логин:    пароль: Регистрация
Вы здесь:
  
Случаи из жизни - «Контракты» №14 Апрель 2006г.


Рекордный год

В 2005 году в мире было зарегистрировано более 130 крупных утечек информации из приватных баз данных. В частности, были скопированы сведения банковской группы ABN Amro Mortgage Group, автомобильной корпорации Ford Motor, подразделения компании Wal-Mart Sam’s Club, сети отелей Marriott International и многих других. Злоумышленники скопировали информацию о более чем 55 млн американских граждан, прежде всего номера кредитных карточек и номера социального страхования. Госказначейство США заявило, что финансовые потери от хищения баз данных корпораций и других компьютерных преступлений в 2004 году составили около $105 млрд. Полный ущерб от действий компьютерных пиратов в 2005 году еще не определен.

В Министерстве внутренней безопасности США не исключают, что в 2006 году случаи краж конфиденциальной информации участятся. Кроме того, по мнению американских чиновников, в 2006 году может быть зафиксировано рекордное количество финансовых мошенничеств с использованием приватной информации, слитой из корпоративных баз данных.

Мобильные сведения

В июне 2004 года сотрудники компании российского оператора мобильной связи «ВымпелКом» (торговая марка «Билайн») обнаружили в интернете сайт, предоставлявший платные услуги, среди которых была информация о входящих и исходящих звонках плюс персональные сведения любых запрошенных абонентов сотовых сетей «Билайн». Естественно, что получить эти сведения вне судебного порядка можно лишь незаконным путем. Все сведения были переданы в управление «К» МВД России, которое провело контрольную закупку, задержало подозреваемого и проследило цепочку передачи информации вплоть до источника утечки.

В результате, 29 ноября 2004 г. были арестованы шесть человек, трое из которых оказались сотрудниками самой компании «ВымпелКом». Вполне возможно, что работники МТС и Мегафона тоже были членами банды, но официального подтверждения этой версии нет. Всем арестованным были предъявлены обвинения по статьям УК Российской Федерации, предусматривающим до 5 лет лишения свободы. Несмотря на то что о приговоре суда официальных сведений нет, сценарий развития событий является тем редким случаем, когда пострадавшая компания и правоохранительные органы сработали безупречно.

Банк открытых данных

В феврале 2005 года в продажу поступила база данных Центрального банка РФ. В ней содержалась информация о платежах, проведенных банками через расчетно-кассовые центры Центробанка с апреля 2003 г. по сентябрь 2004 г. Инцидент получил широкий общественный резонанс, так как украденная информация могла быть использована в нечестной конкурентной борьбе. Депутаты Госдумы попросили Генпрокуратуру разобраться. В то же время сам Центробанк провел внутреннее расследование обстоятельств утечки.

Однако уже в мае на рынках появилась новая база данных Центробанка, содержащая информацию за IV квартал 2004 г. В частности, растиражированная база позволяла ознакомиться с деталями продажи с аукциона основного добывающего предприятия ЮКОСа «Юганскнефтегаза». Центробанк снова провел внутреннее расследование, Генпрокуратура занялась проверкой обстоятельств утечки по запросу Госдумы, наконец, по неофициальным сведениям, к делу подключилась ФСБ.

Результаты всех этих расследований неизвестны — октября 2005 г. Владимир Бабкин, заместитель начальника Управления безопасности и защиты информации Московского главного территориального управления Банка России, сообщил на пресс-конференции, что канал утечки информации из Центробанка перекрыт. Однако источник утечки так и не назвал.

Западный опыт

В июне прошлого года компания MasterCard International объявила о том, что хакеры получили доступ к счетам 40 млн владельцев пластиковых карт, в том числе 13,9 млн карт MasterСard (включая Maestro и MasterCard International), 22 млн карт Visa, а также 4 млн карт American Express и Discover.

В MasterCard International полагают, что вина лежит на компании CardSystem Solutions, занимающейся обработкой платежей. Вероятно, причина утери данных состоит в несовершенстве системы безопасности, которая оказалась неспособной противостоять вирусу. CardSystems Solutions косвенно признала себя виновной, заявив, что приступила к усовершенствованию своей системы безопасности. Вероятнее всего, оказались вскрыты или проданы файлы о транзакциях. Хакеры могли получить доступ к номерам кредитных карт. Интересно, что сам эпизод произошел в конце мая, то есть пострадавшие компании скрывали эту информацию около месяца.

Примерно в это же время были утрачены данные клиентов Citigroup. 6 июня компания CitiFinancial, розничное отделение Citigroup, сообщила о пропаже данных о 3,9 млн своих американских клиентов. Конфиденциальная информация включала их имена, номера социального страхования, данные о совершенных операциях и полученных кредитах. Вина лежит на компании-перевозчике United Parcel Service, потерявшей электронные ленты с данными вкладчиков при перевозке в кредитное бюро Experian в штате Техас. Интересно, что в этом случае компания не скрывала утрату информации, а сама долго не могла ее обнаружить.

Данные были отправлены из Нью-Джерси в Техас 2 мая. Лишь 20 мая получатель Experian осознал, что сведения до него не дошли. Топ-менеджеры Citigroup были проинформированы о пропаже 24 мая, но только 27 мая служба безопасности банка начала расследование. Узнав о случившемся, Citigroup заверила общественность, что данные не попадут к злоумышленникам. Однако параллельно CitiFinancial приступила к рассылке уведомлений всем 3,9 млн своих клиентов, предлагая им способы защиты от возможных мошенничеств.

А был ли мальчик?

В октябре 2005 года в интернете появилась база данных одного из крупнейших регистраторов России — компании «НИКойл». Она ведет реестры акционеров таких гигантов, как ЛУКОЙЛ, МТС, Скайлинк и еще нескольких сотен корпораций национального масштаба. Объявление о продаже появилось 23 октября на форуме ресурса www.zahvat.ru в разделе «Враждебные поглощения». Актуальность предлагаемой базы — 1 августа, а начальная цена — $12 тыс. Раскрытие персональных данных акционеров компаний может пригодиться при недружественном поглощении.

Впрочем, топ-менеджмент компании-регистратора отрицает возможность утечки конфиденциальной информации. По словам гендиректора компании Максима Калинина, внутреннее расследование показало, что продавцы базы данных располагают, скорее всего, лишь компиляцией сведений, находившихся в открытом доступе, а также некоторыми данными, переданными НИКойлом правоохранительным и налоговым органам. Руководитель регистрационной компании не исключает, что объявление о продаже базы может быть попыткой скомпрометировать регистратора.

При подготовке подрубрики «Случаи из жизни» были использованы материалы сайтов Securitylab.ru USAToday.com, Leta.ru, On-line журнала HeadHunter (HH.ru), e-terror.ru

Вы здесь:
вверх