Продавцу пиратских дисков с фильмами грозит шесть лет тюрьмы, а торговцу базами данных — штраф в 500 рублей |
Наверное, было бы нехорошо оценивать в рублях и условных единицах такие серьезные права человека, как право на жизнь, право на доступ к правосудию. Но новое, недавно обретенное россиянами право не тянет на серьезное. И политики в нем не так много. Это право на защиту персональных данных, которые, похищенные и сведенные в базы, сейчас вовсю продаются на черном рынке. Есть основание полагать, что новое право российского человека вполне может быть оценено в денежном эквиваленте.
Деловые люди
Закон «О персональных данных», вступивший в силу в январе 2007 года, застал рынок врасплох, и был притом малопонятным. Подзаконное постановление правительства, появившееся в ноябре 2007-го, ясности не прибавило. Необходимость защиты персональных данных (ПД) упоминалась еще в первой версии закона «Об информации...» 1995 года, некоторые положения, касающиеся персональных данных работников, были прописаны в Трудовом кодексе РФ (отдельная глава). Однако ситуация с персональными данными почти не менялась. Было не вполне понятно, к чему именно готовиться и насколько серьезной должна быть защита. Да и что такое эти ПД? Невозможно ведь спрятать абсолютно все сведения о человеке, а то он может исчезнуть совсем: нет бумажки — нет человека.
Львиная доля обращающихся на рынке данных приходится на банковские карты. Рынок этот глобальный, говорить о его российском сегменте не имеет смысла. Вообще, кардинг — это отдельный бизнес, и здесь мы в расчет его не принимаем, тем более что «Деньги» неоднократно о нем писали (последний раз — в N33 от 27.08.2007).
Прочие источники ПД разнообразны. Тут и телефонные базы данных — МГТС, «Билайн», МТС, и налоговые, и пенсионного фонда, и ГИБДД, и таможни; ценность этих БД зависит от того, насколько просто и выгодно можно конвертировать их в деньги. Поможет ли новый закон бороться с утечкой и нелегальным распространением баз? Наверное, поможет. Только обратим внимание, что закон в основном касается частных предприятий. В нем прописано не менее шести послабляющих исключений, относящихся к государственным и муниципальным информсистемам. То есть, для госорганов требования в целом менее строгие, а в ряде случае и вовсе отсутствуют. В то время как крепость их информброни в среднем ниже. Например, если злоумышленник пожелает получить самую обширную базу почтовых адресов граждан, он, без сомнения, обратит свой нечистый взор на «Почту России», где миллионы фамилий, адресов и прочей полезной информации обрабатываются на десятках тысяч слабозащищенных компьютеров низкооплачиваемыми сотрудницами. Между тем персональные данные «для доставки почтовых отправлений» — одно из упомянутых исключений (п. 5 ч. 2 ст. 6).
Для современных информационных систем характерна конвергенция — информсистемы и базы данных склонны сливаться если не технически, то логически. То есть, достаточно один раз привязать человека к информационному пространству, и он весь как на ладони.
Алексей Кедров, оперуполномоченный территориального ОВД: Дело было серьезное — про «камушки». Поставили мы за мужиком «наружку», чтоб контакты срисовать. И вот «наружка» начинает такой контакт вести, но почти сразу упускает — только успели заметить, как тот к банкомату подошел. Сразу в банк, там по логам банкомата устанавливаем фамилию, адрес, номер телефона, на который он SMS получает. Но телефон этот у него официальный, то есть, никаких темных контактов через него нет. Стали смотреть транзакции по карточке. Пара из них — из-за границы. Значит, человек за рубеж летал. Прикинули, какими рейсами мог улететь и вернуться, подняли сведения об авиабилетах, нашли моментально. Вместе с ним на соседнем кресле летела женщина в оба конца. Значит, любовница. Кстати, через нее, как потом оказалось, он кое-что из своих темных дел осуществлял. Стали другие транзакции по его кредитке проверять. И в одном ресторане заметили, что он использовал бонусную карту «Малина». Вот этой картой его и привязали к остальным контактам. Подняли историю бонусов. И увидели, что получал он бонусы свои за оплату мобильного телефона — «левого», который на чужое имя оформлен и использовался как раз для черных контактов. Поднимаем список звонков — и все его подельники как на ладони.
