Какие данные о вас можно купить на черном рынке?
Развитие в мире инновационных технологий, информационной экономики и экономики знаний (economy of knowledge) резко увеличивает спрос на персональные данные. В «Отчете о цифровой экономике» UNCTAD (United Nations Conference on Trade and Development), который представили в 2019 году, прямо говорится, что «основу цифровой экономики составляют цифровые данные. А основу цифровых данных – персональные данные».
Сейчас на «черном рынке» могут быть проданы любые персональные данные, которые люди хотят сохранить в секрете от других, например, удостоверение личности, водительские права, страховое свидетельство, кредитка, банковский счет, ИНН, информация о мобильном телефоне, адрес электронной почты, домашний или рабочий адрес и т. д. Киберпреступники используют эту информацию для мошенничества, шантажа и вымогательства, применяя методы социальной инженерии.
Многие эксперты предсказывают, что «черный рынок» персональных данных будет в следующие пару десятилетий расти по экспоненте, поскольку он поддерживается мировым сообществом хакеров и разработчиков вредоносных и криминальных программ (malware).
Как правильно отмечает юрист Расим Алигулиев, если какие-либо персональные данные являются актуальными, надежными и полными, то они считаются ценным ресурсом для бизнеса. Персональные данные, обладающие всеми этими свойствами, пользуются большим спросом на «черном рынке». Однако, поскольку такого рода информация приобретается нелегальным путем, проверить ее невозможно.
Купля-продажа персональных данных – это совершенно новый вид бизнеса, который становится все более актуальным в связи с развитием Интернета и других информационных технологий, а также электронных сервисов. Пока что законодательство практически ни одной страны не признает какую-либо информацию, в том числе персональные данные, предметом продажи, а также не рассматривает их как объект гражданских прав.
Для примера возьмем ситуацию в США. Как сообщает издание Wirecutter, на осень 2021 года она обстояла примерно следующим образом:
- в большинстве штатов компании могут использовать, распространять и продавать любые данные о пользователях, никак не оповещая их об этом;
- ни один из национальных законов не устанавливает стандартов о том, когда компания должна уведомить пользователя о том, что его данные были взломаны или несанкционированно переданы третьим лицам;
- если компания передает данные пользователя, включая конфиденциальную информацию о его здоровье и местонахождении, третьим лицам (например, брокерам данных), они могут свободно продавать и делиться ими, не уведомляя об этом.
Сегодня только в Калифорнии, Вирджинии и Колорадо есть единые общие законы о защите персональных данных. Само собой, они применяются только к жителям этих трех штатов и не распространяются на всю страну. Наиболее строгим из них является закон «О защите персональных данных потребителей» (CCPA), принятый штатом Калифорния и вступивший в силу 1 января 2020 года, согласно которому продажа персональных данных – это предоставление компанией персональных данных потребителя в коммерческих целях третьей стороне в устной, письменной, электронной или других формах за плату.
Однако в данном случае речь идет о продаже персональных данных, собранных компанией от потребителей, которых она обслуживает, третьему лицу, которое желает использовать эту информацию в коммерческих целях для получения дохода. То есть этот закон не регулирует прямые отношения между владельцами персональных данных и их получателями, а значит, применить его к любому рынку персональных данных, включая и «черный», можно лишь относительно.
Так или иначе, можно сделать логичный вывод о том, что наличие запрета на реализацию персональных данных одновременно подтверждает тем самым и наличие общего правила, по которому продажа данных не запрещена.
Далее, кража персональных данных» как юридическое понятие фигурирует лишь в странах общей системы права (Common Law) — т.е. CША, Австралии, Великобритании и т.д., и означает захват такого типа информации другими лицами различными скрытыми способами в коммерческих, мошеннических или других преступных целях без разрешения самого владельца персональных данных. В законодательствах многих стран (включая РФ) такие действия, как кража персональных данных, описывается как «нарушение неприкосновенности личной жизни», «несанкционированный доступ к компьютерной информации» и т. п.
На абстрактном (т.е. вне зависимости от географической локализации и национальной юрисдикции) «черном рынке» персональных данных чаще всего, отмечают эксперты, предлагаются следующие услуги:
− местонахождение мобильного абонента в режиме реального времени;
− идентификация лиц, находящихся в зоне охвата мобильного абонента в режиме реального времени;
− список лиц, с которыми абонент общается по мобильному телефону и другая информация;
− информация о географическом местоположении, времени и траекториях движения человека;
− информация о личном имуществе человека, его банковских счетах и т. д.;
− персональные данные, собираемые на серверах провайдеров при использовании интернет-сервисов и т.д.
«Если говорить о российском сегменте рынка незаконной торговли персональной информацией, он состоит из двух частей – продажи баз данных и услуг по «пробиву» конкретных лиц <...> Услуги «пробива» позволяют получить практически любую информацию о конкретном лице, включая движение средств по счетам, детализацию звонков и даже данные о перемещениях», — отмечает Ашот Оганесян, основатель компании DeviceLock, разработчика DLP-cистем (ныне DeviceLock куплена корпорацией Acronis, вице-президентом которой по предотвращению утечек информации как раз и стал Оганесян).
Журналистка Наталья Войкова некоторое время назад провела эксперимент вместе со специалистом по кибербезопасности (“белым хакером”) Сергеем, заказав последнему собрать на нее досье.
«Исходных данных совсем немного. Спустя сутки выписка с моими данными, со всеми сменами документов, прописок и фотографий, с подписями и почерком была у меня в руках. Мне это обошлось в тысячу рублей (правда, по рекомендации опытного пользователя). Еще несколько ключевых документов, дополняющих общую историю личности, обошлись еще во столько же. Есть еще иллюзии по поводу какой-то там безопасности?» — задалась вполне риторическим вопросом Войкова.
