All inclusive: cам защищает, сам и крадет

Persona (non) grata

добавить в избранное

All inclusive: cам защищает, сам и крадет

Прочитали: 12208 Комментариев: 84 Рейтинг: 105

4 декабря 2018

Как вы знаете, утечки баз данных с информацией о самых различных людях – явление повсеместное. В новостях постоянно подчеркивается, что их причина – желание заработать, с одной стороны, и наличие доступа к данным, с другой. Но описание процесса кражи до сих пор нам не попадалось.

В период до ДД.ММ.ГГГГ на территории Российской Федерации Екимов занимался деятельностью, связанной со сбором, обобщением и систематизацией информации, поступающей от различных кредитно-финансовых, банковских и иных организаций.

Источник

Речь о том, чего в последнее время боятся все: создание централизованных (в том числе межбанковских) баз данных. Например, о злостных неплательщиках.

Указанная информация содержала сведения о так называемых «проблемных» клиентах последних и представляла интерес в деятельности таких хозяйствующих субъектов.

Данные постепенно концентрируются в общих базах, и если компании принимают меры по их защите, то как будет обеспечиваться безопасность централизованных данных – большой вопрос.

В тот же период, желая обеспечить наибольший спрос реализовываемых им компьютерных баз данных, Екимов решил усовершенствовать последние путем внесения в них охраняемой законом компьютерной информации, содержащей сведения о персональных данных неопределенного числа граждан, сведения о которых имелись в базах данных Информационного центра УМВД России.

А вот и слияние нескольких централизованных баз в одну. Мы неоднократно говорили, что лучшая защита персональных данных – их обезличивание, то есть разделение по нескольким базам, в каждой из которых содержится лишь часть информации.

Но если данные можно разделить, то можно и соединить их из разных источников – был бы доступ и ресурсы!

Как же копировались данные? И что делать, если желание заработать есть, а доступа нет?

Для реализации своих преступных намерений Екимов в этот же срок привлек в качестве члена организованной преступной группы Дягилева, которому как бывшему начальнику ИЦ УМВД России по ⟨адрес⟩, имеющему знакомых среди сотрудников данного структурного подразделения органа внутренних дел, за денежное вознаграждение предложил подыскать среди последних соучастника, который с использованием своего служебного положения осуществит неправомерный доступ к базам данных ИЦ УМВД России по ⟨адрес⟩, содержащим информацию о персональных данных неопределенного числа граждан, их копирование на внешний накопитель информации (твердотельный накопитель), и передачу последнего Екимову через Дягилева также за денежное вознаграждение. При этом Екимов сообщил Дягилеву, что подобранный им соучастник в дальнейшем в течение неопределённого периода времени регулярно должен будет осуществлять неправомерное копирование обновлений указанных компьютерных баз данных ИЦ УМВД России по ⟨адрес⟩ на твердотельный накопитель для его последующей передачи Екимову на тех же условиях.

Скорее всего, под «твердотельным накопителем» подразумевается флэшка или другой сменный носитель.

Дягилев подобрал в качестве непосредственного исполнителя преступления и члена указанной группы ранее знакомого ему Постовалова, который в соответствии с приказом начальника УМВД России по Курганской области от ДД.ММ.ГГГГ №л/с с ДД.ММ.ГГГГ занимал должность старшего инженера-электроника вычислительного центра ИЦ УМВД России по Курганской области (впоследствии на основании приказа начальника УМВД России по ⟨адрес⟩ от ДД.ММ.ГГГГ №л/с Постовалов с ДД.ММ.ГГГГ был назначен на должность старшего инженера-программиста вычислительного центра ИЦ УМВД России по Курганской области). При этом согласно своей должностной инструкции, утвержденной начальником ИЦ УМВД России по Курганской области ДД.ММ.ГГГГ (далее по тексту – Должностная инструкция), Постовалов отвечал за автоматизацию учетов в ИЦ УМВД России по ⟨адрес⟩ (п.8); участвовал во внедрении программно-математических и технических средств обработки информации (п.9); осуществлял администрирование баз данных.

А вот и исполнитель, и это действительно сисадмин с полным доступом. Что самое интересное:

Постовалов являлся ответственными за соблюдение требований по защите персональных данных при их автоматизированной обработке в информационных системах.

Блеск: сам защищает, сам и крадет!

Каков же итог?

Денежные средства в сумме 5000 руб., признанные вещественным доказательством, являются средством совершения преступления, и в соответствии со ст. 104.1 УК РФ подлежат конфискации, то есть принудительному безвозмездному изъятию и обращению в собственность государства.

Внешний накопитель информации «Кингстон», признанный вещественным доказательством, подлежит уничтожению, так как являлся орудием совершения преступления...

А сами действующие лица?

Смягчающими наказание обстоятельствами суд признает, руководствуясь положениями ч.ч. 1, 2 ст. 61 УК РФ, Дягилеву и Постовалову активное способствование расследованию преступления, выразившееся в даче последовательных признательных показаний в ходе производства по делу, а также Дягилеву – неудовлетворительное состояние здоровья.

