?

Log in

No account? Create an account

Previous Entry | Next Entry



На безопасность персональных данных граждан не влияет ни политический режим в стране, ни уровень ее экономического развития. Обычным делом становится так называемая «кража личности». Что это такое? Откуда возник этот термин, какие самые громкие случаи кражи личности происходили за последние годы, а также - чего стоит бояться российским футбольным болельщикам уже в ближайшее время - обо всем этом читайте в нашей аналитической заметке.

Кража личности (англ. Identity theft — термин впервые появился в 1964 году) — преступление, при котором незаконно используются персональные данные человека для получения материальной выгоды.

Согласно опросам, кража личности является одним из основных опасений граждан США. В Соединенных Штатах в качестве удостоверения личности используют SSN (Social Security Number). Его номер запрашивают большое количество организаций для подтверждения личности граждан. Похитив номер SNN, злоумышленники способны, например, испортить кредитную историю своей жертвы. В Великобритании для осуществления «кражи личности» используются страховые идентификаторы NINO (National Insurance number) и NHS (National Health Service Number).

В России нет статистики, какие из электронных идентификаторов подвержены наибольшему риску компрометации, однако стремительно растет сама вовлеченность граждан в процессы электронного взаимодействия, в том числе и на корпоративном и государственном уровне.

Так, по данным Минкомсвязи России, уже более 50% граждан используют государственные услуги в электронном виде, а число пользователей Единого портала госуслуг достигло 40 млн человек, более 18 млн из которых зарегистрировались на портале в 2016 году.

Утечки

В конце февраля 2017 года правоохранительным органам КНР удалось предотвратить шесть крупномасштабных операций по краже персональных данных, полиция арестовала 138 подозреваемых в 14 точках города Гуанчжоу. По данным следствия, было украдено более ста миллионов единиц личных данных: от почтовых адресов до истории телефонных звонков. Преступники приобретали данные потерпевших у сотрудников банков, крупнейших телекоммуникационных и логистических компаний. Полученную информацию они перепродавали.

В феврале 2017 года восемь человек в штате Юта, США были приговорены к тюремному заключению за мошенничество с персональными данными. Имея в распоряжении ПДн и банковскую информацию 143 тыс. американцев, злоумышленники, по версии обвинения, создавали фальшивые документы, удостоверяющие личность. Подделки использовались для открытия кредитных счетов в магазинах и совершения покупок.

В Индии под угрозой оказались биометрические данные 1 млрд человек: анкетные данные, отпечатки пальцев и фотографий радужной оболочки глаза. В системе идентификации граждан и резидентов Индии UIDAI обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев. По мнению местного чиновника, это не было бы возможным без незаконного использования и хранения биометрических данных из системы UIDAI. Происшествие породило опасения за сохранение конфиденциальности личной информации граждан Индии.

В декабре 2016 года стало известно о краже базы данных, содержащих имена, даты рождения, адреса, телефонные номера, сведения о семейном положении, финансовую информацию и прочие данные 203 млн клиентов компании Experian. Хакеры намеревались продать украденную информацию за 600 долларов США.

В организации еще одной «мега-утечки», целью которой были сбор и продажа персональных данных 24 млн клиентов компании, обвиняются руководитель и несколько высокопоставленных сотрудников корейской фирмы Homeplus (подразделение британской Tesco PLC). Фигурантам дела удалось продать собранную информацию страховым компаниям. Объем выручки от незаконной сделки составил 21,14 млн долларов США.

В марте 2017 года в распоряжении специалиста по безопасности из США оказались данные 33,6 млн американских пользователей, в том числе военнослужащих. База содержит адреса и телефоны, места работы и должности, а также данные об уровне доходов граждан США. Среди мест работы — AT&T и WalMart, банки Citigroup и Wells Fargo, почта США и Университет штата Огайо. Владельцем базы оказалась организация, которая собирает и продает различные корпоративные данные для проведения «маркетинговых кампаний».

Пояснения Аналитического центра ГК InfoWatch

На примере стран с более развитым цифровым обществом хорошо видно, что по мере цифровизации происходит и значительно больше утечек ПДн, масштаб которых ограничен разве что размером базы данных компании или организации. Основную угрозу несут атаки на крупные сервисы, которые хранят огромные массивы информации.

В 2016 году в мире было зафиксировано 44 «мега-утечки» (против 21 в 2015 году), в результате каждой из которых «утекло» не менее 10 млн персональных данных, совокупно на «мега-утечки» пришлось 94,6% всех скомпрометированных записей.

Долгое время в России не утихают дискуссии о возможности введения единого идентификационного документа, приравненного к паспорту гражданина страны. Напомним, что концепция единого универсального электронного документа гражданина уже была опробована в рамках проекта «Универсальная электронная карта» (УЭК). Кроме того, во время проведения Кубка конфедераций FIFA 2017 и Чемпионата мира FIFA 2018 по футболу в России будут использоваться электронные паспорта болельщиков, которые позволят гостям турниров не только получить доступ к спортивным объектам, но и осуществить безвизовый въезд на территорию Российской Федерации.

