Наше государство аккумулировало огромный объем информации о своих гражданах. Все эти сведения распределены по многочисленным базам данных, за хранение и сопровождение которых отвечают различные министерства, ведомства и организации.
Наше государство аккумулировало огромный объем информации о своих гражданах. Все эти сведения распределены по многочисленным базам данных, за хранение и сопровождение которых отвечают различные министерства, ведомства и организации. Однако безопасность персональных данных граждан обеспечивается на крайне низком уровне.
Безопасность персональных данных — это серьезная проблема, с которой сталкиваются даже самые развитые страны мира. В Internet можно найти не один десяток случаев утечки конфиденциальной информации. Правда, инциденты, например, в США значительно отличаются от тех, с которыми мы сталкиваемся в России.
Во-первых, в США данные утекают из коммерческих компаний (ChoicePoint, Bank of America, Ameritrade, Time Warner, CitiFinancial и т. д.). В России же пиратская база данных коммерческой компании — скорее исключение, чем правило. Действительно, на рынке появлялись базы данных нескольких операторов мобильной связи, но эти компании сразу же сделали правильные выводы и приняли самые жесткие административные и технические меры. На черном рынке остался лишь «стандартный ассортимент продуктов»: базы данных «ГИБДД по Москве», «Московская прописка», «Жилой фонд Москвы», «Земельные участки Московской области», ЦБ РФ, Налоговой инспекции, Пенсионного фонда, результаты проверок Счетной палаты и др.
Во-вторых, масштаб кражи персональных данных в России просто поражает. Читая хронику инцидентов в Северной Америке, можно заметить, что речь идет о краже не базы данных, а «такого-то количества приватных записей». Предлагавшаяся в конце 2004 года база данных Налоговой инспекции по подоходному налогу (иногда ее еще называли базой Пенсионного фонда) содержала 36 млн. деклараций жителей Москвы и Подмосковья за 1999-2002 годы. Всего за 1000 рублей любой желающий мог узнать не только паспортные данные, но и доходы чиновников, бизнесменов и рядовых граждан. Даже недавний «рекордный» для западных стран случай утечки номеров кредитных карт из компании CardSystems Solutions по своему масштабу остался далеко позади. Напомним, что вследствие этой утечки оказались скомпрометированными 40 млн. номеров кредитных карт всех мировых брэндов (из них почти 14 млн. записей пришлись на долю MasterCard). Однако достоверно удалось установить, что преступники выкачали лишь 70 тыс. номеров MasterCard, а к остальным десяткам миллионов они лишь потенциально могли получить доступ. Наши же 36 млн. деклараций мог «пощупать и попробовать на вкус» любой житель страны.
В-третьих, любая, даже самая незначительная утечка приватных данных в США вызывает огромный общественный резонанс. Инцидент с CardSystems Solutions вызвал такую бурю негодования, что конгресс, вероятно, примет новый федеральный закон по этому поводу. В результате два самых крупных клиента, Visa и American Express, отказались от услуг CardSystems, и если ни один из них в ближайшее время не передумает, то CardSystems Solutions просто обанкротится. Сравнивая реакцию американского и российского общества, можно, к сожалению, констатировать, что наличие в свободной продаже пиратских баз данных стало у нас обычным явлением.
Система персонального учета населения
С 9 июня 2005 года, когда Правительство РФ одобрило концепцию создания системы персонального учета населения РФ, проблема защиты персональных сведений в государственных базах данных приобрела особую важность.
Система представляет собой общую надстройку над уже существующими отдельными автоматизированными системами учета, сопровождение которых ведется различными органами государственной власти, органами местного самоуправления, государственными и муниципальными учреждениями. Она будет иметь децентрализованный характер, не потребует кардинального изменения действующих процедур сбора и обработки персональных данных в различных государственных институтах, а также не приведет к созданию единого банка персональных сведений.
В качестве предпосылок к созданию системы-надстройки выдвигается целый ряд официальных причин: «обеспечение адресности и эффективности государственной социальной поддержки, собираемости налогов в бюджеты всех уровней и их рационального распределения, проведения основных структурных реформ, обеспечение общественной безопасности и охраны порядка, контроля миграционных процессов, противодействия терроризму, повышения эффективности работы органов государственной власти в чрезвычайных ситуациях, а также обеспечение и защита конституционных прав и свобод граждан». Однако, по словам заместителя министра экономического развития Андрея Шаронова, новая система просто позволит снизить бюрократические издержки и ускорить реакцию властей на запросы граждан.
