akirich_pcroom

Category:

Как утекли наши данные? И что делать, чтобы подобное не повторилось.

На ITC набрал кучу комментариев пост о Телеграм-базах персональных данных. То что в подводке ребята из AIN, а затем и из ITC ошиблись — указывают комментаторы и полученные ими результаты. Да и знакомый, которому уже нечего терять, проверил — его данных накопали сполна.

Имея за спиной 10-летний опыт в сфере обработки данных, мне всегда было стремно передавать свои данные на обработку в банки, ЖЭК, логистические компании и даже в некоторые госучереждения. Начнем с источников утечек.

Если говорить субъективно, то есть лично про себя — далеко ходить не надо. Еще 8 лет назад мои данные ушли провайдеру Воля, который с тех пор их благополучно умудрился не только их не удалить, но и пустить по Интернету. Недавно все закончилось не совсем хорошо — т.к. вышеуказанный интернет начали резать стояками, не находя нужных квартир в списке одного синего провайдера. И ответочка от Воли не заставила себя ждать. За пасхальные выходные в подъезде вынесли (из того что слышал и ощутил я) — более 30 метров кабеля. Причем по массовости — похоже на черную конкуренцию.

Нет ни одной более уязвимой структуры в Украине, такой как наши фискалы и наши банки. Да, в компаниях достаточно много адекватных и крутых ребят, но все упирается в нарушения. Так, ПриватБанк, к которому делают предъявы авторы из АИН — имеет несколько известных утечек. К чести пытаются найти воров, но если учесть, огромный рынок наркоторговли через телеграм и прочие месенжеры, то ищут иголку в стоге сена. Данные из Привата знакомый нашел, но они не совпадают ни с действительными, ни с поданными.

И да, любители банков нового поколения. Вы вообще знаете, что все эти новые банки — не являются ничем более, чем банковской услугой? Т.е. у нас не существует в нацбанковском реестре зарегистрированных банков — Монобанка, Тодобанка, или Обанка. Это все УниверсалБанк, Мегабанк и Идеябанк соответственно. И самое офигенное, если вы уже клюнули — у них уже есть фото ваших паспортов и идентификационных. И в случае утечки «ведер» (так на сленге обозначаются хранилища графических материалов) у этих банков, мошенникам будет не трудно создать кредитку в конкурентном банке и засадить вас на деньги. Делать уже что-то поздно, максимум можно попробовать перевыпустить паспорт. Но вы сами знаете, как там хорошо с безопасностью новых паспортов, получится шило на мыло.

Второй страшный источник — это наша фискальная служба. Так получилось, что у фискалов самая точная система идентификации. Это как бы и хорошо, но и как бы плохо. Можно сказать, идентификатор в этой системе один на всю жизнь. Сменить «регистрационный номер учетной карты плательщика налогов», или более простонародно «идентификационный» — можно лишь через некоторые ухищрения. Подавляющее большинство граждан их позволить себе не может, а той что может — понадобится много времени и много денег. Фактически государство имеет механизм для компрометации любых данных. Как только ты где-то, как-то указал свою фамилию имя и код — все, данные ушли. Более того, скомпрометировав код, автоматически компрометируется дата рождения и пол.

Третий опасный источник, который сдал знакомого с потрохами — один известный оператор доставки посылок. Причем позорно не только то, что данные ушли, но и еще и то, что у оператора появились те данные, которые знакомый не мог им дать в принципе. Дело в том, что максимум что может получить доставщик — это ФИО, номер телефона, идентификационный и вероятный адрес проживания. Но вот как получилось узнать у них состав семьи? Да и идентификационный они могли получить только в случае наличия кабинета, и финансовых переводов. А единственное что получал знакомый через данный почтовый сервис только китайские посылки. Вывод, мало того что этот логистический оператор допустил утечку, так он еще и пользовался утечками остальных.

Четвертый опасный источник — это госсектор в целом. Большая беда наших людей, и наших сотрудников в госучреждениях — это то, что у них при составлении списка необходимых документов в голову не приходят вопросы — «Зачем мне получать реквизиты этого документа?», «Кто их будет обрабатывать?», «Как их хранить?», «Как их утилизировать?» и «Кто будет ответственный за утечку?». Для понимания — все эти вопросы всплывают из шестой, седьмой статьи ЗУ «О защите персональных данных».

Наиболее ярко всего сейчас это все происходит в медсекторе. Я уже писал про 33 медицинские информационные системы в НСЗУ. То есть государство само себе устроило геморой с контролем этих систем. То что эти данные уже ушли — сомнений нет, один из «архивов» озвученный в комментариях недвусмысленно намекает на источник. 

Как с этим бороться?

Как минимум, надо задуматься, что с определенного момента наша фискальная служба должна уйти от стратегии идентификации по номеру. 

Например, к идентификации по токенам. То есть у каждого плательщика налогов должен появится базовый ключ. При помощи которого можно получить зависимые ключи, которые в свою очередь можно использовать для деятельности с юрлицами. То есть — работодателю можно предоставить один ключ, банку второй, почтовой системе третий. При этом нельзя присвоить всем вышеперечисленным — базовый ключ. Если скомпрометирован базовый ключ — его можно уничтожить, и все зависимые ключи становятся недействительными. А все персональные данные, которые санкционировано должны быть у банка\работодателя\почты оформляются на новые зависимые ключи. Такая структура, кстати, поможет исключить перевыпуск паспорта в случае очередной утечки. То есть у фискалов, где-то в глубине информационно-справочного департамента, останется старый добрый идентификационный, но сам по себе он станет не нужен. 

И да, в таком случае необходимо запретить удаленную выдачу базового ключа. Заблокировать удаленно — пожалуйста. Выпустить новый — будь добр, иди в центр плательщиков налогов, с паспортом, биометрией... 

Во-вторых, допиливать систему госслужбы по вопросам защиты персональных данных. Как минимум — готовиться к тому, что телекоммуникационные провайдеры уйдут в тот же класс защиты, что и банки, страховщики и медики. По той банальной причине, что угон телефонных номеров — это одновременно и угон идентификации и персональных данных. Среди связистов должны попасть те, кто дает голосовые услуги с использованием национального номерного фонда, и логистика работающая с переводом средств (во всем мире — тактика почтовых банков, наши тормозят). 

Да, кстати, штраф за несанкционированый сбор персональных данных сейчас такой же, как за выход в карантин без маски — 17000 грн.

promo akirich_pcroom september 1, 2013 01:18
Buy for 10 tokens
Размещайте рекламу в промо по уникально низким ставкам! Правила размещения промо в моем ЖЖ. Даже несмотря на непостоянство показов в данном журнале действуют ограничения по тематике промоутируемых материалов. Рекламируемый материал должен содержать материалы подходящие для группы 12+.…

Error

Anonymous comments are disabled in this journal

default userpic

Your reply will be screened

Your IP address will be recorded