|
Расколотая база |
 |
Журналисты против лоточников
 |
 |
В общем, принятые меры по предотвращению продаж конфиденциальных БД оказались неэффективными. Причин тому две. Во-первых, сейчас даже попавшийся с поличным продавец практически ничем не рискует. Во-вторых, гонения на лоточников (сначала со стороны СМИ, а потом — и органов правопорядка) на самом деле лишь борьба с вершками, а при наличии мощной и упитанной корневой системы она всегда обречена на провал.
Хакеры против силовиков
 |
| Олег Яшин, ответственный секретарь комиссии по безопасности информационного рынка Совета предпринимателей правительства Москвы: "Сейчас между старожилами этого рынка и новыми (хакерами) идет настоящая война" |
Ирина Андреева, генеральный директор информационной компании МБИТ: Чиновники и специалисты, имевшие доступ к базам данным в госструктурах, продавали или передавали на условиях обмена информацией детективным и охранным агентствам конфиденциальные сведения. Система была многоуровневой. Компаний, имевших доступ к источникам утечки, было немного. Они продавали данные другим структурам, которые использовали информацию, обслуживая своих клиентов. Рентабельность таких операций составляла даже не сотни, а тысячи процентов.
 |
| Сергей Минаев, генеральный директор Специальной информационной службы: "Оборот рынка специальных информационных услуг превышает $100 млн" |
Нелегальный рынок БД был впервые дестабилизирован в начале 1999 года. Ирина Андреева: На волне сокращений, которая коснулась как госучреждений, так и фирм, специализирующихся на безопасности, уволенные работники пустили информацию, к которой имели доступ, на открытый рынок, причем продавали ее по демпинговым ценам.
Но эти утечки были разовыми и особого влияния на рынок не оказали. Настоящий подрыв рынка конфиденциальных БД случился в конце 1999-го — начале 2000 года, когда торговцы первого уровня (те, кто покупал базы в госорганах с целью дальнейшей перепродажи), озабоченные утечками, начали ставить на свои базы программно-аппаратную защиту против взлома, а также исключающую возможность их установки на несколько компьютеров. Тогда пользователи этих баз, желавшие подзаработать на их перепродаже (торговцы второго уровня), стали привлекать к взлому защищенных БД хакеров и создали себе мощных конкурентов. Олег Яшин: Хакеры, взламывая системы, копировали нужные данные, а потом организовывали в Интернете сайты по продаже информации, фактически украденной у тех, кто сам ею пользовался нелегально. Операторы-старожилы даже не ожидали, что обуздать этих конкурентов будет так сложно. Коса нашла на камень. Сейчас, скажу прямо, между старожилами и хакерами идет настоящая война, причем с переменным успехом.
Последствия боевых действий видны невооруженным глазом. Ксенофонт Ипполитов: Обратите внимание, как быстро закрываются сайты, на которых продается конфиденциальная информация — даже те, которые физически размещены на зарубежных серверах. Зная возможности наших правоохранительных органов, я сомневаюсь, что они к этому причастны. Скорее уж тут приложили руку торговцы секретами старой формации — они необходимые ресурсы имеют.
Одной из самых известных фирм, которая прославилась продажами БД для "широких кругов", еще недавно считалась компания "Стик" (торговая марка MarmozSoft). 28 июня прошлого года в 9.15 заместитель генерального директора этой компании Олег Шведов (в прошлом возглавлявший аналитическое управление службы безопасности Мосбизнесбанка) упал под поезд на станции метро "Бабушкинская". Друзья погибшего утверждали, что никаких причин для самоубийства у Шведова не было, тем более что трагедия произошла накануне дня рождения его сына. Конечно, Шведов мог просто оступиться, но это как-то неубедительно — во всяком случае, многие сомневаются. Еще один странный момент: последние годы Шведов передвигался по Москве только на машине. Тем не менее факт его гибели сотрудники 7-го отдела УВД по охране метрополитена сразу же квалифицировали как несчастный случай. Комментарии, как говорится, излишни.
Из-за вмешательства компьютерных взломщиков рынок конфиденциальной информации утратил свою закрытость, стал доступным всем и каждому. Джин выпущен из бутылки, и загнать его обратно уже не получится.