Правительство РФ отвело семь лет на создание системы персонального учета населения и обязало Министерство экономического развития и торговли РФ совместно с Министерством информационных технологий и связи РФ подготовить во втором квартале 2005 года документы о внесении соответствующих изменений в федеральную целевую программу «Электронная Россия (2002-2010 годы)». Таким образом, у чиновников есть семь лет на то, чтобы среди прочего подготовить и внедрить механизмы безопасности, которые позволят минимизировать незаконное использование приватных данных и несанкционированный доступ к ним.
Понимает ли государство проблему?
Можно с уверенностью ответить, что понимает. На это указывает целый ряд признаков. Во-первых, концепция создания новой системы-надстройки подразумевает «учет и регистрацию всех действий с персональными данными, производимых пользователями системы персонального учета», а также «защиту персональных данных в соответствии с законодательством РФ и требованиями по обеспечению информационной безопасности». Во-вторых, в разделе нормативно-правового обеспечения системы персонального учета среди прочего указано, что необходимо регламентировать отношения, связанные с определением полномочий пользователей системы персонального учета и защитой персональных данных. Все это должно вылиться в принятие нормативных правовых актов, определяющих «понятие, структуру, виды персональной информации, порядок доступа к ней, права и обязанности пользователей и держателей баз данных персональной информации, порядок и условия сбора, хранения, использования и распространения персональных данных». Более того, указанные акты должны иметь статус федеральных законов и определять все основные термины и понятия системы персонального учета.
Так «должно быть». Однако уже сейчас существует целый ряд государственных баз данных. И хотя защита есть, ее, к сожалению, явно недостаточно.
Правовой основной защиты информации сегодня является целый комплекс российских нормативных актов. Среди них Конституция РФ, «Доктрина информационной безопасности Российской Федерации» (утверждена Президентом РФ 09.09.2000 № Пр1895) и Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации». В соответствии со ст. 21 этого закона режим защиты информации в отношении сведений, отнесенных к государственной тайне, устанавливается уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»; в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом; в отношении персональных данных — федеральным законом.
Состав же конфиденциальных сведений раскрыт в Указе Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные, тайна следствия и судопроизводства, служебная тайна, коммерческая тайна, профессиональная тайна, а также сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Защищать частную информацию Россия также обязалась, подписав в ноябре 2001 года европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных. Собирая сведения о гражданах, правительство обязалось не допускать ущемления их прав и принимать меры против злоупотребления информацией и ее несанкционированного раскрытия.
Тем не менее эффективно бороться с распространителями электронных баз данных милиции не позволяет отсутствие прямых статей в Уголовном кодексе. Более того, российское право в этой области представляет собой запутанный клубок законодательных актов, из которых трудно понять, в чем конкретно заключаются обязательства государства перед гражданами. Например, невозможно определить, какая информация органов государственной власти должна обязательно раскрываться, а какая может составлять личную и семейную тайну. В законодательстве описано 30-40 различных видов тайн, в то же время единообразное понятие тайны отсутствует. В результате существуют многочисленные виды тайн, за разглашение которых не предусматривается вообще никакой ответственности.
К сожалению, принятые законы просто не работают. Например, детали телефонных переговоров защищены законом «О тайне телеграфных и почтовых отправлений», записи налоговой инспекции — законом «О налоговой тайне», банковские проводки — законом «О банковской тайне», информация ГИБДД или таможни — внутренними инструкциями. Вся эта информация так или иначе защищена нормативно, но тем не менее она доступна на черном рынке в своем самом актуальном состоянии, и ни один виновный еще так и не попал на скамью подсудимых.
Рассмотрим, например, недавнюю утечку базы данных ЦБ по проводкам РКЦ. Преступнику, который выкрал информацию, можно предъявить обвинение по ст. 183 УК, а также по ст. 272 УК. Первая предусматривает два года лишения свободы за сбор сведений, составляющих коммерческую или банковскую тайну, а если обвиняемый смог каким-то образом использовать похищенные сведения, то наказание увеличивается до трех лет лишения свободы. Вторая — пять лет лишения свободы за неправомерный доступ к компьютерной информации.
Однако собрать доказательства вины подозреваемого очень сложно: нужно установить лицо, от которого ушла информация, и найти документальные подтверждения того, что именно это лицо было обязано хранить украденные данные в тайне. То есть должен быть очень точно определен режим охраны информации (российские законы и здесь не дают ясности), а также четко документирована ответственность конкретных служащих по охране банковской тайны. Все это необходимо прописать в должностных инструкциях и других внутренних актах. Таким образом, даже при возбуждении уголовного дела следователям, прежде всего, придется доказать, что обязанность охранять украденные данные возложена служебными документами именно на лицо, подозреваемое в утечке. Другими словами, шансов довести дело до суда крайне мало.
