Эволюция червя: Украденные данные о 60 млн кредиток из Сбера – только начало

В ноябре 1988 года произошла первая компьютерная эпидемия, заставившая специалистов задуматься, насколько необходим комплексный подход к обеспечению информационной безопасности. С тех пор 30 ноября отмечается День компьютерной безопасности.

А началось всё с того, что американский учёный-компьютерщик Роберт Моррис, будучи ещё аспирантом Корнельского университета, разработал червя, которого выпустил в ARPANET (предок современного интернета) из Массачусетского технологического института. Считается, что произошло это не намеренно, а по ошибке, однако сам Моррис заявил позднее, что сделал это для того, чтобы продемонстрировать неадекватность текущих мер безопасности в компьютерных сетях, используя обнаруженные им дефекты безопасности. В результате червь, используя ряд уязвимостей, смог проникнуть в целевые системы 6000 интернет-узлов США, парализовав их работу.

Loading...

Урон, который нанёс червь, достиг 53 тысяч долларов. Таким образом Моррис оказался первым человеком, которому было предъявлено обвинение по Закону о компьютерном мошенничестве и злоупотреблениях (CFAA).

Американская Ассоциация компьютерного оборудования, провозглашая День защиты информации, заявила, что таким образом хочет напомнить и пользователям, и производителям оборудования и ПО, насколько важна защита компьютерной информации. С тех пор 30 ноября проводятся различные международные конференции, в ходе которых рассказывается и о новых атаках на незащищённое оборудование, и о разработанных способах борьбы с хакерами, и о многом другом.

«Взлоумышленники» за работой
Однако нельзя сказать, что интернет стал с тех пор безопасным, а защита – непробиваемой. «Взлоумышленники» совершенствуют методы проникновения, ни на шаг не отставая от разработчиков систем безопасности. Они и базы данных взламывают, получая доступ к самым секретным сведениям, и крадут деньги со счетов банков, как это сделал в 1994 году российский хакер Владимир Левин, который вытащил из системы Citуbank 12 миллионов долларов.

Жертвой хакеров пал, к примеру, крупнейший в мире сервис по обмену биткойнов Mt.Gox, пользователи которого потеряли в общей сложности полмиллиарда долларов.

DDOS-атака, которую устроил «принц Кибербункера» – владелец провайдера CyberBunker Свен Олаф Камфиус с единомышленниками в 2013 году, могла и вовсе «сломать интернет». По оценкам специалистов, это была самая мощная атака, известная на тот момент.

Самый серьёзный интерес у хакеров вызывают компьютеры Пентагона. Число вполне успешных атак на системы Минобороны США точно не известно. Однако взломать серверы американских военных и даже NASA удавалось и совсем юным хакерам. К примеру, Джонатану Джеймсу, который проник на сервер Министерства обороны США в 1999 году, было всего 15 лет.

Зафиксированы атаки и на крупнейшие IT-гиганты. Их целью, конечно, были данные пользователей. К примеру, в 2014 году с серверов Yahoo утекло около миллиарда данных об аккаунтах с сервисов компании. Конечно, представители компании утверждали, что до номеров кредиток злоумышленники добраться не смогли, в их руки попали только имена, телефоны и даты рождения пользователей, но кто точно может это знать?

В 2013-2014 годах хакеры похитили персональные данные, в том числе и PIN-коды кредитных и дебетовых карт, более 100 миллионов клиентов компании Target, которой принадлежит третья по величине торговая сеть США. Сделал это выходец из Китая Го Синчэнь, использовавший вредоносную программу «Картоха».

Реестров много – публичных и закрытых
Перечислять атаки можно очень долго, они продолжаются и в настоящее время, так что о полной безопасности в интернете говорить невозможно, а риск утечки персональных данных есть всегда. Конечно, их можно и избежать, если вовремя анализировать возможные угрозы и правильно составлять реестры данных. Но полной гарантии безопасности, скорее всего, нет.

В России существует на текущий момент ряд публичных, то есть открытых, данных реестров государственных органов. Считается, что наша страна с точки зрения доступа к информации – наиболее прозрачная. А после того, как в 2011-2012 годах стала реализовываться идея «Открытого правительства», граждане получили доступ к различным документам органов и ведомств, что позволяет обществу контролировать их работу. Однако, помимо публичных реестров, существуют и закрытые, доступ к которым ограничен.

