На НТВ подняли вопрос об очередной утечке персональных данных
В субботу 22 марта на канале НТВ в передаче "Сегодня" обсуждалось появление в Интернете подробной базы данных о жителях России и стран СНГ. Паспортные данные, номера телефонов, прописка, налоги, наличие собственности, вызовы в милицию, лишение водительских прав, судимости и другую информацию абсолютно бесплатно и менее чем за минуту предлагал найти сайт Radarix.com.
Ответы на вопросы, как эта информация попала в сеть и кто за этим стоит, попытался найти корреспондент НТВ Егор Колыванов.
"... (эти) действия подпадают под 37 статью Уголовного кодекса России — «Незаконный сбор и распространение сведений о частной жизни».<...>
Рассекретив информацию о миллионах граждан, о своей анонимности злоумышленник позаботился. Адрес сайта зарегистрирован на жителя Панамы. Существует ли этот человек на самом деле — неизвестно. Регистрация ресурса прошла в Калифорнии. Сервер с информацией расположен в Сент-Луисе (штат Миссури). База данных поступила из России (вероятно, что ее привезли на носителе) и стала доступна повсеместно. <...> (22 марта) сайт работает через раз. Для того чтобы найти человека по этому сайту, нужно сначала зарегистрироваться. А для регистрации нужно ввести имя и адрес электронной почты. Сейчас на этом этапе сайт зависает <...>
Появление подобного ресурса вполне логично. Базы данных МВД, ГИБДД, сотовых операторов и налоговых инспекций уже давно и без особого труда можно было приобрести на развалах с компьютерными программами. Неудивительно, что в итоге эту информацию просто слили в Интернет.
Алексей Сабанов, эксперт в области информационной безопасности АТЭС (коммерческий директор компании Аladdin Software Security R.D. - прим. «Аладдин Р.Д.»): "Случаев таких уже было много. В России сейчас наблюдается хорошо организованный бизнес по продаже баз данных".
Специалисты по информационной безопасности высказывают предположение, что такая база данных не могла появиться у частных лиц случайно. Виноваты в происшедшем те, кто допустил эту утечку информации".
В «Аладдин Р.Д.» считают, что безнаказанность в подобных инцидентах, а также отсутствие надлежащей защиты в организациях, оперирующих персональными данными, подспудно провоцируют дальнейшие утечки информации. Несмотря на некоторую туманность формулировок ФЗ "О персональных данных", закон всё же устанавливает нормативы обеспечения защиты данных, при помощи соответствующих программных продуктов, и декларирует изменение организационных процедур при работе с конфиденциальной информацией. В законе прямо говорится о том, что организация должна "принимать необходимые организационные и технические меры, в том числе использовать шифровальные криптографические) средства" для того, чтобы обеспечить защиту персональных данных от несанкционированного доступа, уничтожения, изменения, а также распространения. Однако, судя по периодически мелькающим в прессе прецедентам, связанным с утечками данных, на практике всё обстоит несколько иначе.
По мнению специалистов «Аладдин Р.Д.», опубликование долгожданных Порядка проведения классификации информационных систем персональных данных, и соответствующих Требований по безопасности в значительной мере будет способствовать изменению ситуации с утечками, незаконной продажей и бесплатным (как в описанном случае) распространением сведений, являющихся персональными данными. К сожалению, на данный момент многие компании, оперирующие персональными данными, склонны оправдывать нежелание внедрения надлежащих систем защиты отсутствием данных документов.
Однако уже сегодня на российском рынке в достаточной мере представлены надёжные, сертифицированные ФСТЭК или ФСБ решения по аутентификации, защите доступа и шифрованию конфиденциальной информации. Известен и порядок аттестации защищенных систем. "По большому счёту компаниям, не готовым идти на риски, связанные с утечками данных, ничего не мешает воспользоваться предлагаемой защитой уже сейчас, а не ждать прецедента и его последующего широкого освещения в СМИ" - подчеркивают в «Аладдин Р.Д.».
По материалам программы "Сегодня"