Добавим, что правоохранительные органы не в состоянии остановить утечку даже своих собственных баз. Сегодня на черном рынке можно найти БД новосибирского ГУВД с фотографиями всего оперативного состава или БД зонального информационного центра МВД, которая содержит самые секретные сведения — о милицейской агентуре.
Есть ли выход?
Юридические меры защиты приватных сведений являются предупреждающими. Очевидно, что закон сам по себе «не схватит за руку» чиновника, «сливающего» базы данных, но зато превентивно воздействует на его сознание, а в случае, если удастся доказать вину служащего, закон позволит привлечь его к ответственности и компенсировать нанесенный ущерб.
Почти все ответственные лица соглашаются, что в России уже сформировался черный рынок нелегальных баз данных, и некоторые даже оправдывают это явление тем, что пока есть спрос на подобную информацию, то будет и предложение. Однако этот довод можно оспорить. Спрос на конфиденциальные сведения есть всегда и в любой стране мира, но в Северной Америке и Европе эта продукция не продается в открытую, не рекламируется через Internet, да и всеобъемлющий характер, как в России, носит редко. Отсюда следует, что даже при наличии спроса можно существенно ограничить предложение таких незаконных товаров.
По мнению экспертов компании InfoWatch, около 90% краж государственной и корпоративной конфиденциальной информации совершается служащими, которые руководствуются самыми разными соображениями. Проблема усугубляется еще и тем, что технически приватные данные выкрасть очень просто. К услугам нелояльного сотрудника разнообразные накопители, каналы Internet, электронная почта, принтеры и многое другое.Чтобы предотвратить кражу приватной информации, необходимо в первую очередь перекрыть технические каналы утечки. Этому могут способствовать как технические, так и организационные меры. Интересно отметить, что методы защиты конфиденциальных данных, по сути, абсолютно одинаковы как для государственных организаций, так и для частных компаний. По своей природе их можно условно разделить на две группы: пассивные и активные.
К пассивным относятся, прежде всего, технические средства, которые протоколируют все операции, совершаемые с чувствительными данными. В журналы событий собираются все имеющиеся сведения о том, кто, когда, как и с какой конфиденциальной информацией работал. Таким образом, становится возможным мощный ретроспективный анализ в случае возникновения инцидента.
Пассивные методы также включают в свой состав административные меры (политику внутренней ИТ-безопасности, разнообразные запреты и ограничения). Такие средства борьбы с утечками нельзя недооценивать. В зависимости от специфики деятельности административные ограничения (иногда подкрепленные технической реализацией) могут носить не только профилактический характер, превентивно воздействуя на сознание злоумышленника, но и фактически пресечь канал утечки. Например, широко известна история одного федерального ведомства, которое серьезно страдало от регулярных утечек своей базы данных. Эта БД пользовалась устойчивым спросом на черном рынке, а проследить за каждой точкой доступа к базе в организации было технически очень сложно. Однако отдел ИТ-безопасности смог переломить ситуацию. Предположив, что хищением данных занимаются не более десяти сотрудников (причем вряд ли управляемых из одного центра), «защитники» попросили администраторов базы данных ограничить объем ежедневных запросов двадцатью мегабайтами. Если кому-то нужно больше, пусть пишет дополнительную заявку с обоснованием служебной необходимости. «Оборотни», естественно, светиться такими заявками не захотели, а так как вся база данных занимала несколько гигабайтов, выкачать ее одному человеку не представлялось возможным даже за месяц. Вдобавок, записи в БД меняются ежедневно, поэтому преступникам пришлось копировать ее отдельными кусками и потом сшивать в одно целое. Легко догадаться, что все это нарушало актуальность базы, которую через некоторое время просто перестали покупать, а потом, вследствие отсутствия спроса, — и похищать. Таким образом, удалось без лишних капиталовложений пресечь налаженный канал утечки конфиденциальных данных.
Активные методы дают возможность «схватить нарушителя за руку» прямо во время кражи. Например, на рынке есть технические решения, осуществляющие фильтрацию данных, высылаемых по сети за корпоративный периметр, и в режиме реального времени блокирующие утечку секретных сведений. Это позволяет перекрыть такие каналы кражи баз данных, как электронная почта, средства обмена мгновенными сообщениями (IM), различные ресурсы Internet (Web-почта, чаты, форумы и др.).
Точно так же анализируются действия служащих, совершаемые на уровне рабочих станций. Агент системы защиты просто не позволит переписать на мобильный носитель или вывести на принтер конфиденциальный документ или записи базы данных. Вдобавок, специальный модуль проконтролирует работу с открытыми источниками приватных сведений, проследит за буфером обмена, не позволит создать снимок экрана и т. д.
