Нарушение правил использования персональных данных для Украины — обычное дело. Государство не спешит защищать приватность своих граждан.
В самый неподходящий момент из телефона раздаётся писк — пришла СМС с предложением воспользоваться услугами очередной службы такси. Через час всё повторяется, но теперь предлагают купить шубу на распродаже в непонятном магазине. Не успели вы успокоиться, как вайбер оповещает о месте, в котором можно недорого приобрести натяжные потолки.
У большинства украинцев получение нежелательных сообщений с рекламой вызывает негодование. Однако юристы говорят, что в этом случае человек может пенять только на себя. ‘Для успешной защиты своих персональных данных их надо самому надёжно хранить — только тогда в случае их разглашения и/или несанкционированного использования третьими лицами у вас будет возможность не только наказать нарушителя, но и получить компенсацию за ‘неудобство’, — говорит юрист компании ‘Ильяшев и Партнёры’ Ирина Кириченко.
На острие ножа
Сегодня трудно представить человека, который бы не пользовался социальными сетями. Однако зачастую открытого профиля достаточно, чтобы стать добычей ловцов данных и жертвой навязчивого внимания такси.
Специалисты по массовым рассылкам используют специальные сканирующие программы — парсеры, которые шерстят социальные сети на предмет наличия подходящей целевой аудитории. ‘С помощью такой программы можно прицельно собирать информацию. К примеру, меня интересуют люди 1990–1995 годов рождения, проживающие в Киеве и имеющие доступный номер телефона. Информация автоматически собирается, и формируется база данных’, — говорит SMM-эксперт Роман Русанов.
Но такие базы ‘открытых’ данных далеко не всегда используются для вполне безобидных рекламных рассылок. В Нацполиции говорят, что хоть и реже, чем в 2013–2015 годах, но и сегодня бывают случаи, когда звонят людям и говорят, что, к примеру, их ребёнок напал на полицейского и тот находится в реанимации, поэтому срочно нужны деньги на лечение. Иначе, мол, сына посадят за убийство. ‘Такие данные в большинстве случаев собираются мошенниками по пересечениям слитых баз данных социальных сетей (например, ‘ВК’ за 2014 год) и самих страничек социальных сетей с данными родственников, которые очень распространены в даркнете’, — рассказывает руководитель киберполиции Сергей Демедюк.
Часто промышляют таким ‘хулиганством’, по словам Демедюка, заключённые или же недавно освободившиеся. Нередко подобные звонки поступают с территории ОРДЛО.
Помимо этого, сбором и последующей продажей баз данных зачастую подрабатывают вполне пристойные ресурсы, например, поисковики дешёвых билетов. ‘Вы оставляете минимальные данные о себе, к примеру, e-mail, телефон, делаете какие-то действия внутри сайта. Система запоминает, чем вы интересуетесь’, — поясняет, как это работает, Роман Русанов и добавляет, что таким образом к данным, оставленным клиентом, прибавляется описание его профиля.
Такие базы данных интересны в первую очередь для рекламных целей, в частности для точечной таргетированной рекламы. Спрос на услуги специалистов, которые занимаются обработкой больших массивов данных, достаточно большой. Одна из самых востребованных и хорошо оплачиваемых профессий — аналитик bigdata, зарплата таких специалистов на украинском рынке начинается от $1 тыс.
Для компаний же, ориентированных на массовые рассылки, есть вполне легальные сервисы от мобильных операторов. Стоимость одного СМС-сообщения в таких программах около 20 копеек. Как неоднократно поясняли мобильные операторы, если клиент им напрямую не запретил присылать рекламные СМС, у них нет оснований прекращать рассылку. Впрочем, как показывает практика, даже в случае обращения клиента операторы закрывают рассылки крайне неохотно.
Нелегальные добытчики
Впрочем, можно найти и немало примеров откровенно незаконного использования персонализированной информации. Наиболее часто ‘сливают’ информацию о клиентах медики. ‘К врачам скорой помощи регулярно подходят сотрудники похоронных бюро, оставляют визитки и просят сообщать им телефоны и имена родственников умерших на вызове пациентов’, — на условиях анонимности рассказывает один из врачей столичной скорой. Как поясняет наш собеседник, в случае смерти близкого родственники дезориентированы. Поэтому обычно соглашаются на услуги первого же позвонившего им агента. Именно врачи скорой и патологоанатомы в моргах сообщают о большей части клиентов в похоронные бюро. Среди ритуальных агентств конкуренция за лояльность медиков достаточно высока.
Врачу за помощь в поиске клиентов дают около 200 грн. Немного, но при нищенских зарплатах украинских врачей неплохое подспорье к жалованью. По словам нашего собеседника, точно такая же ситуация и в моргах. Только ‘ставки’ у патологоанатомов выше. Естественно, официально передача телефонов третьим лицам запрещена, но наш визави не помнит случаев, чтобы из-за этого у него или его коллег возникали проблемы.