Законспирированный оборот
 |
Рынок жестко законспирирован — во-многом по причине трений между старожилами и хакерами, поэтому реальное движение денег на этом рынке отследить непросто. Некоторые оценивают оборот рынка БД относительно оборота рынка контрафактных CD (ворованные программы, музыка, видео). Виталий Гапон, начальник управления экспертиз, контроля и общественных связей ГУП "Информзащита": По опыту наших совместных с правоохранительными органами рейдов на той же "Горбушке", на базы данных приходится примерно 2-3% всей продаваемой там контрафактной продукции. Оценка оборота контрафактной продукции — $2,5-3 млрд в год — не раз приводилась различными источниками. Таким образом, объем продаж продукции, содержащей служебную или закрытую информацию, можно оценить не менее, чем в $50 млн в год.
Олег Яшин: Цифра в $2,5-3 млрд в действительности какая-то виртуальная. Откуда она взялась, никто не знает, но всегда, когда оценивают масштабы пиратства в России, ее обязательно используют. Мне кажется, реальный оборот много меньше, наша максимальная оценка — $45 млн в год по всей контрафактной продукции на CD. Но соотносить объем рынка баз данных с этими $45 млн не следует, ведь большая часть информации продается не на лотках. Правильнее отталкиваться от покупателя.
 |
Прикинем теперь, во что обходится ежегодное пополнение БД. Служба безопасности "Моста", например, может тратить на обновление первичной информации десятки тысяч долларов год, в то же время относительно небольшая компания вполне уложится в $200. Как считает Юрий Левицкий, на покупку первичных баз данных среднестатистический потребитель тратит $1-1,5 тыс. ежегодно. Таким образом, только на структуры, связанные с безопасностью, приходится $12-18 млн в год. Поскольку иногда БД покупаются в складчину, будем исходить из минимума — $12 млн. Но это только 50-60% всех продаж, следовательно, можно предположить, что годовой оборот российского рынка конфиденциальной информации составляет $20-24 млн. Это базовый показатель — то, что можно, так сказать, пощупать. В приватных беседах эксперты, просившие на них не ссылаться, говорили о $40-50 млн. В принципе рынок информации настолько туманен, что и эти оценки имеют право на существование. Тем более что с учетом услуг, которые оказывают своим клиентам детективно-информационные компании, опираясь на эти первичные базы (их используют в аналитической работе, результаты которой потом продаются), обороты этого рынка превышают, как считает Сергей Минаев, $100 млн в год.
Миссия невыполнима
О том, как эффективно бороться с утечкой информации в госучреждениях, можно говорить бесконечно долго — и все без толку. Алчность способна творить чудеса, и если свои БД не способны защитить даже частные операторы мобильной связи, которые, в отличие от госучреждений, тратят на обеспечение собственной безопасности немалые деньги, то что уж тут говорить о каких-то БТИ. Бывший сотрудник одного из московских операторов мобильной связи: Служба безопасности работала жестко. Однако за деньги можно было сделать практически все. Детализация любого номера стоит $50-100 — этот вопрос можно решить с сотрудником отдела биллинга или менеджером абонентской службы. Прослушка стоит $150 в час, но заказ принимается как минимум на неделю. Телефонную базу данных — не ту, устаревшую, которую можно купить на рынке, а свежую, достоверную — я вам хоть завтра достану за $1,5 тыс. Естественно, сами операторы клянутся, что подобная утечка невозможна, однако достоверность информации, предоставленной моим источником, не вызывает сомнений.
 |
| Александр Антопольский, директор государственного научно-технического центра "Информрегистр": "Представьте себе сотни чиновников, которые могут бесплатно пользоваться информацией, которая стоит миллиарды долларов. И как они распорядятся этим богатством?" |
Проблема усугубляется тем, что, несмотря на существование закона "Об информации, информатизации и защите информации", а также закона "О государственной тайне", вопросы о том, какая же информация должна считаться открытой, а какая закрытой и какова ответственность за разглашение служебной или коммерческой информации, по-прежнему не решены — нет необходимой законодательной базы.
Простой пример. В Конституции гражданам гарантируется неприкосновенность частной жизни; в перечне сведений конфиденциального характера, утвержденном указом президента от 6 марта 1997 года, конфиденциальной названа информация персонального характера. Но где грань между частной и общественной жизнью, какая конкретно информация может считаться персональной? Законопроект "О персональной информации", равно как и "О коммерческой информации", находится в проработке уже более пяти лет, и конца ей не видно (читайте интервью с заместителем начальника управления информационной безопасности СБ РФ на стр. 21).