Главным отличием всех активных средств является то, что в случае возникновения подозрительного события происходит не только блокировка совершаемой операции, но еще и отправка специального сообщения офицеру безопасности (например, по электронной почте, на мобильный телефон и т. д.).
В этом и состоит ловля преступника с поличным.
Человеческий фактор
Было бы неверно предполагать, что технологии способны решить все возникающие проблемы. Подавляющее большинство преступников не склонно взламывать сложные криптографические алгоритмы, отыскивать уязвимости в приложениях и придумывать сложные методы обмана системы фильтрации. Намного легче воздействовать на самое слабое звено любой системы — на человека, которому можно дать взятку или которого можно запугать или шантажировать.
Для того чтобы свести к минимуму влияние человеческого фактора, в средствах активного предотвращения утечек предусмотрено распределение ролей.
Предположим, что в крупной государственной организации злоумышленники смогли подкупить чиновника, который имеет доступ к конфиденциальным данным. Действительно, нелояльный чиновник сможет выкрасть приватные сведения о каком-то одном конкретном человеке или предприятии, если все записи уместятся у него в голове или на листке бумаги (на который придется переписывать все своей собственной рукой). Однако если чиновник попытается экспортировать из базы данных сразу несколько записей или скопировать саму базу данных, то система защиты заблокирует такое действие и оповестит офицера безопасности.
Получается, что преступникам необходимо подкупить (запугать и т. д.) еще одного человека, который контролирует операции с секретными сведениями. Следует отметить, что получить контроль над одним лишь офицером безопасности недостаточно, так как у него нет доступа к самим приватным данным. Он лишь может быстро реагировать на попытки выкрасть информацию со стороны третьих лиц.
Но допустим, что злоумышленники подкупили двоих: один имеет доступ к данным, второй может разрешить операцию, явно указав системе защиты, что ничего подозрительного в ней нет. В этом случае приватные записи покинут внутреннюю сеть организации, но информация об этом событии сохранится в многочисленных журналах системы защиты. Более того, так как офицер безопасности явно разрешил выслать данные наружу, обнаружить обоих виновных не составит труда.
Следовательно, необходимо еще подкупить третьего человека, который имеет доступ к журналам событий системы безопасности. Легко догадаться, что офицер безопасности, точно так же, как и системный администратор, не может редактировать историю своих же действий. Однако в организации действительно есть третий сотрудник, который обслуживает систему защиты, как и любую другую ИТ-систему. Среди его обязанностей, например, создание резервных копий журнала событий (когда его размер превышает допустимый). Таким образом, этот служащий может перенести всю информацию об инциденте на резервный носитель, а потом его «случайно» потерять.
Только в случае такой масштабной коррупции, когда все три человека с соответствующими полномочиями оказались под властью преступников, удастся незаметно вынести базу данных или конфиденциальный документ. Правда, объединить этих людей одним злым умыслом не так просто. Во-первых, все они являются сотрудниками разных отделов и подчиняются разным начальникам. Чиновник — главе своего департамента. Офицер безопасности — директору по ИТ-безопасности. Администратор системы безопасности — директору информационной службы. К тому же одного из двух последних сотрудников можно вывести на прямое подчинение генеральному директору. Если установить ему еще и достойную заработную плату, то преступникам придется попотеть, чтобы заполучить приватные данные.
Конечно, исключить кражу, например, одной записи из базы данных нельзя. Но в тех случаях, когда внутренний пользователь пытается выкрасть определенный объем сведений или всю базу, система защиты не только это пресечет, но еще и предоставит доказательства того, что именно данное конкретное лицо планировало утечку. В совокупности с внутренними нормативными документами и соответствующей модификацией трудовых договоров (в странах Европы и в США, например, частью трудового договора может являться политика внутренней ИТ-безопасности, которую служащий обязан соблюдать) технологические средства защиты позволяют привлечь злоумышленника к суду.
Что может сделать государство?
Несколько первых шагов в плане защиты персональных данных уже сделано. В концепции системы персонального учета Правительство РФ документально закрепило, что персональные данные обязаны быть защищены и должна быть создана нормативная база, которая регламентирует права и ответственность пользователей системы. Этого, правда, недостаточно. Должен быть создан стандарт, определяющий требования к системе безопасности.
