Access web Add modules industryArtboard 58 Analyse App control Created with Sketch. Adv_Artboard 21 industryArtboard 61 Oficer Adv_Artboard 22 Ресурс 31 Business process icon Created with Sketch. Business Shape Created with Sketch. Artboard 13 Central policy Certificate Chain Adv_Artboard 27 Combined Shape Copy 3 Created with Sketch. Artboard 50 Artboard 48 Artboard 51 Artboard 47 Artboard 46 Artboard 49 Shape Created with Sketch. Cloud B7B55A6B-30C0-4E73-9637-1794E793654E Created with sketchtool. B3F1D6A1-80F6-48B0-9EBD-786404E82049 Created with sketchtool. Shape Created with Sketch. Соц.Ответств._Artboard 29 Cup Artboard 12 Delete Develop Mobile control Detect data Corporate devices icon Created with Sketch. Use Development Монтажная область 52 Effective Ресурс 29 icon Created with Sketch. Created with Sketch. industryArtboard 56 Соц.Ответств._Artboard 28 785FDCCF-4DD0-4D89-92DF-A0C4AC73109E Created with sketchtool. 5F4F180E-E1AA-4429-9F5C-BB866CAD85FA Created with sketchtool. Ресурс 26 Fill 1 Created with Sketch. Flash Adv_Artboard 23 Ресурс 28 industryArtboard 54 Ресурс 35 Adv_Artboard 19 Hidden app Adv_Artboard 24 Page 1 Created with Sketch. CityArtboard 17 1451A714-6689-46A8-8D48-D7A246F52BE2 Created with sketchtool. industryArtboard 59 Like Group 9 Created with Sketch. Locking Mail Main modules Adv_Artboard 20 Created with Sketch. Messenger Microscope CityArtboard 18 industryArtboard 55 Effective PC Ресурс 30 Report PC IT Ресурс 34 industryArtboard 60 Shape Created with Sketch. 4658DE58-0BFB-4713-AC6C-19C0753FDB86 Created with sketchtool. Photocamera Printer automatic scan icon Created with Sketch. Report icon Created with Sketch. Safe web_1 Safe Safety CityArtboard 14 industryArtboard 57 Scale Соц.Ответств._Artboard 30 Lingvo search Technology search Shape Created with Sketch. Secure Computer Flash Messenger Notebook Printer Smartphone Web Server 56B89AD1-943C-4CF7-8FC3-C3DD35C6EE7C Created with sketchtool. Skills industryArtboard 53 Smartphone Facebook Copy_White Created with Sketch. LinkedIN Copy_White Created with Sketch. Telegram_White Created with Sketch. Twitter_White Created with Sketch. VK_White Created with Sketch. Socials icon Created with Sketch. Structure web Created with Sketch. Created with Sketch. Fill 1 Created with Sketch. Adv_Artboard 25 Update_1 Created with Sketch. Created with Sketch. Artboard 11 Fill 1 Created with Sketch. Web 1 2_1 3 4 Created with Sketch. Safe
22 марта 2017

Справка Аналитического центра ГК InfoWatch о «краже личности»

Цифровая трансформация государства, бизнеса и общества несет новые риски и угрозы информационной безопасности. Корпоративные базы данных, содержащие имена, даты рождения, номера удостоверений личности и другую чувствительную информацию о сотрудниках или клиентах, все чаще становятся мишенью киберпреступников. Обычным делом становится так называемая «кража личности». На безопасность персональных данных граждан не влияет ни политический режим в стране, ни уровень ее экономического развития.

Кража личности (англ. Identity theft — термин впервые появился в 1964 году) — преступление, при котором незаконно используются персональные данные человека для получения материальной выгоды.

Согласно опросам, кража личности является одним из основных опасений граждан США. В Соединенных Штатах в качестве удостоверения личности используют SSN (Social Security Number). Его номер запрашивают большое количество организаций для подтверждения личности граждан. Похитив номер SNN, злоумышленники способны, например, испортить кредитную историю своей жертвы. В Великобритании для осуществления «кражи личности» используются страховые идентификаторы NINO (National Insurance number) и NHS (National Health Service Number).

