Вокруг скандала с «МТС»: замеченное, незаметное, так и не произошедшее

Проведены конкурсы "Кооператор года" и "Рэкетир года". В качестве приза победителю первого конкурса — деньги, победителю второго конкурса — адрес победителя первого.
Старый анекдот

Если кто не знает, сообщаем: суть самого свежего скандала вокруг "МТС" состоит в следующем. Из компании утекла к пиратам база с персональными данными абонентов. После этого она была растиражирована на CD и стала доступной в широкой продаже. Этот факт вызвал огромный интерес и у правоохранительных органов, и у прессы, а у самих абонентов "МТС" вызвал шквал негодования. Что ж, событие действительно уникальное — как по своим масштабам, так и по тому, что вокруг него произошло, и что могло произойти. Последнее, кстати, интересней всего.

Персональные данные клиентов регулярно утекают из коммерческих компаний и государственных учреждений стран всего мира. Но обычно в подобных случаях речь идет об утечке данных о тысячах людей или о том, что данные на несколько сотен тысяч человек оказались на какое-то время в открытом доступе. Мне не известны случаи, когда, как в случае с "МТС", оказались бы обнародованы данные на несколько миллионов граждан. В этом плане мы все можем гордиться: тут "МТС" оказалась впереди планеты всей: персональные данные пяти с половиной миллионов человек еще никто на нашей планете не терял. Правда, факта мирового лидерства в этой области российского оператора мобильной связи никто не заметил. Во всяком случае, в новостях это не было отражено.

Компания даже не сочла нужным извиниться перед миллионами своих несчастных абонентов. Единственный реверанс "МТС" в сторону своих клиентов: через несколько дней после кражи компания сделала заявление о том, что готова бесплатно заменить номера абонентам, обратившимся в службу сервиса. Согласно действующим тарифам, эта услуга стоит 10 долларов (если прямой номер меняется на прямой) или 4 доллара (если аналогичная замена применяется к федеральному номеру или если федеральный номер меняется на прямой). Прямо скажем, немного это. Весьма немного. Заметим, что на корпоративном сайте "МТС" нет ни слова об инциденте, ни слова извинений и ни слова о вышеупомянутом реверансе.

Вы спросите: а что простому человеку с того, что его персональные данные оказались в открытом доступе? Ну, появилась у кого-то возможность легко и быстро узнать любой номер мобильника, подключенного к сети "МТС". Стоит ли абоненту из-за этого огород городить, да еще и прилагать усилия для замены номера, терять время (даже если данное действие будет бесплатным, до службы сервиса все равно добираться придется)? Несложно понять, что необходимость поменять номер мобильного телефона вполне может возникнуть. Например, если его узнают люди, которым абонент не желает предоставлять возможность находить его в любое время. У каждого из нас в окружении есть немало таких персонажей — от бывшей подружки до секретарши шефа и от излишне говорливого старого знакомого до недоброжелательных кредиторов. А если номер начнут использовать телефонные хулиганы или SMS-спамеры?

Убытки от замены номера мобильного телефона для абонента могут быть весьма значительными и исчисляться куда большими суммами, чем этот сервис стоит у оператора. Каждый может легко оценить ущерб для себя, просчитав, что будет, если до него не дозвонится по мобильному телефону хотя бы один клиент: будет потерян заказ, сорвется контракт и т. д. Однако требовать компенсацию у компании "МТС" бессмысленно, так как договор на предоставление услуг составлен таким хитрым образом, что компания не гарантирует абоненту ничего, в том числе и сохранения его персональных данных. Вот и выходит, что такая грандиозная утечка данных — проблема абонентов, а не самой "МТС"...

Заметим, что в украденной базе содержатся паспортные данные, контактные телефоны абонентов (а номера стационарных контактных телефонов, в отличие от мобильных, так просто не заменишь), а также, что самое неприятное, данные о платежах оператору. Так что вполне возможны ситуации, в которых для абонента возникнет необходимость менять паспорт, а заодно и место прописки (регистрации). И это не шутка и не надуманная модель развития ситуации: получив сведения о платежах абонента за мобильный телефон, легко оценить уровеньего благосостояния, а эта информация может привлечь внимание и квартирных воров, и серьезных рэкетиров, да и многих других отрицательных персонажей из нашей повседневной жизни.

