Торговля персональными данными российских граждан без ведома их владельцев процветает. Этому способствуют размытое правовое поле, недостаточная жесткость наказания, а также неспособность средних и мелких компаний использовать качественные средства ИТ-защиты от хищений ценной персональной информации
«Здравствуйте, я бот! Являюсь инструментом по поиску информации о физических и юридических лицах», — приветствует меня надпись на экране смартфона. Заношу в строку поиска номер мобильного телефона приятеля, бот предлагает сделать расширенный поиск, цена услуги — 30 рублей. Перевожу в электронный кошелек эту сумму, буквально через минуту получаю отчет. Бот по номеру телефона правильно определяет фамилию, имя и отчество моего друга, дату его рождения. Дальше — больше: с удивлением вижу в отчете точный домашний адрес товарища, ниже указана марка и модель автомобиля, на котором он ездит, его государственный и VIN-номер, ниже идет список сессий по оплате парковки (хорошо, правда, что без даты и места их совершения). Бот также информирует, что мой друг подключен к платежной системе Сбербанка, и дополняет отчет перечень объявлений в интернете, который человек размещал за последнее время: вот информация, что он сдает квартиру, покупает спортивный инвентарь или ищет место для отдыха с семьей.
Услуги бота разнообразны, цены вполне умеренные: заплатив не более 100 рублей можно вместо номера телефона попробовать узнать полное имя, домашний адрес и другие данные о человеке по электронному адресу, по госномеру автомобиля (удобно, если, например, кто-то невежливо ведет себе на дороге или перегораживает выезд); бот может найти личные данные и по фото: высылаем фотографию человека и тут же получаем его телефон, имя, данные об автомобиле — и далее по вышеуказанному списку (скажем, раньше у понравившейся девушки надо было просить номер телефона, теперь достаточно незаметно ее сфотографировать, и через минуту телефон девушки будет у вас). Или вот еще интересный сервис: по точке на карте можно найти находящихся рядом с вами людей с именами и фамилиями (заносим в строку геоданные и получаем список с примерным расстоянием в метрах от вас).
Рынок услуг по продаже персональных данных в России набирает обороты, только в одном мессенджере Telegram сейчас можно пользоваться услугами сотни ботов, которые работают по вышеописанной схеме. Один из самых известных подобных роботизированных сервисов под названием «Глаз Бога» был создан предпринимателем Евгением Антиповым летом прошлого года, в начале текущего года число пользователей этого сервиса составляло 800 тыс. человек, а в июле 2021-го уже 23 млн. Сейчас число запросов в сервисе превышает 500 тыс. в сутки. И неважно, что подавляющее число людей, так же как и мой приятель, явно будут не в восторге, что их персональные данные бот найдет в несколько секунд и передаст за скромную сумму любому желающему.
Развивающиеся услуги ботов по поиску персональных данных наглядно иллюстрируют остроту проблемы утечки личной информации и то, как любой желающий может легко ее найти или недорого приобрести. Чат-боты в Telegram — это лишь верхушка айсберга, ниже, в «темноте» находится огромный массив даркнета — нелегальной цифровой торговой площадки по продаже персональных денных, где продается и покупается более детальная частная информация типа паспортных данных, номеров счетов, банковских карт и многое другое. «Каждый желающий за сумму от двух до десяти тысяч рублей сегодня может узнать номер счета, текущий остаток и персональные данные для идентификации клиента банка, а также кодовое слово и иные данные, — рассказывает Дмитрий Горлянский, руководитель направления технического сопровождения продаж компании “Гарда Технологии” (разработка защитных ИТ-систем). — В 52 процентах случаев структура данных кредитной организации состоит из следующих типов записей: фамилия, имя, отчество, дата рождения, телефон, паспортные данные, прописка, место работы, номер счета и остаток на этом счете в конкретном банке. Базы данных банков всегда были самыми востребованными и ценными на теневом рынке. По данным нашего исследования, по итогам 2020 года только в банковской сфере 9,2 миллиона записей о клиентах оказались в открытой продаже на черном рынке».
