Эволюция червя: Украденные данные о 60 млн кредиток из Сбера – только начало
В ноябре 1988 года произошла первая компьютерная эпидемия, заставившая специалистов задуматься, насколько необходим комплексный подход к обеспечению информационной безопасности. С тех пор 30 ноября отмечается День компьютерной безопасности.
А началось всё с того, что американский учёный-компьютерщик Роберт Моррис, будучи ещё аспирантом Корнельского университета, разработал червя, которого выпустил в ARPANET (предок современного интернета) из Массачусетского технологического института. Считается, что произошло это не намеренно, а по ошибке, однако сам Моррис заявил позднее, что сделал это для того, чтобы продемонстрировать неадекватность текущих мер безопасности в компьютерных сетях, используя обнаруженные им дефекты безопасности. В результате червь, используя ряд уязвимостей, смог проникнуть в целевые системы 6000 интернет-узлов США, парализовав их работу.
Урон, который нанёс червь, достиг 53 тысяч долларов. Таким образом Моррис оказался первым человеком, которому было предъявлено обвинение по Закону о компьютерном мошенничестве и злоупотреблениях (CFAA).
Американская Ассоциация компьютерного оборудования, провозглашая День защиты информации, заявила, что таким образом хочет напомнить и пользователям, и производителям оборудования и ПО, насколько важна защита компьютерной информации. С тех пор 30 ноября проводятся различные международные конференции, в ходе которых рассказывается и о новых атаках на незащищённое оборудование, и о разработанных способах борьбы с хакерами, и о многом другом.
"Взлоумышленники" за работой
Однако нельзя сказать, что интернет стал с тех пор безопасным, а защита – непробиваемой. "Взлоумышленники" совершенствуют методы проникновения, ни на шаг не отставая от разработчиков систем безопасности. Они и базы данных взламывают, получая доступ к самым секретным сведениям, и крадут деньги со счетов банков, как это сделал в 1994 году российский хакер Владимир Левин, который вытащил из системы Citуbank 12 миллионов долларов.
Жертвой хакеров пал, к примеру, крупнейший в мире сервис по обмену биткойнов Mt.Gox, пользователи которого потеряли в общей сложности полмиллиарда долларов.
DDOS-атака, которую устроил "принц Кибербункера" – владелец провайдера CyberBunker Свен Олаф Камфиус с единомышленниками в 2013 году, могла и вовсе "сломать интернет". По оценкам специалистов, это была самая мощная атака, известная на тот момент.
Самый серьёзный интерес у хакеров вызывают компьютеры Пентагона. Число вполне успешных атак на системы Минобороны США точно не известно. Однако взломать серверы американских военных и даже NASA удавалось и совсем юным хакерам. К примеру, Джонатану Джеймсу, который проник на сервер Министерства обороны США в 1999 году, было всего 15 лет.
Зафиксированы атаки и на крупнейшие IT-гиганты. Их целью, конечно, были данные пользователей. К примеру, в 2014 году с серверов Yahoo утекло около миллиарда данных об аккаунтах с сервисов компании. Конечно, представители компании утверждали, что до номеров кредиток злоумышленники добраться не смогли, в их руки попали только имена, телефоны и даты рождения пользователей, но кто точно может это знать?
В 2013-2014 годах хакеры похитили персональные данные, в том числе и PIN-коды кредитных и дебетовых карт, более 100 миллионов клиентов компании Target, которой принадлежит третья по величине торговая сеть США. Сделал это выходец из Китая Го Синчэнь, использовавший вредоносную программу "Картоха".
Реестров много – публичных и закрытых
Перечислять атаки можно очень долго, они продолжаются и в настоящее время, так что о полной безопасности в интернете говорить невозможно, а риск утечки персональных данных есть всегда. Конечно, их можно и избежать, если вовремя анализировать возможные угрозы и правильно составлять реестры данных. Но полной гарантии безопасности, скорее всего, нет.
В России существует на текущий момент ряд публичных, то есть открытых, данных реестров государственных органов. Считается, что наша страна с точки зрения доступа к информации – наиболее прозрачная. А после того, как в 2011-2012 годах стала реализовываться идея "Открытого правительства", граждане получили доступ к различным документам органов и ведомств, что позволяет обществу контролировать их работу. Однако, помимо публичных реестров, существуют и закрытые, доступ к которым ограничен.
