сам защитить свою частную жизни от возможного вмешательства со стороны.
Специалисты рекомендуют для этого ряд несложных мер: использовать антивирусные программы, для совершения покупок выбирать известные и крупные интернет-магазины, а в платежных системах производить оплату через защищенное (SSL) соединение, при регистрации на «одноразовых» ресурсах или в интернет-магазинах использовать псевдонимы, ограничить количество информации, передаваемой через социальные сети или электронную почту. И вообще, передавать персональные данные только в том объеме, который необходим для достижения целей их обработки.
К сожалению, «среднестатистический» россиянин удивительно безразличен к этим проблемам. В конце июля после утечке SMS-сообщений абонентов компании «Мегафон» исследовательский центр портала Superjob.ru провел соответствующий опрос среди 1,6 тыс. респондентов. Результатом опроса стал вывод, что происшествие практически не сказалось на отношении абонентов сотовых операторов к тайне личной переписки. Пользоваться бесплатными сервисами намерены пять из шести опрошенных человек.