Кроме того, как поясняет врач одной из киевских больниц, в некоторых случаях персонал передаёт посредникам контакты пациентов, нуждающихся в незарегистрированных в стране лекарствах, которые можно купить только на чёрном рынке.
По частоте злоупотреблений использования персональных данных за пальму первенства с медиками борются таксисты. ‘На рынке еженедельно открываются и умирают десятки таксопарков, они могут продавать оборудование вместе с какой-то базой’, — говорит директор по маркетингу сервиса Uklon Даниил Ваховский.
‘На жаргоне таксистов, диспетчерские службы, которые вам шлют спам, называются ‘жлоб-такси’, — рассказывает столичный извозчик Василий, получающий заказы через Uber. Как утверждает таксист, среди его коллег всегда есть люди, недовольные высокими комиссиями, которые взимают с таксистов крупные сервисы вызова такси. ‘Вот он ездит и думает: ‘И зачем мне Uber или ‘Яндекс.Такси’, четвёртую часть заработка отдавать? Жена всё равно ничего не делает, скинусь с друзьями на мини-АТС и базу данных, пусть заказы принимает’, — поясняет наш собеседник логику спамеров. В итоге такой человек покупает за 3–5 тыс. грн на чёрном рынке базу номеров клиентов других служб такси и рассылает спам. Однако уже спустя пару дней выясняется, что такой метод ‘маркетинга’ не работает, и незадачливый предприниматель ищет, кому бы дальше перепродать мини-АТС и базу данных. ‘В своё время у меня была точка с инструментами на рынке ‘Юность’, и я был обеспеченным человеком. Квартиру двухкомнатную на Оболони с видом на набережную купил. Но эта ‘тема’ прошла. Точно так же уже прошла ‘тема’ с множеством мелких служб такси. Однако до сих пор есть люди, которые не могут этого понять’, — сокрушается наш герой.
Да и в целом сегодня в интернете можно найти базы данных любого объёма и наполнения: авто, паспортные данные, коммерческая информация о деятельности компаний. Более того, десятки компаний предлагают сформировать базу под заказ. Расценки варьируются в зависимости от сложности и актуальности базы — от пары сотен гривен до $5–10 тыс.
Можно без проблем найти и базы данных номеров и платёжных карт, которые незадачливые пользователи оставляют на маскирующихся под сервисы пополнения мобильных фишинговых сайтах или во время покупок в интернет-магазинах с сомнительной репутацией. ‘По банковским картам рынок баз данных довольно большой. В даркнете выставлены на продажу данные где-то по 5 тыс. выпущенных украинскими банками карт. С каждым днём актуальность базы падает, так как данные по картам меняются. Поэтому базы всегда востребованы. Правда, структура списания средств с карт очень сложная. Занимаются таким вещами, как правило, международные группы хакеров’, — рассказывает Роман Русанов.
Снять банк
‘Возвращаюсь я из тяжёлой командировки. Сижу дома и в 19:57 вижу СМС: с вашей карты сняты деньги в сумме такой-то, с банкомата ПриватБанка по адресу пр-т Воздухофлотский, 42. Сняты все деньги, которые были на карте, до копейки. Карта у меня в сумке, коды, пароль не знает никто, кроме меня, подозрительные звонки посторонних с просьбой сообщить пин-код — ничего такого не было. Картой сегодня не пользовалась, никому её не показывала’, — это цитата из поста на странице в Facebook киевской журналистки Ирины Глотовой.
Далее последовало её обращение в Нацполицию и общение с представителями ПриватБанка.
‘Мне как журналистке предоставили видео с камер наблюдения возле банкомата. Запись зафиксировала, как неизвестный мужчина в шапке и очках снимал деньги с 6 или 7 карт подряд. И всё это были не карты банка’, — рассказывает подробности Ирина Глотова.
В Соломенском райуправлении ей честно сказали: скорее всего, это ‘висяк’, хотя следователь изымет видео с камеры, установленной непосредственно в банкомате.
‘Я в такой ситуации оказалась не одна, в очереди из шести человек, которые пришли подавать заявление в тот вечер, трое обратились в полицию из-за мошенничества с их картами’, — добавляет Глотова. Журналистку возмущает тот факт, что информация по её карте непонятным образом попала к злоумышленнику. Возможность использования специального считывающего оборудования в банкоматах Глотова считает маловероятной. Она снимает наличные в одном банкомате возле дома, проблем с этим банкоматом до её случая в полиции зафиксировано не было.