Многочисленные российские БД никак не увязаны друг с другом — как того и требует закон. А на черный рынок базы попадают фрагментами, время от времени. Изготовители продаваемых данных пытаются эти фрагменты увязать, версии разных периодов объединить. Именно поэтому нелегальные базы обычно продаются в кустарных «оболочках».
Дмитрий, торговец дисками: В день 5-10 дисков с базами продаю случайным людям. И еще примерно столько же привожу на заказ постоянным покупателям. Телефоны МГТС и мобильные, прописка, учет ГИБДД, потребкредиты, таможня всякая, из банковских платежей кое-что. Но большинство баз не очень свежие и какими-то кусками разрозненными. Сведены вместе кустарным способом, в самописной оболочке. Серьезным людям не такие базы нужны. Им подавай свежие, да полные, да с гарантией обновления. У меня таких нет. Видимо, что попало на рынок, то и продается. Я и ГК читал, и закон «О персональных данных». И никакой особой ответственности для продавцов баз в законе нет. По сравнению с контрафактными фильмами и программами, которых у меня полный лоток, базы — это тьфу! Там надо мной статья висит до шести лет, а за эти ваши ПД — какой-то штраф в 500 рублей. У меня все уплачено куда надо. И чтобы мне где надо сказали: «Ты фильмами пиратскими, давай, торгуй дальше, а вот базами — больше не торгуй» — в это, извините, не верится.
Следует заметить, что уже давно идут разговоры о создании единого государственного регистра населения — эдакой Базы Баз. В новом законе даже предусмотрительно оговорено, что этот регистр будет регулироваться отдельным законом (ч. 4 ст. 13). Как повлияет это на черный рынок? Из разрозненных по-разному защищенных государственных «информационных закромов» все последние годы удавалось нацедить понемножку, чтобы сделать и продать полноценный нелегальный продукт. Если вдобавок ко многим хранилищам появится одно единое, красть данные будет не проще и не сложнее. Но украденное, скорее всего, станет менее фрагментированным. Возможно, появится единый формат. Закон, напомним, запрещает увязывать между собой ПД, предназначенные для разных целей. Но в законе множество исключений, единый регистр населения — одно из них.
Что же касается использования нелегальных баз, широк круг их потребителей: угонщики автомобилей, квартирные мошенники, службы безопасности банков, ревнивые жены, наконец. Но, как ни странно, чаще всего нелегальные базы используют «органы».
Алексей Кедров: Элементарная вещь — телефонный номер «пробить» или машину. Чтоб через наши структуры официально все получить, ты десять бумаг напиши, начальника поймай, подпиши у него, а он еще выкаблучиваться будет, как будто это мне лично надо. Через день-другой получишь ответ. Может быть. А если не повезет, тебя за эти запросы УСБ на карандаш возьмет — им же надо «оборотней» ловить. Зачем мне этот геморрой? Изыскал пару дисков с базами, на свой компьютер поставил. Коллеги все сначала мне звонили — за справками. Потом себе тоже завели.
Так что если в результате действия законов удастся «прикрутить фитилек», то первыми начнут страдать от нехватки информации простые любопытствующие пользователи и оперативники. И только потом, если уж очень сильно прижмут, дойдет до частных служб безопасности и маркетологов со спамерами.
Аналитики оценивают нынешний российский рынок персональных данных по-разному, но все оценки укладываются в диапазон 100-200 млн рублей в год (без учета кардинга).