В России нет статистики, какие из электронных идентификаторов подвержены наибольшему риску компрометации, однако стремительно растет сама вовлеченность граждан в процессы электронного взаимодействия, в том числе и на корпоративном и государственном уровне.

Так, по данным Минкомсвязи России, уже более 50% граждан используют государственные услуги в электронном виде, а число пользователей Единого портала госуслуг достигло 40 млн человек, более 18 млн из которых зарегистрировались на портале в 2016 году.

Утечки

В конце февраля 2017 года правоохранительным органам КНР удалось предотвратить шесть крупномасштабных операций по краже персональных данных, полиция арестовала 138 подозреваемых в 14 точках города Гуанчжоу. По данным следствия, было украдено более ста миллионов единиц личных данных: от почтовых адресов до истории телефонных звонков. Преступники приобретали данные потерпевших у сотрудников банков, крупнейших телекоммуникационных и логистических компаний. Полученную информацию они перепродавали.

В феврале 2017 года восемь человек в штате Юта, США были приговорены к тюремному заключению за мошенничество с персональными данными. Имея в распоряжении ПДн и банковскую информацию 143 тыс. американцев, злоумышленники, по версии обвинения, создавали фальшивые документы, удостоверяющие личность. Подделки использовались для открытия кредитных счетов в магазинах и совершения покупок.

В Индии под угрозой оказались биометрические данные 1 млрд человек: анкетные данные, отпечатки пальцев и фотографий радужной оболочки глаза. В системе идентификации граждан и резидентов Индии UIDAI обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев. По мнению местного чиновника, это не было бы возможным без незаконного использования и хранения биометрических данных из системы UIDAI. Происшествие породило опасения за сохранение конфиденциальности личной информации граждан Индии.

В декабре 2016 года стало известно о краже базы данных, содержащих имена, даты рождения, адреса, телефонные номера, сведения о семейном положении, финансовую информацию и прочие данные 203 млн клиентов компании Experian. Хакеры намеревались продать украденную информацию за 600 долларов США.

В организации еще одной «мега-утечки», целью которой были сбор и продажа персональных данных 24 млн клиентов компании, обвиняются руководитель и несколько высокопоставленных сотрудников корейской фирмы Homeplus (подразделение британской Tesco PLC). Фигурантам дела удалось продать собранную информацию страховым компаниям. Объем выручки от незаконной сделки составил 21,14 млн долларов США.

В марте 2017 года в распоряжении специалиста по безопасности из США оказались данные 33,6 млн американских пользователей, в том числе военнослужащих. База содержит адреса и телефоны, места работы и должности, а также данные об уровне доходов граждан США. Среди мест работы — AT&T и WalMart, банки Citigroup и Wells Fargo, почта США и Университет штата Огайо. Владельцем базы оказалась организация, которая собирает и продает различные корпоративные данные для проведения «маркетинговых кампаний».

Пояснения Аналитического центра ГК InfoWatch

На примере стран с более развитым цифровым обществом хорошо видно, что по мере цифровизации происходит и значительно больше утечек ПДн, масштаб которых ограничен разве что размером базы данных компании или организации. Основную угрозу несут атаки на крупные сервисы, которые хранят огромные массивы информации.

В 2016 году в мире было зафиксировано 44 «мега-утечки» (против 21 в 2015 году), в результате каждой из которых «утекло» не менее 10 млн персональных данных, совокупно на «мега-утечки» пришлось 94,6% всех скомпрометированных записей.

Долгое время в России не утихают дискуссии о возможности введения единого идентификационного документа, приравненного к паспорту гражданина страны. Напомним, что концепция единого универсального электронного документа гражданина уже была опробована в рамках проекта «Универсальная электронная карта» (УЭК). Кроме того, во время проведения Кубка конфедераций FIFA 2017 и Чемпионата мира FIFA 2018 по футболу в России будут использоваться электронные паспорта болельщиков, которые позволят гостям турниров не только получить доступ к спортивным объектам, но и осуществить безвизовый въезд на территорию Российской Федерации.