По данным компании InfoWatch, по итогам прошлого года в России утекло более 100 млн записей персональных данных, к которым, в частности, относятся имена и фамилии, номера телефонов, пароли, сведения о постоянном месте жительства, адреса электронной почты, номера социального страхования, реквизиты банковских карт, данные о банковских счетах. Например, в начале сентября этого года в свободном доступе в интернете была обнаружена база с персональными данными почти двух миллионов абонентов интернета «Билайна». В середине сентября разработчик программного обеспечения ООО «Государство детей» и экспертная группа Министерства просвещения РФ подтвердили утечку персональных данных 48 тыс. школьников в Нижегородской области. Ранее, в прошлом году, в открытом доступе оказалась база данных 17 млн участников программы лояльности алкомаркетов «Красное & Белое», а также информация о клиентах программы лояльности розничных сетей «К-Руока» и «К-Раута». Помимо этого в интернет на продажу была выставлена информация более чем о 1,2 млн клиентов российских микрофинансовых организаций (МФО) — в частности, в этой базе присутствовали и данные о клиентах микрофинансовой организации «Займер», а также 44 тыс. записей клиентов кредитного брокера «Альфа-Кредит».
По данным InfoWatch, в России за последний год чаще всего обнаруживали утечки личной информации в сфере хайтек-индустрии, финансов и госсектора. Основной причиной аналитики называют взломы киберпреступников (хакеров): на них, по данным InfoWatch, по итогам прошлого года пришлось 60,5% хищений, остальные связаны с персоналом компаний, из них основным виновником похищений персональных данных в 33,7% от общего числа инцидентов является рядовой или непривилегированный сотрудник, а остальные 5,8% — это бывшие сотрудники, подрядчики, системные администраторы, руководители (см. график 1). Что касается канала утечек, то чаще всего личные данные пропадают через интернет (79,3%), кражу или потерю оборудования (9,5%), электронную почту (4,7%), мобильные устройства (4,3%), съемные носители (1,2%), мультимедийные сообщения (голос, видео, текст — 1,2%), бумажные документы (0,8%, см. график 2).
Участники ИТ-рынка убеждены, что те компании, которые находят ресурсы на установку современных защитных решений от киберпреступников, становятся жертвами таких преступлений гораздо реже. «За одиннадцать лет работы на рынке мы фиксировали попытки взлома несколько сотен раз, но ни одна из них не увенчалась для злоумышленников успехом, — говорит Заур Абуталимов, директор по продуктам компании Ivideon (системы видеонаблюдения). — Для обеспечения безопасности мы разработали систему, которая позволяет надежно защищать все видеоданные, поступающие к нам. Мы храним записи на серверах, размещенных в нескольких десятках центрах обработки данных, шифруем их с помощью технологии AES-256-GCM. При этом каждый фрагмент записи (видео до одного часа) зашифровывается с помощью уникальных ключей, которые хранятся в географически удаленных местах. Дешифровка записей происходит на серверах хранения по требованию воспроизведения. Такой подход обеспечивает отказоустойчивость, надежность и конфиденциальность данных».
Однако мелким и средним компаниям труднее выделять средства на защитные ИТ-решения, и они чаще попадают под удар киберграбителей. Хотя даже при наличии хорошей защитной системы остается высокий риск утечек, связанный с человеческим фактором. «Крупные организации используют высокоэффективные средства противодействия хакерским атакам, нацеленным на похищения конфиденциальных данных, — говорит Максим Карчевский, ведущий консультант по информационной безопасности компании R-Vision. — К ним, например, относятся IPS/IDS (системы обнаружения и предотвращения вторжений), SIEM (системы мониторинга событий безопасности), IRP (системы реагирования на киберинциденты), DLP (системы контроля утечек данных), Deception-системы (ловушки, построенные с помощью симуляции ключевых объектов инфраструктуры и данных) и другие решения, которые позволяют в минимальные сроки определить источник атаки, отреагировать и принять необходимые меры. Эти системы требуют затрат и высокого уровня квалификации специалистов при настройке и эксплуатации, что является одной из основных причин, почему в компаниях небольшого размера они встречаются намного реже. При этом утечки в крупных компаниях также случаются, пусть и реже, но со значительно более серьезными последствиями. Чаще всего это происходит по причине того, что самое слабое звено в любой системе защиты — это человек, которого можно подкупить или манипулировать им с помощью методов социальной инженерии».
Регулятор давно пытается создать в России правовое поле и отладить систему защиты персональных данных. Ключевой закон для этого был принят еще пятнадцать лет назад, в 2006 году. Как указывает Мария Рулькова, ведущий юрист юридической компании «Князев и партнеры», в российском законодательстве уже принято достаточно много нормативных актов, и главными из них являются два федеральных закона:- ФЗ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных». Кроме того, еще в 2006 году в российском законодательстве было определено понятие оператора персональных данных, который обязан регистрироваться в Роскомнадзоре.