Кому выгодно
От рынка ПД перейдем к рынку защиты ПД. Он состоит из трех сегментов: совершенствование информационных систем согласно требованиям по защите ПД; услуги, связанные с сертификацией на соответствие требованиям по защите ПД; юридическое обеспечение этих требований, документальное оформление, подача и рассмотрение претензий. Аналитики, оценивая рынок информационной безопасности (ИБ), ссылаются на трудности — решения и услуги ИБ в значительной степени интегрированы в ИТ-решения и услуги. А относительно персональных данных можно сказать, что отдельных решений для их защиты вообще нет. И не предвидится. Тем не менее некоторые оценки этого пока несформировавшегося рынка существуют. Объем его в первый год действия закона аналитики компании InfoWatch оценивают в 165 млн «белых» рублей плюс 50-60 млн теневых. Если же ведомства введут особо строгие требования к средствам защиты ПД, эта цифра существенно вырастет.
Технические средства защиты персональных данных, по сути, мало чем отличаются от систем защиты коммерческой тайны и иной конфиденциальной информации. А такие системы уже стоят на вооружении многих предприятий.
Вот как оценивает риски одного из хостинг-провайдеров его технический директор, пожелавший остаться неназванным: Риски простые — выплывание БД с клиентами на свет божий. Точнее, я думаю, она уже выплыла, и умными людьми уже продается отсортированная по компаниям, например. Ведь не секрет, что большинство работников компаний зафиксировали себя в «Одноклассниках», «Моем круге» и прочих социальных сетях. Бери, фиксируй и продавай как сведения о штате компании, к примеру. Сколько наша компания готова потратить денег, чтобы привести технику в соответствие с требованиями? Ни копейки. То есть, у нас хватает собственных ресурсов — техники и специалистов, чтобы обойтись без привлечения (и соответственно оплаты) сторонних организаций. Поэтому посчитать затраты, на мой взгляд, можно только в виде человеко-часов. И то по факту.
Большинство операторов ПД действительно сначала постараются обойтись своими силами. В прошлом ИТ-компании уже неоднократно такие фокусы проделывали. Сами, без помощи криптографов писали программы шифрования данных. Сами, без помощи юристов составляли договоры, касающиеся конфиденциальных данных и интеллектуальной собственности. Сами, без помощи бухгалтеров и налоговиков писали программы для бухучета и биллинга. Отвадить «айтишников» от подобных занятий удавалось лишь сильным административным давлением со стороны госорганов и вытеснением «технарей» из высшего руководства ИТ-компаний. С ПД тоже неизбежен период кустарщины, но вскоре профессиональные решения возобладают. В законе «О персональных данных» содержится требование об обязательном использовании криптографии для защиты ПД (ч. 1 ст. 19). Это означает, что свою долю рынка непременно получат те, кто имеет лицензии ФСБ на разработку и эксплуатацию шифровальных средств. В области защиты информации (а понятно, что почти никакая защита без шифрования невозможна) легко проходил такой трюк: обзываем шифрование «кодированием» и обходимся без лицензии. С ПД так уже не проскочишь. Ибо сказано в законе дословно: «шифровальные (криптографические) средства». А на создание, распространение, обслуживание и эксплуатацию таких средств нужна лицензия.
Осознанная необходимость
Предприниматель, требующий от клиента предъявить документ с подписью и печатью, очень быстро лишится части потребителей, что в условиях жесткой конкуренции недопустимо. Поэтому на Западе и товары продают, и кредиты выдают, и даже более солидные сделки заключают без серьезных мер по удостоверению личности. Мошеннику в США и Европе действовать гораздо легче, чем в России, где еще не вымерло поколение, приученное к тотальной бдительности. Иными словами, в «легковерных» странах чужие персональные данные достаточно просто конвертировать в деньги. Расцвел пышно кардерский бизнес и увядать пока не собирается. Из-за нашествия кардеров многие компании, совершающие сделки через интернет, уже не удовлетворяются именем и номером карты; клиента просят сообщить дополнительные персональные данные: домашний адрес, номер телефона, прислать скан-копии различных документов. В ответ на черном рынке появилась возможность приобрести все потребное за разумные деньги.