Другой пример. Сегодня в соответствии с действующими законами привлечь торговца базой данных ГИБДД к ответственности практически невозможно. Юридического собственника базы не существует, закона "О служебной тайне" также пока нет, ни коммерческой, ни государственной тайны эта база не содержит, доказать же прямой умысел торговца с тем, чтобы привлечь его к ответственности по статье 137 УК РФ "за нарушение неприкосновенности частной жизни", просто нереально.
Более того, о самой правомерности нынешней закрытости большей части БД с ограниченным доступом (например, таких, как телефонная база МГТС, полная база регистрационной палаты, базы данных ГИБДД, БТИ и пр.) идут нешуточные споры. Светлана Грушина, заместитель генерального директора СИнС: В развитых странах большая часть такого рода информации открыта либо для свободного, либо для платного доступа, причем плата взимается только за работу по поиску необходимых сведений. Вы знаете, что к privacy, частной жизни, например, в США, относятся серьезно, однако справочники с частными телефонами есть в любой телефонной будке; адрес проживания, а также информация, содержащаяся в карточке социального страхования, тоже доступна. И это правильно — любой гражданин имеет право знать, что из себя представляет другой гражданин, хотя бы в целях собственной безопасности. Или, например, база по автотранспортным средствам — она тоже полностью открыта. Дело в том, что автомобиль является средством повышенной опасности, а значит, каждый гражданин имеет право на получение информации о принадлежности того или иного автомобиля. Я понимаю, что в России ситуация специфическая, у нас, например, в отличие от тех же Соединенных Штатов, запрещен свободный оборот оружия, но повод для дискуссий имеется.
 |
Однако есть мнение, что и законодательное урегулирование в нынешних условиях не принесет желаемого эффекта. Ксенофонт Ипполитов: Большая часть информации — скажем, информация о предприятиях — является лишь производной от собственности, в которой находятся эти предприятия. Пока не будут окончательно решены проблемы с собственностью — а их очень много — урегулировать ситуацию на информационном рынке при всем желании всех заинтересованных структур не получится. Похоже, чиновники и дальше будут снабжать секретной информацией торговцев, те, как и сейчас, будут зарабатывать на этом миллионы долларов, а проблемы собственной безопасности гражданам России придется решать самостоятельно.
Честный шелкоторговец Льюис Тэппен, живи он в России сегодня, наверняка разорился бы.
АЛЕКСЕЙ ХОДОРЫЧ
|
АДРЕСНАЯ ОХОТА
Покупатель на продажу
Информация о клиентах — чуть ли не главное достояние коммерческих фирм и почти единственное для компаний "новой экономики", реальные активы которых — "два стола да три компьютера". Поэтому за клиентскими базами данных развернулась настоящая охота.
"Экономика знаний" имеет оборотную сторону. Чтобы максимально персонализировать товар — под конкретного покупателя,— виртуальный продавец вынужден собирать максимальное количество данных о нем. Большей их частью (например, адресами e-mail и доставки, номером кредитной карты) покупатель делится с продавцом по собственной воле. Другая информация (включая маршрут движения электронного покупателя по закоулкам интернет-сайта, время, проведенное у той или иной электронной витрины) попадает в руки продавца без ведома клиента. Пользуясь дополнительными данными, робот-продавец может предложить покупателю товар в нагрузку и даже установить разную цену для разных людей. Один из создателей подобной "системы слежки" SpyLOG, действующей в Рунете, как-то сказал мне, что при помощи его программы можно найти покупателя даже на подводную лодку. Тем не менее в какой-то момент владельцы SpyLOG продали баннерную сеть и сосредоточились на сборе статистических данных. В совокупности — как статистика — персональные данные бесполезны. Однако информация о предпочтениях конкретного человека (или группы посетителей сайта) — самый ценный коммерческий товар.
Пионером торговли собственными клиентами называют крупнейший он-лайновый магазин Amazon.com. Прошлой осенью колебания курса акций Amazon.com Inc. на фондовой бирже NASDAQ вынудили компанию объявить, что персональные данные ее клиентов являются активом, пригодным в случае чего для продажи. По мнению представителей Amazon.com Inc., особым спросом будут пользоваться имена покупателей, адреса доставки товара, номера кредитных карт, адреса электронной почты, номера социального страхования, фотографии пользователей, а также списки подарков, которые они хотят получить. Заявление электронного торговца вызвало бурю возмущения в обществе, но на ситуацию с торговлей персональными данными это не повлияло.
