Кто и как ворует базы данных?

- Любые секреты за ваши деньги! Оптом дешевле!

Похоже, для информационных воров не осталось ничего святого. В Москве появилась очередная новинка на рынке баз данных. За 5 тысяч рублей - паспортные данные 16 млн. россиян - бывших и нынешних жителей столицы.

Базой приторговывает Московский центр экономической безопасности, который, судя по названию, должен эту информацию как раз защищать. Как чуть ли не с гордостью заявило руководство центра, базу данных продают они вполне официально. Закона, запрещающего торговать такими сведениями, нет.

Пока Госдума, правозащитники, церковь рьяно обсуждают, принимать ли закон о персональных данных россиян, торговля этими, казалось бы, секретами процветает. Приобрести информацию о каждом из нас не сложнее, чем буханку хлеба купить. По электронной почте, в переходах московских улиц, на рынках - везде можно встретить призывный слоган: «Свежие базы данных!», «Информация Центробанка, МВД, ГИБДД, Пенсионного фонда». Выбирай, что по вкусу и по карману!

Почему это происходит? Чем грозит гражданину утечка его персональных данных, доверенных государству?

«Горбушка» - под «крышей»?

Московская «Горбушка» теперь не притон для видео- и аудиопиратов. На первый взгляд это современный торговый центр с эскалаторами и указателями.

- А базы данных у вас есть? - шепотом интересуюсь у молодого продавца с ирокезом на голове и дюжиной колец на лице.

- А вы знаете, что это уголовщина? - неожиданно громко отвечает он. - У нас теперь такого товара нет! Не ищите! «Горбушка» - территория закона! -И прыснул от смеха.

- На Митинский рынок езжайте или на Савеловский, - посоветовал мне его «коллега по бизнесу».

В том, что лукавили продавцы, я убедилась через несколько минут. Кроме порнухи и клипов с попсой, продавец Шамиль предложил мне полный комплект баз данных.

- Подождите секундочку, - ответил Шамиль на мой вопрос, набирая чей-то номер на мобильнике. - Андрюх, здесь клиент пришел.

Здоровенный бритоголовый детина появился через несколько секунд.

- Что предложить? - с улыбкой продавца из «Макдоналдса» спросил он.

- Мне нужны базы данных. Есть крупный покупатель, - честно вру я.

- Вот список баз, вот телефон Шамиля, - деловито ответил Андрюха. - Как решите, что возьмете, звоните, товар мы привезем, куда скажете.

- А вы не боитесь, что я, например, из милиции и сейчас вас арестуют?

- Вы?! Из милиции?! - рассмеялся Андрюха. - Извините, но мне о вас не докладывали! Вот у кого «крыша» течет, тот пусть и волнуется.

Шпионское кино

Обзавестись базами я решила через Интернет. И не прогадала. Сделка прошла, как в кино про шпионов. В письме, которое прислали по электронке, список завидный: от федеральных баз данных об угонах, розыске, до «Московской недвижимости» и адресов знаменитостей. И номер телефона.

«Оставьте свое сообщение после сигнала», - попросил автоответчик в трубке. После долгого звука «пи» я высказала свои пожелания и оставила номер контактного телефона. Позвонили через несколько минут. Номер не определялся.

- Вас интересовали базы данных? - прохрустел неприятный голос. - Курьер все привезет.

Молодой человек говорил коротко, как автоответчик, и периодически сбрасывал звонок, потом перезванивал. Конспирация прежде всего.

А вот курьер, который привез «товар», скорее всего, фильмы о шпионах не любит. Виталик добродушно поведал, что работает в конторе всего вторую неделю. «Отжать» у начальства за месяц работы рассчитывает баксов 500. И контора, по его словам, серьезная, года два-три работает.

- Еще бы, - хвастался он, - у меня за сегодня это пятый заказ. Если успею, развезу еще три пакета. Вот сегодня был в одном офисе в центре, кажется, банк какой-то. Так они полный комплект купили.

Миллионный бизнес

Контакты продавца баз данных Сергея нашлись просто: всезнающий Яндекс подкинул ссылку на форум, где Сергей вывесил объявление: «Продаю базы данных». После нескольких дней переписки он согласился встретиться и раскрыть несколько тайн воровства.

Встречу назначил в метро. Тоже из конспирации: в шуме проезжающих поездов записать разговор на диктофон сложно.

- Все, что вы видите на рынке или в Интернете, - это товар второго сорта, - заявил Сергей. - Из него уже выжали все что можно и поэтому сливают на общий рынок. Изначально существуют несколько крупных фирм, которые и добывают информацию. У каждого свои методы. Самый сложный способ - это внедрение своего человека. Действуют так только в случае, если запрос дорогостоящий.

- Кому нужна такая информация?