Данные граждан России хранятся в самых разных реестрах, и уж больно часто их сливают в открытый доступ. Сколько таких "сливов" становились известны только за последнее время, напоминать, наверно, не надо. Причём "лидером" в этом нередко оказывался Сбер, который любит похвастаться своей "совершенной системой безопасности", притом что именно оттуда уплыли данные о 60 миллионах кредиток.
Безопасность наших данных – под большим вопросом
И на фоне всех этих уязвимостей, хакерских атак и просто сливов возникают серьёзные опасения сохранности данных, которые власти планируют собрать в Единый федеральный информационный регистр, в котором должна будет храниться вся информация о гражданах России от рождения до самой смерти.
Как мы помним, законопроект о цифровизации населения страны Госдума приняла весной текущего года, в самый разгар пандемии. Авторы документа, представленного в российский парламент, указывают, что в идеальном цифровом профиле гражданина будет содержаться около 30 видов сведений о нём.
В их число входят ФИО, дата и место рождения и смерти, пол, СНИЛС, ИНН, семейное положение и прочее. Закон должен вступить в силу уже с 1 января 2022 года. При этом до 31 декабря 2025 года установлен переходный период, в течение которого будут отрабатываться особенности создания и ведения регистра о населении.
Согласно этому закону, Федеральная налоговая служба РФ, собрав воедино данные 12 ведомств, среди которых МВД, Минобороны, Минобрнауки, ФНС, Росморречфлот, ФОМС, ФСС и другие, создаст небывалую по объёму информации федеральную базу. Причём обещаний, что сбор сведений ограничится этими "30 параметрами", никто не давал – возможно, завтра сведения о нас станут собирать по 130 позициям.
Многие специалисты в области "цифры" обеспокоены безопасностью этого единого информационного пространства. По их мнению, получение доступа к информации может стать "уязвимой точкой". Чем больше людей будут иметь возможность получить всю информацию целиком, тем шире возможности для злоумышленников.
А последствия раскрытия информации, которая будет собрана в ЕФИР, могут быть самыми серьёзными. К примеру, продажа баз данных на чёрном рынке, что спровоцирует увеличение случаев мошенничества с использованием чужих данных. Причём слишком велик риск, что если уж "утечёт", то может "утечь" всё и сразу. А уж спрос на содержимое подобного глобального реестра, где содержатся не только личные данные, но и сведения о родственных связях, может быть просто огромный.
Единую базу данных удобно взламывать: один раз потрудишься – и вся информация уже в кармане, считает эксперт в области безопасности Игорь Ашманов. Конечно, есть надежда, что центральная база будет защищаться лучше, чем региональные, но гарантий никаких нет.
Лакомый кусок для западных спецслужб
Есть и другие претензии к этой глобальной базе данных. Прежде всего, считают юристы, принудительны сбор и обработка персональных данных граждан будет проводиться без получения их согласия, а уже это нарушает статью 24 Конституции России, согласно которой "Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются".
Мало того, что при этом нарушается ФЗ РФ "О персональных данных" – статья 5, гласящая:
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
И это ещё не всё! ЕФИР может создать колоссальную угрозу не только гражданам, но и государственной безопасности, раз уж речь идёт о сохранности собранных данных, а ведь доступ к ним будут иметь все органы власти, как федеральные, так и региональные, независимо от их сферы деятельности, а также органы управления внебюджетными фондами, нотариусы, избиркомы и многофункциональные центры. То есть ни о какой секретности собранных сведений речь в принципе не идёт!
Ведь не просто так даже в ФСБ были шокированы идеей создания подобной глобальной базы данных, также увидев в этом угрозу утечки данных о следователях, судьях, сотрудниках спецслужб, подопечных "службы защиты свидетелей" и других лицах, пользующихся государственной защитой.
То есть велика опасность, что наши персональные данные могут стать добычей не только мошенников, но и западных спецслужб. А учитывая способности хакеров, нельзя исключать, что вся система в какой-то момент может быть взломана. А если вспомнить всё, что мы рассказали в самом начале, подобный риск исключать совершенно нельзя.