Меру пресечения Дягилеву А.В., Постовалову А.Н. и Екимову В.П. в виде подписок о невыезде и надлежащем поведении, избранных по настоящему уголовному делу, до вступления приговора в законную силу оставить без изменения.

В общем, они раскаялись…

А как может сказаться утечка или взлом на репутации компании? Вот свежий пример:

Ряд контрагентов приостановили сотрудничество до окончания расследования, некоторые разорвали договоры.

Многие кредитные организации приостановили сотрудничество или даже расторгли договорные отношения с банком «Юнистрим». Другие приняли решение о блокировке всей входящей корреспонденции от кредитной организации.

Источник

#киберпреступление #криминал #ответственность #персональные_данные

Антивирусная правДА! рекомендует

Кражи персональных данных продолжатся. Почему? По многим причинам. Наберем в поиске: «вакансия МВД администратор». И вот первая же строка выдачи:

Системный администратор

Москва, Лубянка, Кузнецкий мост
опыт работы не требуется, полная занятость
20 000 — 30 000 ₽

Можно на эти деньги прожить в Москве, тем более если есть семья?

Ну и, чтобы два раза не вставать, мнение компаний о персональных данных:

В распоряжении у Ford Motor Company есть информация об образе жизни владельцев так называемых подключенных автомобилей, собранная с мобильных приложений и информационно-развлекательных систем. Однако, как недавно отметил руководитель компании Джим Хаккет (Jim Hackett), ценным активом также являются данные клиентов, собранные финансовыми отделами Ford.

«На сегодняшний день у нас есть 100 млн владельцев автомобилей Ford. Мы уже знаем и владеем данными своих клиентов. Кстати, мы обеспечиваем их безопасность, клиенты доверяют нам. Мы знаем, чем люди занимаются. Откуда мы это знаем? Они ведь берут у нас взаймы деньги. Мы знаем, кем они работают. Мы знаем, женаты ли они. Как долго живут в своих домах, потому что все это указано в заявлениях на получение кредита. Нам никогда не приходилось бросать вызов тому, как мы это используем. И это рычаги, которые есть у нас благодаря данным», – сообщил Хаккет в подкасте Freakonomics Radio.

Источник

От «клиенты доверяют нам» и до «это рычаги, которые есть у нас благодаря данным».

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

zitkss
22:18:48 2019-04-29

В политике безопасности всегда есть контроль за контролирующим (взаимный контроль), и кто разрабатывал модель угроз? Виноват ряд сотрудников, но это уже совсем другая история...

Korney
02:31:44 2018-12-07

Ну и клоун - за 5000р потерял работу, ещё и дело завели. Халява же..

Вячeслaв Собкор
11:20:11 2018-12-05

@anatol, а ничего не сделаешь в общем случае. Утечка данных от вас не зависит никак. И противодействовать сбору данных о вас вы не можете никак. И противодействовать централизации баз вы не можете.
Ну теоретически вы можете в гостинице или на проходной отказаться давать свои данные и скан. И что? Не пустят вас и все, так как не могут выдать вам пропуск
Есть вещи с которыми надо смириться
Что мы можем делать - так только защищать свои данные, к которым мы имеем доступ. И то частично - от уязвимостей мы не застрахованы никак
Грусть. Мы можем вас проинформировать о риске, но рекомендаций мы дать не можем

alex-diesel Собкор
08:30:04 2018-12-05

@Sasha50, про ГТО
Правильно конечно читать и не подписывать откровенное безобразие. Но даже правильный текст ничего не гарантирует. Текст просто не имеет практического значения, поскольку на него плюют и преступники и, зачастую, правохранители.
А случай вообще занятный.

alex-diesel Собкор
08:21:44 2018-12-05

"Системный администратор... 20 000 — 30 000 ₽ ...
Можно на эти деньги прожить в Москве, тем более если есть семья?"
На самом деле, не только системным администраторам тяжело. Понимаю, что их рубашка ближе к теме, но корень проблем не в низкой оплате сисадминов. Тут напрашивается классический ответ водопроводчика.

зы если не риторически подходить к вопросу, то очень-очень скромно можно даже вдвоем прожить. С детьми, конечно, не представляю как прожить...

razgen Собкор
01:00:46 2018-12-05

Несколько тысяч цветных сканов паспортов лежит в яндекс-картинках в свободном доступе.
Кто и зачем их туда выкладывает?