- Ну представьте, кто-то собирается пустить по миру какую-то компанию. Этот кто-то нанимает рейдеров, которые делают заказ конторе, собирающей информацию: все финансовые счета, переводы, платежи и, самое главное, долги. Для этого нужно проштудировать базу Центробанка, налоговой, таможни, на всякий случай еще и ФСБ. Базы похищаются, способов для этого море, потом аналитики готовят справки. Остается только сорвать контракты или спровоцировать ситуацию, когда кредиторы потребуют вернуть все долги. И компанию можно захватывать.

- Клиенты первого сорта - это исключительно финансовые акулы?..

- В основном да. Хотя бывают случаи, когда на кону не жизнь фирмы, а бытовой расчет. Мне рассказывали, что барышня запрашивала информацию о финансовом состоянии двоих мужчин, якобы она так выбирала, за кого же ей замуж пойти.

Уважающий себя угонщик не будет красть машины, не имея базы ГИБДД. Домушники, которые работают по-крупному, с помощью базы «Прописка» или «Недвижимость» найдут «достойную» жертву.

Все, кто знает, как найти контору, ворующую информацию, - это не просто очень богатые люди, а надежные, если не знакомые, то имеющие рекомендации от знакомых.

- Сколько стоит база из первых рук?

- От 3000 до сотен тысяч баксов. Зависит от объема и сложности заказа.

Ашот ОГАНЕСЯН, технический директор московской компании «Смарт Лайн», занимающейся компьютерной безопасностью, тоже считает, что рыночные продавцы баз данных - это лишь вершина айсберга: - Существует несколько крупных компаний, две-три в Москве, скорее всего, не больше. Они и занимаются изначальной добычей информации. Если и давать какие-то экспертные оценки этому бизнесу, о котором мало что известно, то я бы сказал, что там крутятся миллионы долларов.

Хакеры здесь ни при чем

Аналитики уверены в одном: в воровстве информации главный фактор - это человеческий.

- Унести нужную информацию просто, - говорит Алексей РАЕВСКИЙ, гендиректор компании по информационной безопасности SECURIT, - либо это банальное воровство магнитных лент, на которых находится информация, либо ее скачивание через USB-порт с помощью флэшек, МР3-плейеров, у которых сейчас объем доходит до 60 - 80 гигабайт. Все разговоры о том, что взломом занимаются хакеры, находясь в любой точке мира, - это бред. Хакер вполне может взломать коды и вскрыть базу, но скачать 60 гигабайт через Сеть теоретически реально, практически - вряд ли.

Во многих компаниях из-за угрозы утечки информации с рабочих компьютеров снимают пишущие устройства. Но вот с USB-портами сложнее, они нужны для работы, да и не все понимают, что именно этот маленький вход в компьютер чреват огромной потерей для компании.

- Проблема госорганов в том, что они далеки от новых технологий, - продолжает Алексей Раевский. - Они следят за безопасностью на базе стандартов, которые прописывают сверху. Наверное, не знают, что обыкновенный плейер, который висит на груди у сотрудника, может быть инструментом хищения информации.

- Милиции очень трудно ловить информационных воров из-за низкой квалификации кадров, - считает Ашот Оганесян. - Зарплаты в органах относительно маленькие, а хорошие программисты сейчас получают большие деньги.

Подтверждение мнению эксперта нашлось прямо на уличном рекламном столбе: «В отделение Пенсионного фонда требуется программист. З/п 9000 рублей». Специалиста с таким окладом совратить на слив информации будет несложно.

Банковская тайна в России - фантастика

Пожалуй, даже звезды шоу-бизнеса позавидовали бы тиражам, которыми выпускают и переиздают тайны Центробанка России. Базы данных ЦБ с 2003-го до первого квартала 2005 года можно купить везде.

Один из аналитиков информационной безопасности на условиях анонимности рассказал, как проходила кража базы данных в Центробанке.

- Существует компания, которая организует техподдержку ЦБ уже несколько лет. Так вот, при работе, наладке сетей или смене технического обеспечения сотрудники этой фирмы имеют доступ к информации. А дальше дело техники. Причем для ЦБ это не тайна. Все всё знают. Почему так происходит? Вот это можно узнать только у руководства Банка России.

От ЦБ так никто и не дождался внятных комментариев, почему они не охраняют информацию, которую им доверяет бизнес.

В марте 2005 года депутаты Госдумы сами обратились в Генпрокуратуру, и даже было возбуждено уголовное дело по факту воровства баз данных ЦБ. О судьбе расследования ничего не известно, и комментария правоохранительные органы не дают.

Правда, после того как шумиху вокруг утечки в ЦБ подняли в прессе, из неофициальных источников стало известно, что все работники банка согласно внутреннему распоряжению должны докладывать о всех просьбах слить информацию. На многих компьютерах в ЦБ убрали записывающие устройства. И руководство ЦБ России заявило, что утечка аннулирована.

Кому выгодна поддельная база

Недавно интернет-рассылки вдруг порадовали: обновленная база ЦБ, первый квартал 2005 года!

