Персональные данные россиян растеклись по Сети Интернет

Власти не в силах предупреждать появление сайтов типа RusLeaks.

Персональные данные россиян, пожалуй, самые беззащитные во всем современном мире. Череду скандалов с их утечками продолжило появление портала rusleaks.com, где были выложены в открытый доступ всевозможные частные документы граждан — начиная от номеров паспортов и заканчивая банковскими счетами. После волны массового недовольства сайтом заинтересовались Генпрокуратура и Роскомнадзор. И пока эти структуры принимали решения и искали лазейки в законодательстве, позволяющие закрыть ресурс силовым методом, создатели сайта решили спрятать свой проект подальше от посторонних глаз и ввели систему ограниченного доступа. Однако проблема не в самом портале — эксперты уверены, что этот интернет–проект один из немногих своих клонов. Стоит вам оплатить кредиткой покупку в интернет-магазине или зарегистрироваться в социальной сети, все данные моментально попадут в базы, купить которые (или вовсе получить за так) сегодня не составляет особого труда. Виной всему бездумность наших чиновников, которые зачастую даже не зарабатывают на подобных “сливах”, помогая своим сомнительным знакомым по доброй воле.

Что еще за RusLeaks.com?

Портал RusLeaks представлял из себя компиляцию множества закрытых баз данных, по данным создателей проекта, их было больше двух сотен, среди которых базы федерального розыска, МВД, ФСБ, ГИБДД, ФАС, закупки системы Госконтракт и внутренние базы банков. Почти целую неделю в «чудо-базе» можно было найти информацию о себе и своих знакомых — паспортные данные, мобильные номера, банковские реквизиты, информацию по автомобильным штрафам, налоговой, службы исполнения наказаний (ФСИН). По задумке создателей проекта, сайт должен был бороться с коррупцией — так, чтобы все граждане могли проводить свои личные исследования. Изначально он задумывался как русский WikiLeaks, однако эксперты назвали его не продолжателем, а антиподом знаменитого ресурса.

На прошлой неделе на главной странице портала появилось сообщение: «Сайт приостановлен, так как не выполняет те функции, для которых он создавался». Теперь оно исчезло. Создатели проекта рассказали, что им не понравилось то, что их базами пользуются не только в целях борьбы с коррупцией, хотя проект создавался именно для этого. Команда разделилась во мнениях, оставлять ли базы в публичном доступе. Судя по всему, консенсус был все же найден — на сегодняшний день принято решение перевести его в формат «I2P», то есть превратить в анонимную, зашифрованную сеть, где для третьих лиц нет возможности узнать, какие сайты просматривает пользователь и какую информацию скачивает или выкладывает. Такую сеть технически невозможно блокировать или внедрить какие-либо фильтры. Переведя проект RusLeaks в I2P, создатели ресурса отсекли значительную долю и закрыли для регулирующих органов возможность выяснить, кто посещает сайт, или блокировать его работу.

Еще неделю назад серверы сайта еле справлялись с наплывом интернет-пользователей, которые бросились искать, сколько получают их знакомые и не привлекались ли они к суду. И многие из них нашли для себя много интересного. «А я узнал, что один мой знакомый был в федеральном розыске! Директор крупного риелторского агентства», — написал в «ЖЖ» пользователь Bol Shvol. Но в целом база разочаровала любопытных, потому что данные там были старые — последние за 2007 год. «Теперь базы посвежее хочется», — написал блогер Screen. Так или иначе, все сошлись на мнении, что и до открытия портала все эти сведения можно было купить на развалах.

Как действовали госорганы?

Генпрокуратура потребовала от Роскомнадзора разобраться со скандалом. Ведомство выяснило, что доменное имя сайту RusLeaks.com делегировала компания «INTERNET.BS CORP», располагающаяся в Майами (США). Туда на всякий случай было направлено письмо с требованием прекратить работу портала. Как сказал «МК» руководитель пресс-службы Роскомнадзора Михаил Воробьев, ответа пока не получили. Также Роскомнадзор направил иск в Таганский районный суд Москвы. В случае его удовлетворения судебное решение направят в ФСБ — для блокирования доступа к этому интернет-ресурсу всех российских пользователей.

Михаил Воробьев уточнил «МК», что, по оценкам специалистов Роскомнадзора, информация, размещенная на сайте, была взята частично из открытых источников, но основной ее объем скомпилирован из примерно 130 баз данных с персональными данными граждан, незаконно оказавшихся в открытом доступе. «Наша задача была как можно оперативнее закрыть этот сайт, — рассказал „МК“ Михаил Воробьев. — Работать над этим мы стали еще в четверг, как стало известно о ресурсе. К понедельнику же были готовы нужные документы».