Павел Шевчук, директор компании «Тамософт» (разработка ПО для компьютерной безопасности): Классические платежные системы — Visa, Mastercard, American Express — практически ничего не делают для обеспечения безопасности интернет-торговли. Не удивительно, что интернет-магазины вводят все более строгие правила торговли. Например, сейчас уже практически не осталось американских компьютерных магазинов, которые принимали бы заказы из других стран по кредиткам. Сколько лет идут разговоры о внедрении электронной цифровой подписи и уравниванию ее в правах с обычной подписью, а воз и ныне там. А ведь внедрить ее в оборот очень просто. Поэтому я прогнозирую увеличение доли рынка электронных и суррогатных денег, таких как WebMoney, Яндекс. Деньги. Они имеют общее свойство — безотзывность транзакций, и интернет-продавцы принимают их с удовольствием. А для клиента они предпочтительнее кредитных карт большим уровнем анонимности.
РЕКЛАМНЫЙ БЛОК
[ Хотите знать больше о частной разведке? Регистрируйтесь и общайтесь на интернет-форуме it2b-forum.ru ]Списки адресов электронной почты для рассылки спама давно уже продаются на черном рынке и пользуются постоянным спросом. Информация «фамилия, имя плюс номер карты соцстрахования» (для США) позволяет мошенникам без особых хлопот получить небольшой кредит на чужое имя. На знании фамилии и номера телефона построен такой вид мошенничества, как вишинг — выманивание у граждан паролей к банковскому аккаунту, номеров кредиток, пин-кодов и другой «денежной» информации при общении по телефону под видом представителя банка, правоохранительных органов и т. п. (телефонный аналог фишинга).
В 1981 году Совет Европы принял «Конвенцию о защите физических лиц при автоматизированной обработке персональных данных» — включил новый пункт в список прав и основных свобод человека. Россия подписала ее в 2001 году, но ратифицировала только в 2005-м. Соответствующий российский закон, весьма невнятный, вступил в силу в январе 2007 года. Подзаконное постановление правительства, появившееся в ноябре 2007-го, ничего не разъяснило, а лишь делегировало определенные полномочия (устанавливать требования к обеспечению безопасности персональных данных и к техническим средствам) ФСТЭК (Федеральной службе по техническому и экспортному контролю) и ФСБ. Этим ведомствам поручено за три месяца выпустить нужные документы.
Определение персональных данных, которое дано в новом законе, широко, как русская душа. «Персональные данные — любые сведения, относящиеся к определенному… физическому лицу». Соответственно, под это определение может подпасть практически все, начиная от телефонного номера и заканчивая кличкой любимой собаки.
Антон Серго, президент юридической фирмы «Интернет и Право»: Закон, который уже действует, предъявляет существенные требования к «операторам». И дает существенные права «субъектам» — владельцам персональных данных. Риски для интернет-проектов, обрабатывающих ПД? Скажем так: смотря, чьи данные будут обрабатываться с нарушением. Пока нарушения эти не заденут влиятельных лиц, я бы оценивал риски как несущественные. Но принять определенные меры организационно-правового характера я все-таки рекомендую. Во всяком случае, для «белых» компаний. Риски — рисками, но исполнять требования закона нужно. Хотя бы формально. Для интернет-компаний вообще характерно несерьезное отношение к юрвопросам.
Первое приближение
Закон, несмотря на свою неконкретность, устанавливает некоторые базисные принципы обращения с ПД: не собирать избыточные сведения; хранить данные не дольше, чем это необходимо; получать разрешение субъекта на использование сведений о нем; предоставлять субъекту все имеющиеся данные и т. д. «Нарушение установленного порядка обработки персональных данных» (который, по сути, пока еще не установлен) влечет ответственность административную и гражданско-правовую. Первая установлена статьей 13.11 КоАП. Санкция там небольшая, максимум 10 тыс. рублей штрафа, других неприятностей не предусмотрено. Что же касается гражданской ответственности, то речь о ней может идти в тех случаях, когда причинен материальный ущерб или моральный вред. По оценкам правоведов-специалистов по информационному праву, «насчитать» размер ущерба более тысячи рублей будет тяжело. Даже в запущенных случаях. Моральный вред в российских судах, как правило, оценивается невысоко, если его вообще удается доказать. Причинить ущерб деловой репутации или убытки в форме упущенной выгоды здесь, скорее всего, невозможно, поскольку истцом может выступать лишь субъект ПД, то есть физическое лицо. Эксперты сходятся во мнении, что подавляющее большинство претензий к операторам снимаются простым уничтожением или блокированием персональных данных. Но самое интересное — как именно защищать персональные данные, какие средства, способы, технологии нужно использовать, а какие, напротив, нельзя — этого нет ни в законе, ни в постановлении правительства. Новые требования должны появиться в конце февраля.