Практика государственного регулирования многих аспектов, связанных с ИТ-безопасностью, аудитом ИТ-инфраструктуры, защитой персональных данных граждан, широко используется во многих западных странах. Среди наиболее известных законодательных норм можно упомянуть закон Сарбейнса-Оксли (Sarbanes-Oxley Act, SOX), закон Грэма-Лича-Блилей (Gramm-Leach-Bliley, GLBA) и закон о преемственности страхования и отчетности в области здравоохранения (Health Insurance Portability and Accountability Act, HIPAA).
Рассмотрим минимальные требования, необходимые для защиты приватных данных.
Во-первых, это создание централизованной сис- темы расширенного аудита, которая должна быть фундаментальным компонентом любой ИТ-инфраструктуры, взаимодействующей с приватной базой данных. Система должна обеспечивать выполнение фискальных процедур и ведение журнала событий, в который заносится информация: кто, когда, зачем и какие персональные записи получил из базы данных и какие операции с ними произвел. Имея пассивный характер, система защиты тем не менее позволяет проследить жизненный цикл приватных записей, выявить источник утечки (правда, постфактум) и конкретное лицо, на котором лежит ответственность за неправомерное использование конфиденциальных данных.
Во-вторых, необходим активный мониторинг использования приватных данных. В частности, любой служащий, который получил доступ к персональным сведениям, должен быть ограничен в своих действиях. По крайней мере, он не должен иметь возможности экспортировать большой объем записей из приватной базы данных, а после этого передавать его по открытым каналам электронной почты или Всемирной паутины. Должна быть предотвращена утечка также по таким каналам, как принтеры и мобильные накопители.
Соблюдение этих требований под силу практически любой организации. На рынке современных информационных продуктов уже присутствуют комплексные решения, которые в состоянии частично или полностью им удовлетворить.
Что касается общей безопасности ИТ-инфраструктуры, подразумевающей отсутствие брешей, наличие соответствующих технических средств, грамотное управление обновлениями, моделирование рисков и т. д., то здесь рациональнее всего следовать положениям известных и проверенных стандартов (ISO 17799 и 13335, ГОСТ Р ИСО/МЭК 15408-1-2-3, OCTAVE, CRAMM и т. д.).
Очень важно, чтобы государство сформулировало четкие требования, которые позволят защитить персональные данные граждан. Если наличие такого стандарта для различных отраслей бизнеса желательно, то для государственного сектора и глобальных баз данных он просто необходим.
Остается надеяться, что оставшиеся до построения системы персонального учета семь лет государство использует с умом. В противном случае термин «частная жизнь граждан» просто исчезнет из нашего обихода.
Алексей Доля, эксперт по ИТ-безопасности, aleksey.dolya@gmail.com
Риски глобальной системы
«Появление новой глобальной системы создаст значительные риски несанкционированного доступа к централизованным массивам информации, утечки персональных сведений на открытый рынок, использования данных для оказания давления со стороны государства и серьезные трудности сохранения персональной информации в тайне», — считает Сергей Земков, директор по корпоративным продажам «Лаборатории Касперского» в России, странах СНГ и Балтии.
Работает ли защита
Вот как прокомментировал ситуацию Евгений Преображенский, генеральный директор компании InfoWatch: «Сегодня отсутствует стройная система, которая бы регламентировала защиту служебной информации. Конечно, деятельность федеральных учреждений в этой сфере регулируется соответствующим правительственным постановлением, но деятельность любых других органов, которым приходится работать со служебной информацией, остается, по сути, вне правового поля».
Тотальный контроль
«Утечку конфиденциальных данных вполне можно предотвратить, было бы желание. Понятно, что секретные правительственные учреждения просто не имеют выхода в Internet, но для всех остальных, включая очень крупные государственные или коммерческие организации, есть подходящие решения, продукты и услуги. Конечно, руководство должно доверять своим служащим, но вовсе не потому, что бессильно проверить их лояльность. Сегодня слепая вера может стоить предприятию миллионы долларов», — считает Феликс Мучник, генеральный директор компании Softkey.
Слабое звено
«В любой цепи процессов ИТ-безопасности самым слабым звеном является человек. За деньги, из страха или мести, даже совершенно случайно один или несколько сотрудников могут «свести на нет» все усилия самой сложной системы ИТ-безопасности. К сожалению, полностью исключить такую возможность пока нельзя. Остается лишь принимать ее во внимание, учитывать соответствующие риски и минимизировать их всеми доступными способами», — комментирует Сергей Пильцов, генеральный директор LETA IT-company.
Нужен стандарт
«России необходим стандарт, определяющий минимальные требования к ИТ-безопасности будущей системы персонального учета. Разработку такого стандарта логично поручить Министерству информационных технологий и связи РФ, а его действие расширить на все государственные базы данных», — считает Денис Зенкин, директор по маркетингу компании InfoWatch.