Так или иначе, с большой долей вероятности можно утверждать, что введение электронных паспортов, удостоверяющих личность граждан, является лишь делом времени. А это означает, что Россия встанет в один ряд с теми прогрессивными странами, где такие системы уже действуют, и где мы видим значительный отрыв по количеству совершаемых «краж личности», а также по масштабам компрометируемых данных граждан.

Если до сих пор российским разработчикам удается своевременно адаптировать свои ИТ-решения для защиты данных даже по наиболее уязвимым каналам передачи информации, то по мере роста вовлеченности персональных данных граждан в работу корпоративных и государственных электронных систем, для обеспечения их безопасности потребуется координированная работа государства и бизнес-сообщества.

При этом проблема безопасности персональных данных не сводится только к одной их защите, а существует как минимум еще один аспект, на который следует обратить особое внимание — это возможность извлечения информации из сверхбольших объемов данных.

Представим, что у вас есть 3 млрд записей с персональными данными, в том числе реквизиты банковских карт, адреса электронной почты, номера телефонов, сведения о финансовых транзакциях и другой критичной информацией. Также представим, что у вас получилось нормализовать этот объем данных и составить алгоритм анализа, благодаря которому вы научились видеть неявные связи между пользователями и находить ответы даже на вопросы, которые прямо не задавали.

Допустим, вы точно узнали, что без всякой кооперации жители конкретной страны забрали из ее банков часть своих сбережений и этого оттока недостаточно, чтоб вызвать массовую панику, но тенденция уже видна.

Конкретное развитие ситуации после этого может быть любым, причем в той или иной степени управляемым. Важно, что подобный прогноз на основе анализа на первый взгляд никак не связанных данных возможен в принципе. Причем в ближайшем будущем.

Те способы применения украденных персональных данных, о которых принято говорить сегодня, не идут ни в какое сравнение с теми возможностями, которые открывают технологии машинного обучения, выявления неявных связей. Кто сказал, что эти технологии завтра не станут так же доступны злоумышленникам, как сами персональные компьютеры?

Политика в области защиты персональных данных должна строиться с учетом этой перспективы, начиная с определения субъектов права использования персональных данных, выработки определения больших пользовательских данных и заканчивая правилами их оборота и надзора.

Проблема «кражи личности», точнее, огромных объемов персональных данных имеет еще несколько важных аспектов. Сухая статистика говорит о том, что в 2016 году скомпрометировано более 3 млрд персональных данных. Однако к этому факту следует относиться с осторожностью. Даже если предположить, что данные почти половины жителей планеты украдены, всё равно остается ряд неочевидных на первый взгляд моментов.

К счастью, в руках злоумышленников пока нет инструмента для извлечения из этого объема данных действительно ценной информации. Действия людей, стоящих за «кражей личности», в большинстве случаев примитивны. Число сценариев использования персональных данных ограничено — получить налоговый вычет, оформить покупку в интернете на чужие платежные данные и так далее. Поэтому компрометация 3 млрд записей персональных данных — проблема серьезная, но, скажем так, решаемая.

Интереснее другое — «кража личности», как мы уже сказали, преступление довольно примитивное. В последнее время четко прослеживается тенденция, когда «кража личности» становится основным источником дохода для бедных общин США — например, выходцев из Латинской Америки. Кто-то из членов семьи устраивается на легальную работу — в госпиталь, ресторан, гостиницу, на государственную или муниципальную службу — копирует все персональные данные, к которым имеет доступ, после чего остальные члены семьи занимаются «обналичиванием» этих данных, используя способы, о которых мы говорили ранее — налоговые вычеты и другие.

В этой массовости, а также в низком «барьере входа» и состоит главная опасность. На это мы призываем обратить внимание в первую очередь. Поскольку довольно легко представить аналогичную ситуацию и в нашей стране. С распространением сервисов, завязанных на значимые персональные данные, нас с неизбежностью ожидает волна мошеннических преступлений, связанных с украденными персональными данными. И к этому нужно быть готовыми.

Вебинар «Был случай»

Смотрите вебинар о самых необычных случаях выявления злоумышленников из нашей практики

В записи

Подпишитесь на рассылку INFOWATCH