Однако проблема в том, что пока законодательство не дает четкого определения, что именно следует считать персональными данными. «Как указано в ФЗ “О персональных данных”, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), — объясняет Мария Рулькова. — Однако закон не содержит конкретного перечня персональных данных, что на практике вызывает сложности. В настоящее время под персональные данные может подпадать практически любая информация, которая не только прямо относится к конкретному лицу, но и может определить лицо косвенно. По мнению некоторых судов, не относится к персональным данным, например, адрес электронной почты, в силу того что он не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных».
«С правовой точки зрения есть большая проблема в самом определении, что такое персональные данные, -- соглашается Алена Геращенко, юрист-аналитик компании “Ай-Теко”. — Это вносит путаницу в правоприменительную и бизнес-практику. Например, ФНС РФ предлагает не считать ИНН персональными данными, хотя связь с субъектом персональных данных здесь очевидна. Или, например, Роскомнадзор уже который год занимает позицию, что номер мобильного телефона — это не персональные данные. Однако и здесь все не так однозначно: связь с субъектом очевидна. Если определить, кому оператор выделил номер мобильного телефона, можно узнать многое о клиенте этого оператора связи, о его потребительских предпочтениях, так как каждый бизнес заинтересован в том, чтобы получить номер клиента и использовать его для рассылки предложений, или даже о том, как субъект записан в телефонных книжках других людей».
Помимо размытых правовых определений, что можно, а что нельзя считать персональными данными, юристы указывают на то, что есть проблемы и с ответственностью за незаконное использование и распространение личной информации. Да, действующие нормы подразумевают как административную, так и уголовную ответственность за подобные преступления. Однако для юридических лиц самый высокий штраф предусмотрен за хранение персональных данных пользователей за рубежом — здесь он может достигать 18 млн рублей. В остальных же случаях размер штрафов для компаний никак нельзя назвать существенным: сегодня для должностных лиц штраф за незаконное распространение персональных данных — до 20 тыс. рублей, для индивидуальных предпринимателей — до 40 тыс. рублей, для юридических лиц — до 100 тыс. рублей за первое нарушение и до 300 тыс. за повторное. В связи с этим юристы, например, вспоминают показательный процесс марта 2016 года, когда в утечке персональных данных и их неправомерной обработке признали ПАО «МГТС» (компания передавала сведения об абонентах третьим лицам, которые позволяли отличить трафик пользователя от трафика других пользователей для получения списка его предпочтений). В результате длительного судебного процесса с многочисленными заседаниями, апелляциями, арбитражными постановлениями, ПАО «МГТС» было признано виновным, но при этом такой крупной организации был назначен смехотворный штраф в 30 тыс. рублей.
Что же касается физических лиц, то здесь максимальное наказание за распространение персональных данных — два года лишения свободы. Но такие реальные сроки получают редко: согласно статистике по ст. 137 ч. 1 Уголовного кодекса «за незаконное собирание и/или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия» в 2020 году было осуждено 163 человека, но большинству назначены штрафы, к реальному лишению свободы приговорено лишь пять человек. Например, недавно суд Оренбурга приговорил к двум годам лишения свободы сотрудника одного из местных салонов связи за то, что он передавал на сторону информацию о входящих и исходящих звонках абонентов сотовой связи. А в Омске скоро тоже начнется суд над сотрудником одного из салонов сотовой связи, который продавал злоумышленникам данные одного из абонентов.
Впрочем, нельзя не признать, что правовое поле в сторону защиты персональных данных все же развивается, пусть и со скрипом. Знаковым событием юристы называют вступившие в силу с 1 марта 2021 года изменения в закон «О персональных данных», согласно которым нельзя безнаказанно передавать персональные данные третьим лицам без согласия на то самих граждан. В частности, в законе прописано, что молчание или бездействие субъекта персональных данных больше не считается согласием на распространение его личной информации. «Из закона убрали понятие “общедоступные персональные данные”, -- поясняет Виктория Фролова, юрист компании “Актион Право”. — Теперь, чтобы использовать информацию о гражданине даже из открытого источника, нужно получить его согласие на распространение, то есть передачу третьим лицам, персональных данных. Без такого документа компании, которым вы дали согласие на обработку ваших персональных данных, не могут передавать их третьим лицам. Не получится и безнаказанно использовать данные граждан из открытых источников».
