Цифровая трансформация государства, бизнеса и общества несет новые риски и угрозы информационной безопасности. Корпоративные базы данных, содержащие имена, даты рождения, номера удостоверений личности и другую чувствительную информацию о сотрудниках или клиентах, все чаще становятся мишенью киберпреступников. Обычным делом становится так называемая «кража личности». На безопасность персональных данных граждан не влияет ни политический режим в стране, ни уровень ее экономического развития.
Кража личности (англ. Identity theft — термин впервые появился в 1964 году) — преступление, при котором незаконно используются персональные данные человека для получения материальной выгоды.
Согласно опросам, кража личности является одним из основных опасений граждан США. В Соединенных Штатах в качестве удостоверения личности используют SSN (Social Security Number). Его номер запрашивают большое количество организаций для подтверждения личности граждан. Похитив номер SNN, злоумышленники способны, например, испортить кредитную историю своей жертвы. В Великобритании для осуществления «кражи личности» используются страховые идентификаторы NINO (National Insurance number) и NHS (National Health Service Number).
В России нет статистики, какие из электронных идентификаторов подвержены наибольшему риску компрометации, однако стремительно растет сама вовлеченность граждан в процессы электронного взаимодействия, в том числе и на корпоративном и государственном уровне.
Так, по данным Минкомсвязи России, уже более 50% граждан используют государственные услуги в электронном виде, а число пользователей Единого портала госуслуг достигло 40 млн человек, более 18 млн из которых зарегистрировались на портале в 2016 году.
В конце февраля 2017 года правоохранительным органам КНР удалось предотвратить шесть крупномасштабных операций по краже персональных данных, полиция арестовала 138 подозреваемых в 14 точках города Гуанчжоу. По данным следствия, было украдено более ста миллионов единиц личных данных: от почтовых адресов до истории телефонных звонков. Преступники приобретали данные потерпевших у сотрудников банков, крупнейших телекоммуникационных и логистических компаний. Полученную информацию они перепродавали.
В феврале 2017 года восемь человек в штате Юта, США были приговорены к тюремному заключению за мошенничество с персональными данными. Имея в распоряжении ПДн и банковскую информацию 143 тыс. американцев, злоумышленники, по версии обвинения, создавали фальшивые документы, удостоверяющие личность. Подделки использовались для открытия кредитных счетов в магазинах и совершения покупок.
В Индии под угрозой оказались биометрические данные 1 млрд человек: анкетные данные, отпечатки пальцев и фотографий радужной оболочки глаза. В системе идентификации граждан и резидентов Индии UIDAI обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев. По мнению местного чиновника, это не было бы возможным без незаконного использования и хранения биометрических данных из системы UIDAI. Происшествие породило опасения за сохранение конфиденциальности личной информации граждан Индии.
В декабре 2016 года стало известно о краже базы данных, содержащих имена, даты рождения, адреса, телефонные номера, сведения о семейном положении, финансовую информацию и прочие данные 203 млн клиентов компании Experian. Хакеры намеревались продать украденную информацию за 600 долларов США.
В организации еще одной «мега-утечки», целью которой были сбор и продажа персональных данных 24 млн клиентов компании, обвиняются руководитель и несколько высокопоставленных сотрудников корейской фирмы Homeplus (подразделение британской Tesco PLC). Фигурантам дела удалось продать собранную информацию страховым компаниям. Объем выручки от незаконной сделки составил 21,14 млн долларов США.
В марте 2017 года в распоряжении специалиста по безопасности из США оказались данные 33,6 млн американских пользователей, в том числе военнослужащих. База содержит адреса и телефоны, места работы и должности, а также данные об уровне доходов граждан США. Среди мест работы — AT&T и WalMart, банки Citigroup и Wells Fargo, почта США и Университет штата Огайо. Владельцем базы оказалась организация, которая собирает и продает различные корпоративные данные для проведения «маркетинговых кампаний».
На примере стран с более развитым цифровым обществом хорошо видно, что по мере цифровизации происходит и значительно больше утечек ПДн, масштаб которых ограничен разве что размером базы данных компании или организации. Основную угрозу несут атаки на крупные сервисы, которые хранят огромные массивы информации.
В 2016 году в мире было зафиксировано 44 «мега-утечки» (против 21 в 2015 году), в результате каждой из которых «утекло» не менее 10 млн персональных данных, совокупно на «мега-утечки» пришлось 94,6% всех скомпрометированных записей.