Исследователи электронной торговли в один голос говорят, что в ближайшие год-два большую часть электронных бизнесменов, жестко конкурирующих между собой, ждет разорение. С юридической точки зрения смена владельца электронного магазина означает передачу новому собственнику всех активов, в том числе баз персональных данных, и это абсолютно правомерно. Гораздо сомнительнее выглядят разнообразные партнерские программы электронных торговцев, в рамках которых происходит обмен персональными данными. Дело в том, что регистрация в большинстве баз данных не предусматривает возможности выбора — у человека не спрашивают, желает ли он получать предложения от новоявленных партнеров.
Впрочем, от утечки персональных данных часто страдают не только покупатели, но и сами бизнесмены. Такие инциденты нечасто, но становятся достоянием общественности. Так, известно, что сетевой деятель Мария Грачева, рассорившись с прежним работодателем — агентством интернет-рекламы System.ru, унесла во вновь созданное агентство "Прорыв" диск с историей клиентских взаимоотношений.
Законодательно регулировать манипуляции персональными данными в интернет-среде государство пока не способно. Даже в наиболее "продвинутой" по этой части стране, США, законодатели озаботились защитой прав граждан от несанкционированного вторжения в личную жизнь всего один раз — приняв в 2000 году Privacy Comission Act. В России, где стремление поделиться персональной информацией, похоже, зашифровано в геноме, проблемой утечек персональных данных на государственном уровне заниматься не принято.
СЕРГЕЙ КОЛЯДА
| Базы данных, которые продаются через Интерне | |
|---|---|
| БД "Таможня". Все экспортно-импортные операции с | $250 |
| 1998-го по декабрь 2000 года включительно | |
| БД "ГИБДД-2000". Сентябрь 2000 года | $200 |
| БД "Частная собственность Москвы-2000". Данные по | $200 |
| 3 635 000 квартир и жилых домов, возможность | |
| поиска предыдущих владельцев квартиры | |
| БД "Физические лица Москвы". Информация о | $200 |
| прописке 11 753 370 жителей, декабрь 2000 года | |
| Телефонный справочник Москвы, | $150 |
| МГТС-2000 + "Би Лайн"-1999 | |
| "Московская областная регистрационная палата". | $150 |
| Учредители, юридические и физические лица с | |
| паспортными данными, дочерние и вышестоящие | |
| организации, июль 2000 года | |
| БД "Водительские удостоверения". Информация по | $150 |
| 1 699 815 водительским удостоверениям, июль | |
| 2000 года | |
| Пакет программ "Антикриминал". Проверка частных и | $230 |
| юридических лиц по различным учетам (поиск | |
| по ФИО, паспортным данным и т. д.) | |
| "Московская регистрационная палата". Информация | $130 |
| по 892 762 фирмам, паспортные данные по | |
| 1 455 399 учредителям (полная версия), октябрь | |
| 2000 года | |
| ИПС "Статистическая отчетность крупнейших | $120 |
| российских предприятий". Информация по | |
| 50 000 крупнейших российских предприятий | |
| ИПС ОВИРа. Сведения по заграничным паспортам | $100 |
| более 2 500 000 частных лиц, январь 2000 года | |
| БД "Физические лица Московской области". | $100 |
| Информация о более 5 000 000 жителей, август | |
| 1999 года | |
| "Экономические преступления. Версия 3.0". | $100 |
| Возможность проверки любого юридического и | |
| физического лица, полная и подробная информация | |
| по совершенным налоговым преступлениям, июль | |
| 2000 года | |
| Телефонный справочник ведомств и крупнейших | $100 |
| предприятий РФ-2000 | |
| БД "Похищенные паспорта". Данные по | $100 |
| 122 554 документам, апрель 2000 года | |
| БД "Лабиринт-2000". Досье на политиков, | $60 |
| предпринимателей, государственные органы, | |
| коммерческие структуры, октябрь 2000 года | |
| ИПС "Московская недвижимость" | $50 |
| (БД Москомимущества). Арендаторы и собственники | |
| нежилых помещений | |
| ИПС "Госкомстат: Москва и Московская область". | $75 |
| Сведения о 1 868 654 юридических лицах Москвы и | |
| Московской области, апрель 2000 года | |
| "Должники ГНИ г. Москвы. Итоги III квартала | $60 |
| 2000 года" | |
| "Производители товаров и услуг России и | $50 |
| СНГ-2000". Маркетинговая база данных, содержащая | |
| подробную информацию по более 180 000 предприятий | |
| и организаций России и СНГ с полным перечнем | |
| предлагаемых товаров и услуг |