И здесь комментарий от службы безопасности Центробанка не заставил себя ждать. «Представленные в ней (свежей базе данных. - Прим. автора) сведения не относятся к Банку России и не имеют ничего общего с базами Центробанка. Видимо, распространители базы просто скомпилировали сведения из различных источников, не связанных с ЦБ», - объяснили в департаменте общественных связей ЦБ.

Это едва ли не первый случай, когда в продаже появляется фальшивая база, отмечают эксперты.

Один из аналитиков выдал такую версию возникновения фальшивой базы:

- А вы подумайте, кому нужно, чтобы на рынке оказалась поддельная база? Те, кто ворует информацию, с ее надежностью не шутят. Слишком большие деньги. Кому-то нужно доказать, что все источники утечки информации уничтожены. Рынок нужно дискредитировать и тем самым попробовать сбить спрос баз данных.

Сор из избы не выносят

Вычислить источник утечки, если в компании правильно расставлены обязанности и ответственность, несложно. Бог шельму метит.

- За сохранность информации нести ответственность должен человек, который имеет к ней доступ, - советует Алексей Раевский. - Если уж по закону точно не прописано, кто отвечает за кражу такого вида, то это надо отстраивать на уровне персонала.

По неофициальной информации одного из работников Налоговой службы, базу данных, которая до сих пор продается на рынке, сливал один из начальников отдела. Говорят, его уволили, но милиции не стали сообщать. Зачем сор из избы выносить?

Любая информация о земельных участках в Москве и области тоже продается свободно. Всего за 1000 рублей можно получить весь расклад: кто покупал участки, за сколько и где. В Департаменте земельных ресурсов Москвы об утечке информации, по всей видимости, не знают.

- Вопрос о базах данных - вопрос закрытый, никаких комментариев не даем, - сказали в его пресс-службе.

В компании «Мегафон» признают только утечку базы в Санкт-Петербурге. Говорят, что по Москве настоящей базы данных их телефонов нет.

- Мы в курсе, что на «черном» рынке продаются базы данных, на которых написано «Телефоны «Мегафон», - признался Роман Прокопов, зам. директора московского представительства «Мегафона». - Но эти данные не имеют к нашей сети никакого отношения. Базы данных скомпилированы из других источников.

Прорехи в УК

В конце прошлого года правоохранительными органами был проведен ряд громких операций - задержали продавцов и производителей нелегальных баз данных.

- Мы работали по заявлению частной организации, у которой похитили бухгалтерские базы данных «1С», - рассказывает Анатолий ПЛАТОНОВ, руководитель пресс-службы Управления «К» МВД России. - Попутно изъяли и другие базы данных, которые находились у задержанных. Но начинать следствие без заявления от пострадавшей стороны мы не можем. Вот, например, Центробанк так и не обратился с жалобами в правоохранительные органы по факту хищения у них информации. Без заявления мы можем изымать базы ЦБ только как контрафактную продукцию, не более того. На рынке очень много баз данных, но уголовным законодательством защищаются сведения только некоторых из них: банковская, коммерческая государственная тайна и тайна предварительного следствия.

Право граждан на сохранность частной информации гарантируется Конституцией, но подзаконных актов, в которых была бы прописана ответственность за нарушение этого пункта, нет. Мы не можем отвечать за пробелы в законах, мы - милиция, а не законодатели.

Ашот Оганесян также считает, что законодательство в области высоких технологий, в частности по кражам информации, в России не продумано.

- Помогут ли более жесткие законы при нашем закононепослушании? Сложно сказать, но, я думаю, воровали бы не так открыто и больше было бы страха попасться. Информационное воровство есть и в США, где по законам некоторых Штатов за такое преступление полагаются очень строгие тюремные наказания, но не в таких масштабах и не так открыто.

ВЗГЛЯД С 6-го ЭТАЖА

Слив в законе

Почему воруют базы данных? Да потому, что есть немало дельцов, готовых заработать на информационном «сливе». А те, кто должен охранять данные, зачастую имеют такие доходы, что всегда есть соблазн подзаработать. Хотя, к примеру, в том же Центробанке сотрудники явно не бедствуют. Но тем не менее утечки есть и там. А значит, воруют потому, что нет законных способов узнать эти данные. А когда есть спрос, тогда обязательно появится предложение. Закон рынка.

Решить проблему депутаты хотят новым законом о «Персональных данных». Появится единый реестр, где будет храниться вся информация о каждом из нас. Но кто сказал, что этот реестр нельзя украсть, так же как сейчас воруют базы МВД? И опять не ясно, кто же будет нести ответственность за то, что наши личные данные продаются на рынке.

В США существуют несколько частных организаций, которые легально подберут для вас нужную информацию, например, о партнере по бизнесу: сколько получает, имеет ли долги, есть ли судимость, как расплачивается за кредиты. А в России можно узнать об этом только нелегально, как о грязном компромате, по блату или купив за деньги. И это уже национальная традиция - решать вопросы в обход, «черным путем». Это уже, если хотите, наш менталитет. Так что нужен не только новый закон.