Масштабы незаконного использования персональной информации поражают. Сергей Демедюк говорит, что нелегальный рынок баз данных представлен как данными, ворованными из государственных ресурсов (в том числе Государственной фискальной службы, Пенсионного фонда, Государственной миграционной службы, реестра персональных идентификационных кодов физических лиц, реестра пересечения товаров государственной границы таможенной службы, реестра транспортных средств, реестра информации о преступлениях и событиях подразделений Национальной полиции Украины, реестра земельного кадастра Украины, реестров избирателей), так и частных компаний кредитно-финансовой сферы (база данных неблагонадёжных кредиторов), перевозчиков (база данных заказчиков доставки), операторов мобильной связи (база данных номеров и их пользователей), и здесь перечислены только большие базы данных с количеством записей более 10 млн. Если перечислять мелкие базы, то нужно создавать отдельную базу только с названиями.
Слишком мелко
Несанкционированное использование персональных данных — глобальная проблема. Однако в нашей стране её масштабы особенно велики. По мнению старшего партнёра адвокатской компании ‘Кравец и Партнёры’ Ростислава Кравца, это происходит по причине того, что хоть действующее законодательство формально защищает персональные данные граждан Украины, но по факту государство не препятствует их незаконному распространению. В Украине никто не боится ответственности за продажу личных данных. ‘Компенсация пострадавшим от подобных нарушений в Украине будет мизерной. Можно лишь требовать возмещения морального ущерба, а украинские суды моральный ущерб возмещают в суммах не более 5 тыс. грн. При этом в судах придётся провести не менее года’, — говорит Кравец.
Из-за этого украинцы не спешат преследовать лиц, незаконно использующих их данные. Как подсчитали в юридической фирме ‘Ильяшев и Партнёры’, в Едином государственном реестре судебных решений можно найти не более 4 тыс. дел касательно защиты персональных данных.
Характерный пример. В Днепропетровской области был случай, когда истец выиграл дело против компании ‘Экология Украины’, которая незаконно получила и использовала персональные данные. В частности, истцу звонили по ночам и напоминали о задолженности. В результате ему присудили 1 тыс. грн в качестве возмещения морального ущерба.
Теоретически можно отстоять свои права и подав жалобу в офис омбудсмена, Уполномоченного Верховной Рады по правам человека. Как сообщили Фокусу в секретариате омбудсмена, в 2016 году граждане и юрлица подали 1,3 тыс. жалоб по этому поводу. Главным образом обращения касались обработки персональных данных банками, коллекторскими компаниями, медучреждениями, ЖЭКами, Пенсионным фондом и органами соцзащиты. Заявители сообщали о неправомерном распространении персональных данных, блокировке доступа к ним или же сборе слишком большого объёма данных для незначительных целей. Однако по всем этим заявлениям офис Лутковской составил всего 45 админпротоколов.
Спасение утопающих — дело рук самих утопающих
В Украине, по словам Сергея Демедюка, наиболее активно использует украденные базы данных бизнес с большим потоком потенциально опасных клиентов (банки, кредитно-финансовая сфера), на втором месте — бизнес с большим потоком кадров (производство, торговля), на третьем — детективные агентства, чья работа связана с постоянным анализом информации.
‘Если же говорить о тех, кто халатно относится к хранению вверенных им баз данных, то всё зависит от уровня оплаты труда администраторов и их связей в среде потенциальных заказчиков’, — добавляет Демедюк. По его словам, руководство частных и государственных компаний, как правило, обеспечено на должном уровне и не занимается сливами баз. ‘Ни одного такого случая мы не задокументировали’, — говорит он.
Помимо нерадивых администраторов, ‘сливают’ базы и пользователи, которым халатно предоставили бесконтрольный доступ со значительно преувеличенными привилегиями. Или же базы данных получают через несанкционированный доступ путём взлома, с использованием брешей в системах информационной безопасности. ‘Есть базы данных, преимущественно государственные дампы (резервные копии. — Фокус), которые сливают каждый квартал или полгода, но в большей степени сливы ситуативны’, — поясняет Сергей Демедюк.
В Нацполиции предлагают несколько вариантов борьбы с незаконным распространением баз данных. Для этого стоит обеспечить достойную оплату администраторам баз данных, максимально ограничить привилегии пользователей, тщательно логировать действия пользователей, использовать систему глубокого анализа передаваемых сетью пакетов, постоянный контроль состояния защищённости инфраструктуры, на законодательном уровне усилить ответственность за такого рода злодеяния, дабы у правоохранителей появилась возможность по ходу документирования использовать весь арсенал гласных и негласных средств. Но пока это всё лишь прожекты. По факту в вопросе защиты персональных данных стоит полагаться только на себя. Образно говоря, защита персональных данных — то же самое, что и безопасный секс. Чтобы избежать негативных последствий, делиться информацией необходимо ответственно.
Ольга Прядко, ФОКУС