Но пока новые юридические нормативы не работают, хромает правоприменительная практика. Это наглядно видно в отношении упомянутых в начале статьи телеграм-ботов. Роскомнадзор активно с ними борется: в частности, в текущем году уже были заблокированы такие сервисы, как «Архангел», Smart SearchBot, Mailsearchbot и How To Find Bot. Отдельное решение суда по блокировке есть и в отношении сервиса «Глаз Бога», который по решению Таганского районного суда города Москвы от 1 июля 2021 года внесен в специальный реестр нарушителей прав субъектов персональных данных.
И действительно, по прежней ссылке «Глаз Бога» не работает, но сервис с точно таким же названием можно найти в мессенджере Telegram по другой ссылке и без проблем им пользоваться (что и было продемонстрировано в начале этой статьи). Как указывает юрист Алена Геращенко, судя по всему, «Глаз Бога» воспользовался правовой лазейкой и перерегистрировал свой сервис под видом некоего ООО «Онлайн Адэр», которое пока не попадает под рестрикции Роскомнадзора. А сами представители таких сервисов заявляют, что они ничего противоправного не делают, так как просто агрегируют по запросам данные, пусть и персональные, которые находятся в свободном доступе в интернете.
Участники рынка считают, что надзорные органы пока попросту не справляются с большим числом компаний, которых надо контролировать. «В России около пяти миллионов юридических лиц и индивидуальных предпринимателей, практически все они являются операторами персональных данных, контролировать такую массу поднадзорных государство в целом не умеет, — говорит Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies. — Согласно отчету о деятельности Роскомнадзора за 2020 год, граждане 37 тысяч раз пожаловались на допущенные ими нарушения, а со своей стороны государство в лице Роскомнадзора провело всего 841 проверку. То есть надзор за деятельностью операторов персональных данных в РФ фактически отсутствует, а работа с жалобами граждан сведена к формальным отпискам без проведения реальной проверки обстоятельств на месте обработки персональных данных».
Более эффективно защищать персональные данные в России мог бы помочь зарубежный опыт, где действуют гораздо более суровые наказания за несанкционированное распространение персональных данных. В частности, в Евросоюзе уже давно принят и действует Общий регламент о защите данных (General Data Protection Regulation, GDPR), согласно которому компании-нарушителю грозит штраф в 4% от оборота, что может быть очень внушительной суммой. Схожие суровые нормы действуют и в США. Так, в 2019 году компания Facebook была оштрафована на целых пять миллиардов долларов за то, что она передавала третьим лицам информацию о пользователях, которую они хотели оставить приватной. Летом прошлого года во Франции на 50 млн евро была оштрафована компания Google за непрозрачные правила обработки персональных данных. К более свежим примерам относится решение от 6 февраля 2021 года федерального судьи Калифорнии в пользу истцов-пользователей штата Иллинойс к компании Facebook. Социальная сеть использовала функции распознавания и отметки лиц на фотографиях без получения на то согласия пользователей. По этому решению компания обязана выплатить 650 млн долларов, том числе выплаты получат 1,6 млн пользователей социальной сети из штата Иллинойс, каждому из которых причитается по 340 долларов.
«На мой взгляд, в России необходимо создать систему законодательства, схожую с GDPR в Европе, — убеждена Венера Шайдулина, юрист, член экспертного совета по цифровой экономике и блокчейн-технологии Госдумы РФ. — То есть надо установить экстерриториальное действие законодательства о защите данных, принцип “защищенность по умолчанию”, который обязывает операторов учитывать требования GDPR на этапе проектирования процессов обработки данных, обязанность операторов уведомлять субъектов персональных данных и надзорные органы при возникновении инцидентов, связанных с нарушением безопасности персональных данных, в течение 72 часов. За нарушение данных норм необходимо увеличить штрафы в КоАП РФ и установить процентное соотношение в четыре процента от годового оборота компании. Кроме того, надо закрепить ответственность компаний за утечку информации от сотрудников как бывших, так и настоящих».
«Главная причина, почему Общий регламент о защите данных GDPR, который вступил в силу в Евросоюзе в 2018 году и действует на территории 28 стран, сейчас работает, — это огромные штрафы и жесткие санкции за нарушение требований регламента. Также там эффективно работают жесткие требования к самостоятельному информированию регулятора о фактах утечки персональных данных в очень короткие сроки, — соглашается Евгений Царев, управляющий юридической компании RTM Group. — С точки зрения наказания также не хватает компенсации субъектам, чьи права были нарушены. Когда оператор персональных данных будет знать, что выплатит хотя бы по десять тысяч рублей каждому клиенту, чей телефон “утечет”, отношение к этому резко изменится и количество проблем, связанных с незаконным использованием персональных данных, будет кратно меньше».