При этом не стоит забывать, что основной источник утечек персональных данных во всем мире (а не только в России) — это их перепродажа со стороны лиц, имеющих доступ к подобной информации, — от работников банков или операторов связи до правоохранителей. “Сегодня необязательно быть хакером, чтобы продавать какие-то данные”, — говорит специалист по информационной безопасности и CEO HackControl Никита Кныш.
«Сейчас базы целиком, как в 2000-х годах, уже не украсть. Но операторы, которые с ними работают — в полиции, ФМС, банках, сотовых операторах, — оказывают услуги по «пробиву». Здесь работает большая цепочка посредников. Получить банковскую выписку проще всего. Происходит это так: сидит оператор где-нибудь в регионах, проверил кредитную историю двух клиентов, а третья проверка — тот самый «пробив», который он просто фотографирует на телефон», — рассказывал в разговоре с РБК Сергей Никитин, замруководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB.
Подвержены утечке и данные из системы распознавания лиц: об этом, в частности, писали активистка Алена Попова и один из основателей РосКомСвободы, управляющий партнер юридической фирмы DRC киберадвокат Саркис Дарбинян.
Но самый масштабный (и свежий) случай утечки личных данных россиян на черный рынок — это, конечно, кейс «Яндекс.Еды», о котором наслышаны уже все, а не только непосредственные пострадавшие. Напомним, вечером 22 марта 2022 г. по телеграм-каналам разошлась ссылка на сайт, где была собрана информация о пользователях сервиса доставки. Все данные были визуализированы в виде карты и включали имя пользователя, адрес доставки, электронную почту, номер телефона и сумму заказов примерно за последние 6 месяцев. Более того, на главной странице сайта (ныне, разумеется, заблокированного «вездесущим» Роскомнадзором) имелся поиск по номеру телефона или фамилии, попавшим в базу.
Представители «Яндекса» заявили, что инцидент произошел еще 1 марта из-за недобросовестных действий одного из сотрудников. Клиенты, которых коснулась утечка, получили предупреждающие письма.
К счастью, в утечку не попали логины и пароли, а также данные банковских карт пользователей. Но самим пользователям от этого вряд ли легче — ведь после утечки персональных данных им начали массово поступать звонки с незнакомых номеров с рекламными предложениями различных услуг, им также стали звонить мошенники. Пользователи сервиса считают, что была нарушена неприкосновенность их частной жизни, они переживают за свою безопасность, так как в утечке есть их ФИО, фактические адреса, коды от домофонов, номера квартир и другая их частная информация.
Так какие же выводы можно сделать из всего сказанного выше?
Формирование и развитие «черного рынка» персональных данных, безусловно, создают ряд проблем для государства, граждан, предприятий и организаций. Во-первых, персональные данные, которые туда попали, абсолютно точно были приобретены незаконным путем, преступными методами, с причинением вреда юридическим и/или физическим лицам.
Во-вторых, во многих случаях персональные данные используются в злонамеренных целях. Согласно результатам одного из многочисленных соцопросов на эту тему, 40% людей, чьи персональные данные были украдены, заявили, что не могут нормально спать по ночам, 65% испытывали чувство нервозности, 69% – чувство опасности и страха. 7% респондентов заявили, что почти дошли до самоубийства, 15% жертв кражи продали свои личные вещи для покрытия убытков, а 7% взяли из-за этого кредит.
Огромный ущерб кража личных данных наносит и бизнесу. Для компаний, столкнувшихся с утечками данных своих сотрудников или клиентов, самая большая финансовая потеря – это потеря репутации. После таких случаев необходимо срочно принимать меры для восстановления доверия клиентов и снижения долгосрочных отрицательных последствий.
Большинство утечек данных – это результат кибератак. На расследование и выявление подобных инцидентов уходит много времени, и чем больше времени требуется на обнаружение и предотвращение утечек данных, тем дороже это стоит. Объем таких расходов растет с каждым годом. Для выявления и предотвращения подобных угроз необходимо кратно увеличивать технологические инвестиции и подготовку соответствующих кадров в legaltech.
Согласно данным SearchInform, в 2020 году 58% опрошенных разработчиком российских компаний пострадало от утечек информации и 16% — от промышленного шпионажа. Более чем в 40% случаев виновниками были менеджеры по работе с клиентами, в 22% — бухгалтеры и финансисты, в 20% — менеджеры по снабжению и поставкам.
В общем и целом же, как правильно заявил еще три года назад инвестор и сооснователь платежного сервиса Qiwi Сергей Солонин, «приватность мы уже проехали, упустили — мы все в цифровом мире. Ящик Пандоры уже открыт». И естественно, что кибермошенники чувствуют себя комфортно в таких условиях. А это значит, что пользователи должны сами принимать необходимые меры для защиты своих данных.
Как подчеркивает эксперт, аналитик группы оперативного мониторинга Angara Security Татьяна Лынова, для обеспечения конфиденциальности своей персональной информации всем интернет-пользователям необходимо тщательно соблюдать кибергигиену: обходить стороной подозрительные ресурсы и сообщать личную информацию, лишь удостоверившись в надежности источника запроса.
Сами граждане должны заботиться о своих персональных данных, правильно обращаться с ними, учитывать особенности виртуальной среды. Особое внимание следует уделить формированию у них культуры информационной безопасности.
ну да, сразу про Яндекс Еду вспомнила