Нам, жителям столицы, уже давно кажется, что мобильные телефоны стали дешевыми, а оплачивать услуги мобильной связи может почти каждый. Но на самом деле для большинства наших сограждан любой владелец стодолларовой трубки, да еще к тому же расходующий ежемесячно долларов тридцать-сорок на мобильную связь, кажется чудовищно, непозволительно богатым. И такие мысли о богатстве абонентов сотовой связи приходят в голову не только люмпенам. Не забывайте, что мы живем в стране, в которой квалифицированный врач может получать менее полутора сотен долларов в месяц, а для многих, очень многих граждан и такие заработки кажутся значительными.

Как же развивались события непосредственно после того, как кража стала очевидной и для владельцев компании, и для абонентов? Пресс-служба "МТС", всегда отличавшаяся неповоротливостью, промямлила что-то о внутреннем расследовании, которое ведет собственная служба безопасности компании, и на этом сочла свои функции выполненными.

Однако реальность оказалась более любопытной. По сообщению "Московских новостей" ( www.mn.ru ), первый тираж пиратских дисков с базой появился в продаже в конце ноября, а в январе вышло уже "второе издание" - так сказать, исправленное и дополненное. Большой тираж "второго издания" позволил снизить цену на CD с базой данных. Этот продукт появился в продаже в большом количестве торговых точек, и кажется, что лишь благодаря этому факт беспрецедентной кражи персональных данных оказался замечен широкой общественностью.

В интернет-конференциях говорили, что база "МТС" была доступна еще в 1999 году, только не пользовалась спросом по причине высоких цен. "Агентство бизнес-новостей" ( www.bbc.co.uk ), ссылающейся на руководителя отдела по связям с общественностью компании "Би Лайн" (видимо, имеется в виду г-н Умаров, да и компании "Би Лайн" не существует: компания называется "Вымпелком", а "Би Лайн" - ее торговая марка. — Прим. ред.), годом позже, то есть в 1998-м, похищалась база данных абонентов "Би Лайн", которая потом была растиражирована на CD и продавалась на "Горбушке".

Правда, когда пресса высказала идею о том, что утечка произошла не из компании, а из компетентных органов, которым компания поставляет данные о своих абонентах, представители "МТС" внезапно встрепенулись и объявили, что это не соответствует действительности. Но что же тогда соответствует действительности? Процитируем до боли правдивое резюме "Агентства бизнес-новостей": "Это мы вряд ли когда-либо узнаем. О результатах внутреннего расследования вряд ли будет сообщено публике".

Публика же, что весьма и весьма странно, не очень-то и любопытствовала. Через пару-тройку дней она успокоилась и про инцидент, похоже, забыла, не оценив должным образом степень опасности происшедшего. Никто не возмутился, не потребовал официальных извинений или компенсаций, не подал в суд на оператора, не умеющего хранить доверенную ему абонентами ценнейшую информацию. Заметим, что так могли поступить и частные клиенты, и, что для компании существенно менее приятно, клиенты корпоративные. Но такого — просто невероятно! — так и не произошло. В результате инцидента "МТС" вышла сухой из воды. У компании, увы, пока не пострадал ни карман, ни имидж. А это означает, что история может повториться.

В интернет-конференциях отдельные идеалистически настроенные личности высказывали мысли о том, что случаем должны заняться соответствующие силовые структуры, что государство должно поставить заслон подобным инцидентам ... Однако реалисты возражали, что на радиорынках давно продаются базы данных МГТС, паспортных столов, числящегося в угоне автотранспорта и т. д. Эти данные доступны на CD, а иногда лежат в свободном доступе в Интернете, и воспользоваться ими может любой желающий...