Пока Роскомнадзор оперативно готовил документы, сайт закрылся от посторонних глаз самостоятельно. Представитель ведомства честно признался, что не имеет к этому отношения: «Судя по сообщениям СМИ, сайт закрыли сами создатели». Почему ресурс закрылся — можно лишь гадать. «Я думаю, что на создателей сайта просто надавили. Вероятно, какой-то чекистский начальник нашел свое имя в этой базе и возмутился. Закрыть такой ресурс законно практически невозможно», — рассказал «МК» известный блогер и интернет-деятель Антон Носик, который, кстати, нашел в базе данных все свои банковские реквизиты и переводы, о чем и написал у себя в «ЖЖ».

Не он первый, не он последний

Однако с уходом сайта RusLeaks в тень много не изменилось — данные пользователей по-прежнему висят в Интернете, только на других ресурсах. «Я вообще не понимаю ажиотаж, раздутый СМИ. Сейчас масса таких баз данных как на развалах, так и в Интернете», — заявил «МК» директор центра анализа интернет-ресурсов Игорь Поляков. По его словам, сайту сделали медвежью услугу — слишком хороший пиар обернулся против создателей ресурса. Блогеры также подтверждают, что ничего нового RusLeaks не содержал: сайт просто собрал в одном месте все имеющиеся базы данных и «прикрутил» к ним красивый поиск.

Скандал с выложенными в сеть базами данных еще раз доказал, что в России не действует Федеральный закон № 152 о защите информации. Эксперты считают, что бороться с утечками информации практически невозможно, потому что они происходят из-за человеческого фактора. Кроме того, практически сложно закрыть ресурсы мошенников, распространяющих «сливаемые» базы данных.

«Базы данных плохо защищены, к ним имеют доступ множество мелких чиновников различных ведомств, которыми иногда движет желание подработать», — рассказал «МК» адвокат Леонид Ольшанский. «Круг чиновников и силовиков, с которыми коммерческий банк в России обязан делиться всеми данными своих клиентов, невозможно установить», — пишет в своем «ЖЖ» Антон Носик. Он заметил, что ему непонятны законные цели, по которым его данные о его банковских переводах хранились у чиновников 8 лет. Никакого следственного дела, по запросу которого данные о банковских переводах Носика могли бы предоставляться чиновникам, в отношении него не велось. Поэтому Носик сделал вывод о том, что раскрытие платежной информации производится просто так, «чохом и по умолчанию».

«Данные попадают в Сеть из-за злого умысла людей, разглашающих инсайдерскую информацию», — рассказал «МК» председатель комиссии по информационной безопасности и киберпреступности Российской ассоциации электронных коммуникаций (РАЭК) Андрей Ярных. «Через какого-то секретаря крупной компании сведения всегда можно получить быстрее и проще, чем взламывая какие-либо программы», — подтвердил «МК» Игорь Поляков.

Также сейчас невозможно законодательно закрывать ресурсы, торгующие ворованными базами. «Есть ряд стран, например США, которые не присоединились к Конвенции о защите персональных данных. Если бы на RusLeaks появились какие-либо сведения о гражданах Америки, ресурс прикрыли бы за считаные часы, — рассказал „МК“ исполнительный директор Лиги безопасного Интернета Денис Давыдов. — А пока каждый злоумышленник по стандартной схеме сейчас может зарегистрировать домен в США и не понести ответственности, так как российские законы там не действуют».

Как же быть?

Если с человеческим фактором бороться практически невозможно, то технически обезопасить базы данных можно. Эксперты считают, что одним из важных принципов защиты информации может стать шифровка баз данных, а также их персональное хранение. «ФИО должно быть в одной базе, паспортные данные — в другой. Между собой они должны соотноситься с помощью зашифрованного кода и при необходимости сопоставляться», — предлагает Ярных. Пока же, судя по недавней утечке, все хранится вместе. Можно бороться с утечкой информации и более радикальными методами. Например, некоторые эксперты считают так: «Нет информации — нет проблем».

Игорь Поляков рассказал «МК», что у него есть знакомый директор крупной фирмы, который установил на жесткий диск конденсатор. Теперь, когда к нему в компанию приходят конкуренты, он нажимает на кнопочку, и жесткий диск со всей информацией сгорает. «После прочтения съесть — вот лучший способ защиты информации», — считает адвокат Ольшанский. Менее радикальный способ предлагает Антон Носик: «Кому не нравится — может не жить в России», — сказал он «МК», добавив, что судиться не собирается.

А вот людям, пострадавшим от обнародования их персональных данных, делать особенно нечего. Ольшанский утверждает, что создателей ресурса RusLeaks можно судить как минимум по статье 137 УК «Нарушение неприкосновенности частной жизни», однако для этого в Следственный комитет должны обратиться пострадавшие граждане, чтобы стал понятен ущерб, причиненный хакерами. «Одно дело, когда вам мороженку в лицо кинут, а другое дело — когда глаз выколют», — резюмировал адвокат.