Долгое время в России не утихают дискуссии о возможности введения единого идентификационного документа, приравненного к паспорту гражданина страны. Напомним, что концепция единого универсального электронного документа гражданина уже была опробована в рамках проекта «Универсальная электронная карта» (УЭК). Кроме того, во время проведения Кубка конфедераций FIFA 2017 и Чемпионата мира FIFA 2018 по футболу в России будут использоваться электронные паспорта болельщиков, которые позволят гостям турниров не только получить доступ к спортивным объектам, но и осуществить безвизовый въезд на территорию Российской Федерации.
Так или иначе, с большой долей вероятности можно утверждать, что введение электронных паспортов, удостоверяющих личность граждан, является лишь делом времени. А это означает, что Россия встанет в один ряд с теми прогрессиями странами, где такие системы уже действуют, и где мы видим значительный отрыв по количеству совершаемых «краж личности», а также по масштабам компрометируемых данных граждан.
Если до сих пор российским разработчикам удается своевременно адаптировать свои ИТ-решения для защиты данных даже по наиболее уязвимым каналам передачи информации, то по мере роста вовлеченности персональных данных граждан в работу корпоративных и государственных электронных систем, для обеспечения их безопасности потребуется координированная работа государства и бизнес-сообщества.
При этом проблема безопасности персональных данных не сводится только к одной их защите, а существует как минимум еще один аспект, на который следует обратить особое внимание — это возможность извлечения информации из сверхбольших объемов данных.
Представим, что у вас есть 3 млрд записей с персональными данными, в том числе реквизиты банковских карт, адреса электронной почты, номера телефонов, сведения о финансовых транзакциях и другой критичной информацией. Также представим, что у вас получилось нормализовать этот объем данных и составить алгоритм анализа, благодаря которому вы научились видеть неявные связи между пользователями и находить ответы даже на вопросы, которые прямо не задавали.
Допустим, вы точно узнали, что без всякой кооперации жители конкретной страны забрали из ее банков часть своих сбережений и этого оттока недостаточно, чтоб вызвать массовую панику, но тенденция уже видна.
Конкретное развитие ситуации после этого может быть любым, причем в той или иной степени управляемым. Важно, что подобный прогноз на основе анализа на первый взгляд никак не связанных данных возможен в принципе. Причем в ближайшем будущем.
Те способы применения украденных персональных данных, о которых принято говорить сегодня, не идут ни в какое сравнение с теми возможностями, которые открывают технологии машинного обучения, выявления неявных связей. Кто сказал, что эти технологии завтра не станут так же доступны злоумышленникам, как сами персональные компьютеры?
Политика в области защиты персональных данных должна строиться с учетом этой перспективы, начиная с определения субъектов права использования персональных данных, выработки определения больших пользовательских данных и заканчивая правилами их оборота и надзора.
Проблема «кражи личности», точнее, огромных объемов персональных данных имеет еще несколько важных аспектов. Сухая статистика говорит о том, что в 2016 году скомпрометировано более 3 млрд персональных данных. Однако к этому факту следует относиться с осторожностью. Даже если предположить, что данные почти половины жителей планеты украдены, всё равно остается ряд неочевидных на первый взгляд моментов.
К счастью, в руках злоумышленников пока нет инструмента для извлечения из этого объема данных действительно ценной информации. Действия людей, стоящих за «кражей личности», в большинстве случаев примитивны. Число сценариев использования персональных данных ограничено — получить налоговый вычет, оформить покупку в интернете на чужие платежные данные и так далее. Поэтому компрометация 3 млрд записей персональных данных — проблема серьезная, но, скажем так, решаемая.
Интереснее другое — «кража личности», как мы уже сказали, преступление довольно примитивное. В последнее время четко прослеживается тенденция, когда «кража личности» становится основным источником дохода для бедных общин США — например, выходцев из Латинской Америки. Кто-то из членов семьи устраивается на легальную работу — в госпиталь, ресторан, гостиницу, на государственную или муниципальную службу — копирует все персональные данные, к которым имеет доступ, после чего остальные члены семьи занимаются «обналичиванием» этих данных, используя способы, о которых мы говорили ранее — налоговые вычеты и другие.
В этой массовости, а также в низком «барьере входа» и состоит главная опасность. На это мы призываем обратить внимание в первую очередь. Поскольку довольно легко представить аналогичную ситуацию и в нашей стране. С распространением сервисов, завязанных на значимые персональные данные, нас с неизбежностью ожидает волна мошеннических преступлений, связанных с украденными персональными данными. И к этому нужно быть готовыми.