В продаже присутствуют даже данные последней переписи населения! Заметим, что перепись позиционировалась как мероприятие общегосударственного масштаба, причем люди, называемые "компетентными", с телеэкранов и газетных страниц уверяли всех и вся в том, что отвечатьнавопросы анкеты можно без малейшей опаски, что персональные данные граждан будут использованы только для нужд переписи. И никто, даже государевы службы (налоговая, паспортные столы, военкоматы и прочие структуры) не получат к ним доступа. Когда же данные переписи появились в свободной продаже... ничего не произошло! Пресса и телевидение по какой-то причине шумихи не подняли — то ли потому, что после месяца галдежа о переписи это слово у всех набило такую оскомину, что сделать сенсацию даже из факта опубликования полученных в ее ходе данных было затруднительно, то ли откуда-то сверху поступила "указивка" не слишком фокусировать внимание не проблеме. Так или иначе, но факт обнародования персональных данных миллионов россиян остался почти не замеченным все той же широкой общественностью. А ведь тут затронут имидж не отдельной коммерческой компании, пусть даже федерального масштаба, а всего государства, которое в последнее время так печется о своем величии. И в этом случае никто из государственных чиновников не счел нужным извиниться перед гражданами, о шумных процессах над задержанными похитителями персональных данных россиян мы тоже не слышали. Все было спущено на тормозах.

Однако публикации персональных данных — это еще цветочки. События в области информационной безопасности развиваются стремительными темпами. То, что раньше составляло сюжетные коллизии киберпанковских фильмов, сегодня неумолимо становится суровой реальностью.

Например, недавно прошла информация о задержании в Москве очередной банды вымогателей. Это сообщение не заслуживало бы внимания, если б не оригинальные технологии, при помощи которых бандиты "разводили" покупателей дорогих автомобилей. Данные на недавно купленную машину вносились в базу угнанных автомобилей, о чем "доброжелатели" сообщали новоиспеченному владельцу. После этого поступало предложение, от которого нельзя отказаться: за некоторую мзду предлагалось соответствующую запись из базы исключить. Причем жулики оказались честными, и после получения ими денег запись из базы действительно исчезала. Заметим, что база, с которой производились соответствующие манипуляции, была не копией на CD или в Интернете, а оригиналом. Это была самая настоящая база из компьютеров ГИБДД! В состав банды — внимание! — входили имеющие доступ к этой базе сотрудники правоохранительных органов.

А буквально вчера в мой электронный почтовый ящик пришел оригинальнейший спам: некая фирма за абонентскую плату в три сотни долларов предлагала контроль за содержимым любого указанного вами ящика электронной почты. То есть весь входящий и исходящий трафик почтовых сообщений практически из любого ящика предлагается попросту "зеркалировать" на указанный заказчиком e-mail! В результате можно получать доступ к промышленным секретам, личным тайнам и любой другой информации. Пока мы не знаем, насколько реально это предложение. Возможно, это всего лишь розыгрыш или очередное мошенничество, но, если учесть все громкие кражи, происшедшие за последнее время в области высоких технологий, такое предложение выглядит весьма пугающим.

Утечки персональных данных, которые приняли в России массовый характер, всего лишь одна из многих опасностей, связанных с информационной безопасностью граждан. И надо отметить, что ситуация в этой области стремительно ухудшается.

Мы больше знаем об атаках на DNS-серверы и вирусной эпидемии в Южной Корее, чем о происходящем в родных палестинах. Легко заметить, что и здесь проблема не сводится лишь к активизации спамеров, загаживающих наши ящики электронной почты непрошеной рекламой. Сейчас происходит то, что реально угрожает нашей безопасности, причем во всех ее аспектах: физической, финансовой, privacy и т. д. И главную угрозу представляют не почтовые вирусы и хакеры-любители, похищающие при помощи незамысловатых "троянов" наши коды доступа к провайдерам. Есть и гораздо более существенные, хотя и менее известные обывателю угрозы. В результате краж в области новых технологий подвергаются потенциальной опасности все граждане — как использующие интернет-ресурсы, так и не подключенные к Интернету.

Михаил Болтянский,
"Планета Интернет"