Так или иначе, с большой долей вероятности можно утверждать, что введение электронных паспортов, удостоверяющих личность граждан, является лишь делом времени. А это означает, что Россия встанет в один ряд с теми прогрессивными странами, где такие системы уже действуют, и где мы видим значительный отрыв по количеству совершаемых «краж личности», а также по масштабам компрометируемых данных граждан.

Если до сих пор российским разработчикам удается своевременно адаптировать свои ИТ-решения для защиты данных даже по наиболее уязвимым каналам передачи информации, то по мере роста вовлеченности персональных данных граждан в работу корпоративных и государственных электронных систем, для обеспечения их безопасности потребуется координированная работа государства и бизнес-сообщества.

При этом проблема безопасности персональных данных не сводится только к одной их защите, а существует как минимум еще один аспект, на который следует обратить особое внимание — это возможность извлечения информации из сверхбольших объемов данных.

Представим, что у вас есть 3 млрд записей с персональными данными, в том числе реквизиты банковских карт, адреса электронной почты, номера телефонов, сведения о финансовых транзакциях и другой критичной информацией. Также представим, что у вас получилось нормализовать этот объем данных и составить алгоритм анализа, благодаря которому вы научились видеть неявные связи между пользователями и находить ответы даже на вопросы, которые прямо не задавали.

Допустим, вы точно узнали, что без всякой кооперации жители конкретной страны забрали из ее банков часть своих сбережений и этого оттока недостаточно, чтоб вызвать массовую панику, но тенденция уже видна.

Конкретное развитие ситуации после этого может быть любым, причем в той или иной степени управляемым. Важно, что подобный прогноз на основе анализа на первый взгляд никак не связанных данных возможен в принципе. Причем в ближайшем будущем.

Те способы применения украденных персональных данных, о которых принято говорить сегодня, не идут ни в какое сравнение с теми возможностями, которые открывают технологии машинного обучения, выявления неявных связей. Кто сказал, что эти технологии завтра не станут так же доступны злоумышленникам, как сами персональные компьютеры?

Политика в области защиты персональных данных должна строиться с учетом этой перспективы, начиная с определения субъектов права использования персональных данных, выработки определения больших пользовательских данных и заканчивая правилами их оборота и надзора.

Проблема «кражи личности», точнее, огромных объемов персональных данных имеет еще несколько важных аспектов. Сухая статистика говорит о том, что в 2016 году скомпрометировано более 3 млрд персональных данных. Однако к этому факту следует относиться с осторожностью. Даже если предположить, что данные почти половины жителей планеты украдены, всё равно остается ряд неочевидных на первый взгляд моментов.

К счастью, в руках злоумышленников пока нет инструмента для извлечения из этого объема данных действительно ценной информации. Действия людей, стоящих за «кражей личности», в большинстве случаев примитивны. Число сценариев использования персональных данных ограничено — получить налоговый вычет, оформить покупку в интернете на чужие платежные данные и так далее. Поэтому компрометация 3 млрд записей персональных данных — проблема серьезная, но, скажем так, решаемая.

Интереснее другое — «кража личности», как мы уже сказали, преступление довольно примитивное. В последнее время четко прослеживается тенденция, когда «кража личности» становится основным источником дохода для бедных общин США — например, выходцев из Латинской Америки. Кто-то из членов семьи устраивается на легальную работу — в госпиталь, ресторан, гостиницу, на государственную или муниципальную службу — копирует все персональные данные, к которым имеет доступ, после чего остальные члены семьи занимаются «обналичиванием» этих данных, используя способы, о которых мы говорили ранее — налоговые вычеты и другие.

В этой массовости, а также в низком «барьере входа» и состоит главная опасность. На это мы призываем обратить внимание в первую очередь. Поскольку довольно легко представить аналогичную ситуацию и в нашей стране. С распространением сервисов, завязанных на значимые персональные данные, нас с неизбежностью ожидает волна мошеннических преступлений, связанных с украденными персональными данными. И к этому нужно быть готовыми.

Comments

( 1 comment — Leave a comment )
karpion
Mar. 24th, 2017 12:13 pm (UTC)
В Соединенных Штатах в качестве удостоверения личности используют SSN (Social Security Number). Его номер запрашивают большое количество организаций для подтверждения личности граждан. Похитив номер SNN, злоумышленники способны, например, испортить кредитную историю своей жертвы.
Если этот SSN хранится во многих местах, то любой сотрудник, имеющий дело с ними, может красть личности просто массово.

Допустим, вы точно узнали, что без всякой кооперации жители конкретной страны забрали из ее банков часть своих сбережений и этого оттока недостаточно, чтоб вызвать массовую панику, но тенденция уже видна.
Это видят все банкиры. Ну и что?

С распространением сервисов, завязанных на значимые персональные данные, нас с неизбежностью ожидает волна мошеннических преступлений, связанных с украденными персональными данными.
Значит, надо создать паспорт с паролем, вшитым в чип и не выдаваемым наружу. При краже такого паспорта - заявление об обнулении его значимости и замене парспорта на новый.
( 1 comment — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Page Summary

Powered by LiveJournal.com
Designed by Tiffany Chow