Николай Федотов, главный аналитик компании InfoWatch (разработка средств защиты конфиденциальной информации): Какие требования будут установлены? Скорее всего, для обработки и защиты ПД разрешено будет использовать не любые, а только сертифицированные средства. Еще через некоторое время напишут положение о порядке сертификации. Поскольку данные обрабатываются повсеместно, сертифицировать потребуется много и быстро. Задача вполне выполнимая, если аккредитовать достаточное количество испытательных лабораторий. Другое дело — аттестация. Если сертификат можно выписать одной бумажкой на неопределенное количество продуктов (на серию, модель, версию программы), то аттестовать установленные и настроенные программно-аппаратные средства можно только индивидуально. Так что аттестовывать средства обработки ПД ведомства вряд ли потребуют, разве что в отношении некоторых категорий данных. Таким образом, для снижения правовых рисков в первом приближении нужно будет приобрести сертифицированные средства обработки ПД. Но это рекомендация — для среднетипичного предприятия, у которого имеется лишь кадрово-бухгалтерский учет да список клиентов. Отдельный разговор — про предприятия, у которых весь бизнес заключается в работе с ПД. Например, поддержка социальных сетей или телефонные продажи. Соответственно, на защите здесь сможет заработать тот, кто выпускает необходимые программно-технические средства. Если, конечно, вовремя подсуетится с получением нужных сертификатов.
Рекомендации
То, что ПД — вопрос политический, сомнений не вызывает (напомним, аналитики насчитали в нем «экономики» всего порядка одного рубля на душу населения России). А для прагматичного бизнесмена в таком вопросе важно вовремя развесить в нужных местах флажки нужного цвета. Рассмотрим эти места подробнее.
Кадрово-бухгалтерское делопроизводство — обязательный элемент любого предприятия. Этим ПД уделяется внимание в первую очередь. Видятся два варианта. Если предприятие готово ограничиться хранением минимальных сведений о своих работниках, то особого разрешения получать не надо в силу п. 2 ч. 2 ст. 6. Когда требуется что-то сверх минимума, надо, чтобы работник подписал отдельное «согласие на обработку». Форма такого согласия почти дословно приведена в ч. 4 ст. 9 закона. Кроме того, руководителю предприятия следует издать положение о порядке обработки ПД, с каковым ознакомить под роспись всех работников, как того требует п. 8 ст. 86 ТК. Что касается технических средств ведения кадрового и бухгалтерского учета, то здесь много думать не надо: делай как все. Когда и если появится требование сертификации таких средств, все производители поставят предприятиям сертифицированные версии.
Другой частый случай — использование ПД в маркетинге. Многие розничные компании с целью изучения рынка ведут учет клиентов в той или иной форме, а также проводят неанонимные опросы. Аналогично ситуации с собственными работниками, здесь минимум сведений о клиенте, необходимый для исполнения договора, можно хранить, не получая отдельного разрешения. Например, магазин, осуществляющий доставку товара, должен знать фамилию покупателя и адрес доставки. После исполнения договора эти данные следует уничтожить или обезличить. Понятно, что если каждому клиенту предлагать подписывать «согласие на обработку персональных данных», то клиентов у такого предприятия может поубавиться.