Данные граждан России хранятся в самых разных реестрах, и уж больно часто их сливают в открытый доступ. Сколько таких «сливов» становились известны только за последнее время, напоминать, наверно, не надо. Причём «лидером» в этом нередко оказывался Сбер, который любит похвастаться своей «совершенной системой безопасности», притом что именно оттуда уплыли данные о 60 миллионах кредиток.

Безопасность наших данных – под большим вопросом
И на фоне всех этих уязвимостей, хакерских атак и просто сливов возникают серьёзные опасения сохранности данных, которые власти планируют собрать в Единый федеральный информационный регистр, в котором должна будет храниться вся информация о гражданах России от рождения до самой смерти.

Как мы помним, законопроект о цифровизации населения страны Госдума приняла весной текущего года, в самый разгар пандемии. Авторы документа, представленного в российский парламент, указывают, что в идеальном цифровом профиле гражданина будет содержаться около 30 видов сведений о нём.

В их число входят ФИО, дата и место рождения и смерти, пол, СНИЛС, ИНН, семейное положение и прочее. Закон должен вступить в силу уже с 1 января 2022 года. При этом до 31 декабря 2025 года установлен переходный период, в течение которого будут отрабатываться особенности создания и ведения регистра о населении.

Согласно этому закону, Федеральная налоговая служба РФ, собрав воедино данные 12 ведомств, среди которых МВД, Минобороны, Минобрнауки, ФНС, Росморречфлот, ФОМС, ФСС и другие, создаст небывалую по объёму информации федеральную базу. Причём обещаний, что сбор сведений ограничится этими «30 параметрами», никто не давал – возможно, завтра сведения о нас станут собирать по 130 позициям.

Многие специалисты в области «цифры» обеспокоены безопасностью этого единого информационного пространства. По их мнению, получение доступа к информации может стать «уязвимой точкой». Чем больше людей будут иметь возможность получить всю информацию целиком, тем шире возможности для злоумышленников.

А последствия раскрытия информации, которая будет собрана в ЕФИР, могут быть самыми серьёзными. К примеру, продажа баз данных на чёрном рынке, что спровоцирует увеличение случаев мошенничества с использованием чужих данных. Причём слишком велик риск, что если уж «утечёт», то может «утечь» всё и сразу. А уж спрос на содержимое подобного глобального реестра, где содержатся не только личные данные, но и сведения о родственных связях, может быть просто огромный.

Единую базу данных удобно взламывать: один раз потрудишься – и вся информация уже в кармане, считает эксперт в области безопасности Игорь Ашманов. Конечно, есть надежда, что центральная база будет защищаться лучше, чем региональные, но гарантий никаких нет.

Лакомый кусок для западных спецслужб
Есть и другие претензии к этой глобальной базе данных. Прежде всего, считают юристы, принудительны сбор и обработка персональных данных граждан будет проводиться без получения их согласия, а уже это нарушает статью 24 Конституции России, согласно которой «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».

Мало того, что при этом нарушается ФЗ РФ «О персональных данных» – статья 5, гласящая:

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

И это ещё не всё! ЕФИР может создать колоссальную угрозу не только гражданам, но и государственной безопасности, раз уж речь идёт о сохранности собранных данных, а ведь доступ к ним будут иметь все органы власти, как федеральные, так и региональные, независимо от их сферы деятельности, а также органы управления внебюджетными фондами, нотариусы, избиркомы и многофункциональные центры. То есть ни о какой секретности собранных сведений речь в принципе не идёт!

Ведь не просто так даже в ФСБ были шокированы идеей создания подобной глобальной базы данных, также увидев в этом угрозу утечки данных о следователях, судьях, сотрудниках спецслужб, подопечных «службы защиты свидетелей» и других лицах, пользующихся государственной защитой.

То есть велика опасность, что наши персональные данные могут стать добычей не только мошенников, но и западных спецслужб. А учитывая способности хакеров, нельзя исключать, что вся система в какой-то момент может быть взломана. А если вспомнить всё, что мы рассказали в самом начале, подобный риск исключать совершенно нельзя.

(Visited 65 times, 1 visits today)
Loading...