Аналитики InfoWatch подсчитали, что количество утечек конфиденциальной информации в России в 2016 году выросло по сравнению с предыдущим годом аж на 80 %. О том, почему так происходит, какие последствия могут быть и как избавить себя от навязчивых звонков с неизвестных номеров, АиФ.ru поговорил с заведующим кафедрой информационной безопасности ВШЭ Александром Барановым.
Елена Плотникова, АиФ.ru: Александр Павлович, как и откуда утекают базы? Виноваты хакеры?
Александр Баранов: Опыт показывает, что основной источник баз данных — унос их персоналом компаний-операторов мобильной связи с мест. Из общего числа утечек меньше 10 % — работа хакеров. А вот больше 90 % — это, по оценкам независимых экспертов, всё-таки инсайдерская информация, которую крадут сами сотрудники. В частности, сотрудники операторов мобильной сети. Не секрет, что сотрудники таких компаний имеют доступ к общим серверам баз для работы с клиентами. И они потихоньку скачивают эту информацию. Некоторые — сразу, некоторые — по кусочкам. Это так называемый внутренний враг в информационной безопасности. Зачем это делается? Конечно, чтобы потом продать эти базы. Или на их основе продавать непосредственно SIM-карты кому угодно. Клиентские базы могут стоить не один десяток тысяч долларов. Но понятно, что ни одна компания в этом не признается. Их службы безопасности клянутся, что они ни при чём, что это мифические хакеры. На самом деле либо базы крадут (сотрудники) перед тем как уволиться, потому что текучка большая, либо из-за зарплаты, так как считают, что она неадекватно низкая. Причём установить, кто именно вынес информацию, невозможно: её собирают по кусочкам, понемногу, растягивая сбор на месяцы. Но на самом деле самое страшное даже не то, что наши номера попадают посторонним, а то, что и паспортные данные, как правило, хранятся вместе с ними. А значит, сливаются и они.
— А чем это может грозить обычному человеку?
— В чистом виде сами паспортные данные — это не конфиденциальная информация. Вы же паспорт предъявляете в банке, на почте и т. д. Но сегодня появилась возможность с помощью паспортных данных купить электронную подпись просто по телефону. Да, это нарушение, но тем не менее это есть. Тогда, узнав ваши паспортные данные и получив в одном недобросовестном удостоверяющем центре (а их четыре сотни) квалифицированную электронную подпись, легко можно открыть предприятие, зарегистрировать его, набрать на его счёт множество кредитов. При этом человеку даже не нужно нигде появляться. Всё можно сделать, сидя за монитором. А вы об этом даже не узнаете. Кроме того, не за горами открытие и банковских счетов удалённо.
— А есть способы избежать этого?
— Нет. Хотя не так давно и были одобрены поправки в закон «О персональных данных», обязывающие операторов сообщать об утечках информации. Но опять же, вряд ли добровольно компания согласится на это, ведь это репутация, а значит, возможность потерять клиентов. Другое дело — это запретить покупать эти базы. Искать тех, кто хочет купить, и перекрывать им кислород. Не будет спроса — не будет и предложения.
Кроме того, отечественные шифровальные системы очень плохого потребительского качества. Никто со стороны государства не ставил задачу сделать их нужного уровня, чтобы не обученный специально пользователь реально мог свободно применять криптозащиту. Считается, что рынок должен сам развиваться. Однако во всём мире все эти системы защиты информации существуют на уровне государства. К сожалению Россия в основном, исчерпала запас ранее сделанных для рынка информационной безопасности разработок. И нужны новые, а для этого требуются весьма существенные вложения. Все думают, что Microsoft существуют сами по себе. Это же ерунда. Они существуют на господдержке. Так должно быть и у нас. Обычному гражданину пока лишь можно настроить чёрные и белые списки на телефоне, установить фильтры на компьютере. И, конечно, с осторожностью относиться к распространению информации о своём паспорте. Не надо писать его номер в разных анкетах и сообщать направо и налево.