Согласие возможно лишь в письменной форме. Но отчасти заменяющий его договор можно заключить через акцепт оферты, что приравнивается к письменной форме. Акцепт — это хорошо знакомая всем кнопочка «я согласен», предваряемая непосильным для нормального человека количеством мелкого текста. Также можно предложить предприятиям вместо персональных хранить обезличенные данные. То есть такие, по которым невозможно идентифицировать личность клиента. Например, постоянным покупателям мы желаем раздать бонусные карты. Если на карте указана фамилия или в анкете домашний адрес, то это уже персональные данные, для которых потребуется письменное согласие клиента. Если же карты номерные, и домашних адресов в базе нет, то такие данные вполне можно считать обезличенными и обрабатывать без особых церемоний (ч. 2 ст. 7). А как же тогда передавать клиентам информацию, проводить опросы? А через интернет, где вполне возможна обезличенная рассылка.
Использование персональных данных в интернет-проектах вызывает наибольшее количество вопросов. Владельцы сервисов наподобие «Одноклассников» находятся в самом интересном положении. Пользователи добровольно, даже с энтузиазмом и не без выгоды для себя участвуют в сети, осознавая, что некоторые их персональные данные станут общедоступны. Но исполнить требования закона здесь будет труднее всего.
Николай Федотов: Заключение договора с каждым участником сети (через акцепт, разумеется) представляется наиболее приемлемым вариантом. Однако не совсем понятно, что делать, если недобросовестный пользователь зарегистрируется, введет свои данные, а потом откажется и предъявит претензии, требуя компенсации морального вреда. А то и нажалуется в лицензирующий орган. Закон возлагает на оператора обязанность доказывать получение согласия субъекта или факт общедоступности данных. При взаимодействии через интернет как-то подтвердить личность пользователя, не вызвав неудобств, беспокойства и затрат с его стороны, представляется нереальным. Скорее всего, крупные проекты подобного рода вынуждены будут иметь специального штатного юриста, чтобы отбиваться от претензий, основанных на персональных данных. Мелкие предприятия смогут встать на «абонентское обслуживание» в юридической компании, либо застраховать свои правовые риски, либо надеяться, что «пронесет». К счастью, об уголовной ответственности за нарушения здесь речи пока не идет. Административная ответственность не выглядит суровой. А гражданско-правовая натыкается на годичную волокиту и российскую судебную практику оценивать моральный вред в смехотворные суммы. Не зря в нашей стране предложение «обращайтесь в суд» воспринимается клиентом не иначе как отказ в наглой циничной форме.
Юрий Яхин, юрист, эксперт информационного агентства CNews Analytics: Не стоит ожидать существенного роста числа исков от граждан, связанных с их ПД. Взыскать в суде сумму, покрывающую расходы, это маловероятно. И исходя из того, что в данном случае нарушаются неимущественные интересы, главным требованием в суде должно быть прекращение нарушения, а не имущественное требование. Поэтому гражданских исков в ближайшее время много не будет. Разве что если затрагиваются еще и имущественные интересы граждан (например, база с данными о доходах). Не думаю также, что будет популярно привлечение к административной ответственности за нарушения предписанного порядка защиты ПД. Разве что в качестве меры избирательного правоприменения.
Конфиденциальность персональных данных (как и вообще право на тайну частной жизни) относится к тем вопросам, которые, балансируют на грани права и этики и вряд ли могут быть адекватно урегулированы законодательством. Тем более, когда такое регулирование не опирается на исторические традиции. Чтобы не пострадать в предстоящей борьбе вокруг защиты персональных данных, достаточно предпринять следующее. В типичных случаях — следовать текущей практике: приобрести сертификаты на средства обработки данных, подписать соответствующие инструкции, приказы и разрешения. В нетипичных — обратиться к специалисту по информационному праву и обложиться бумагами в тех местах, которые он укажет. Чтобы заработать на персональных данных, нужно иметь отношение к «административному ресурсу».
Ну, и наконец, что можно посоветовать простым гражданам, которых новый закон именует «субъектами персональных данных»? Надеяться на себя. Посмотрим на опыт США, где нормы о защите ПД более строги, действуют давно, однако кражи ПД имеют невероятный масштаб. Предотвращать утечку данных американцы не научились (если это вообще возможно), но они неплохо научились минимизировать вредные последствия утечек. Основные меры — скорейшее уведомление субъекта ПД об утечке и плотный мониторинг финансовых и иных действий, совершенных от имени пострадавшего. То есть, воровство не победили, но следить за своими вещами людей приучили. Так что не пытайтесь объять необъятное и проконтролировать, в скольких десятках компьютеров лежит скан вашего паспорта. Лучше просто почаще проверять свои счета и балансы, чтобы вовремя заметить худое.
На боевом посту
Сеанс с разоблачением Ходят слухи, что спецслужбы используют социальные сети для наведения справок. Дескать, с помощью таких сетей они могут узнать очень много о любом человеке. Не станем утверждать, что это неправда. Просто спецслужбы здесь в общей очереди. Недавно на популярном веб-форуме самостоятельных путешественников один из пользователей поделился проблемой. Он увидел предложение, крайне заманчивое, но одновременно внушающее опасения: авиабилеты, всего $250 за полет Петербург-Бангкок и обратно, к тому же без предоплаты. Продавец сказочных билетов скрывался за номером ICQ. Он утверждал, что риска никакого нет, но подробностей не раскрывал. Среди путешественников сразу завязалась оживленная дискуссия — может ли такое быть. Один из участников форума, проведя поиск в интернете по ключевым словам, нашел сайт продавца с тем же предложением и выяснил, на кого зарегистрировано доменное имя. Другой участник немедленно ввел эти данные в «Одноклассников» и обнаружил сведения о годе рождения, месте учебы и т. д. На сайте «ВКонтакте» нашлась учетная запись того же торговца дешевыми билетами, а также дополнительные данные и ссылка на такое же предложение авиабилетов. Кто-то из участников обсуждения связался через «ВКонтакте» с людьми, покупавшими такие билеты, получил и опубликовал их «показания» — куда летали, почем, не было ли в пути проблем. Нашелся на форуме доброволец, который связался с продавцом и забронировал себе билет. Оказалось, что один из участников дискуссии имеет доступ в систему бронирования авиабилетов. По номеру брони он моментально установил, кто, когда и каким способом этот билет оплатил. Метод получения «левых» билетов стал предельно ясен. Заодно общественность проверила и инициатора обсуждения — не подставной ли, с какого IP-адреса пишет, в каких еще форумах выступал; нашлась и его анкета «ВКонтакте», и фотографии в публичном фотоальбоме и прочее. В итоге недолгого обмена данными самостоятельные путешественники содрали покров тайны, обнажив все — личность продавца, его место жительства и работы, метод мошенничества, список клиентов, историю заказов. Фактически было проведено расследование, за которое не стыдно было бы службе безопасности крупной фирмы, не говоря уже о наших правоохранительных органах. |
Кража личности Кража личности — так обозначают мошенничество, когда злоумышленник совершает сделки от имени жертвы. Хотя подобные преступления совершаются не одну тысячу лет, термин возник совсем недавно. Почему? Потому что раньше это была штучная работа. А сейчас — конвейер. Благодаря массовой компьютерной обработке персональных данных, эти данные крадутся в промышленных масштабах, продаются тысячными лотами на черном рынке. Мошенники их покупают и обращают в деньги по отработанным схемам. Это уже стало массовым явлением. Приобретение товаров и услуг от имени «украденной личности», получение кредита, незаконная иммиграция, использование чужого имени для сокрытия следов при совершении иных преступлений — наиболее частые применения похищенных сведений. В некоторых странах (к примеру, в Австралии, Канаде, США, Франции) кража персональных данных, или когда выдают себя за другого человека, является уголовным преступлением сама по себе, независимо от цели. Совокупный ущерб от краж личности в США в 2006 году оценивается в $56,6 млрд, в Великобритании — в ?1,7 млрд. В России ущерб от краж личности не оценивался. Персональные данные российских граждан (кроме данных банковских карт) на черном рынке не продаются. Данные российских банковских карт котируются на порядок дешевле европейских или североамериканских. |
Автор: Дмитрий Харченко
Источник: Журнал «Деньги», № 5 (660), 11.02.2008