Lia00 Собкор
00:22:21 2018-12-05

чего только не бывает с персональными данными...

aleks_ku
23:35:35 2018-12-04

Интернет - бизнес и стимул, но кого то толкает на преступление

ALEX
23:00:36 2018-12-04

1. Раньше помогал программе "Жди меня" был доброольным помощником. Поиск людей был следующим,отправлял запрос в Паспортный стол Ф.И.О. ДД.ММ.ГГ. Ответ был следующим зарегистрирован или нет данный гражданин.Место жительство и контакты не разглашались. Разыскиваемый сам мог связаться, если хотел. В общем "гемор"2 полный.Альтернатива была 500 руб за поиск,ради принципа на это не шел. Так, как вышел закон тогда "О персональных данных". Речь о том, что при случае всегда можно в базе покопаться за деньги. 2. На одном сайте частных детективов прочитал статью.Как можно через социальные сети вычислить сотрудников служб.Было это лет 8 назад. Сейчас возможно более серьезно службы контролируют своих сотрудников. Так, что база_ деньги + интернет для нечистоплотных граждан лакомый кусок. Статья на сайте,действительно повод задуматься.Удачи.

stavkafon
22:59:16 2018-12-04

Кто владеет информацией владеет миром.

orw_mikle
22:38:25 2018-12-04

Во многих российских компаниях экономят на защите персональных данных.

kozinka.ru Собкор
22:30:50 2018-12-04

Главное - вовремя раскаяться! И никакого риска!

НинаК
22:24:03 2018-12-04

Признание сбора данных уже не удивляет...

Геральт Собкор
22:20:14 2018-12-04

Персональные данные воровали и будут воровать, это уже ни для кого не секрет.

Александр
22:16:01 2018-12-04

Доверять нельзя никому всюду утечки,коррупция!!!

ek
21:59:23 2018-12-04

Мда.. приглашение на Лубянку без опыта работы... необычно

Dvakota
21:55:29 2018-12-04

Утечка личной информации в большинстве случаев, результат собственной беспечности.

andylew
21:27:18 2018-12-04

Спасибо Доктору за познавательную статью и непревзойденную защиту! Так держать!

kva-kva
21:18:07 2018-12-04

Как легко люди пошли на сговор!

robot
21:09:25 2018-12-04

Держите язык за зубами. И будет вам счастье.

Любитель пляжного футбола Собкор
20:51:20 2018-12-04

@anatol, это так, не от нас это уже зависит. А обычному пользователю следует по крайней мере без надобности не рассказывать о себе лишнего, то, что он не хотел бы, чтобы узнали другие.

Шалтай Александр Болтай Собкор
20:38:02 2018-12-04

Судья: — Эту кражу вы совершили сами? Обвиняемый: — Да, ваша честь. Мы переживаем сейчас плохие времена — никому нельзя доверять.

МЕДВЕДЬ
20:33:58 2018-12-04

Кто владеет информацией владеет миром.

mk.insta
20:18:07 2018-12-04

Данные все больше монетизируются и все более дорогими будут

Сергей
20:13:13 2018-12-04

Кругом утечки личных данных.

Татьяна
20:06:34 2018-12-04

У сисадминов слишком много возможностей и мало ответственности.

В...а
20:00:54 2018-12-04

Накопитель жалко, надо было на нужды суда пустить!

anatol
19:44:28 2018-12-04

Простите не понял, что же рекомендует Dr.Web в данном случае? Я же пришел к выводу персональные данные крали,крадут и будут красть, т.к существует устойчивый спрос. А как обезопасить себя один Бог ведает.

dyadya_Sasha Собкор
19:33:27 2018-12-04

"...Внешний накопитель информации «Кингстон», признанный вещественным доказательством, подлежит уничтожению..."
Это же почти как французский сыр бульдозерами зарывать. Нет, кремируют другого и пепел в качестве вещдока приложат - уничтожен дескать Кингстон. Послужит ещё голубчик, послужит...

Денисенко Павел Андреевич
19:27:34 2018-12-04

30 000 рублей, конечно маловато будет для Системного администратора. Если 30 000 рублей для Оператора ЭВМ, то это еще норма. Статья интересная.

Toma
19:20:30 2018-12-04

Персональные данные плохо защищаются, в этом проблема.

Biggurza Собкор
19:12:44 2018-12-04

Много работы... Много врагов....
P.S.
Скупой комментарий и без стихов...

La folle
18:57:01 2018-12-04

Очень многие ведутся на лёгкие деньги!

Damir Собкор
18:38:18 2018-12-04

Поучительная история, для любителей легких денег.

Ruslan
18:23:46 2018-12-04

К сожалению, сейчас везде собирают персональные данные и куда они в дальнейшем попадают неизвестно. Спасибо за выпуск!

vla_va
18:15:14 2018-12-04

Да, помню, читал в новостях.. неприятно

Дмитрий
18:12:49 2018-12-04

Везде требуют персональные данные. А защищать не научились.

matt1954
18:11:28 2018-12-04

Больше надо сторожить сторожей,но похоже некому :-(...

Влад
18:05:07 2018-12-04

тихо шифером шурша едет крыша не спеша....

Andromeda
17:38:45 2018-12-04

Где только наши персональные данные не гуляют!

tigra Собкор
17:11:48 2018-12-04

"Москва, Лубянка, Кузнецкий мост
опыт работы не требуется, полная занятость
20 000 — 30 000" так это моё обьявление)))

Альфа
17:00:07 2018-12-04

Низкая зарплата это ещё не повод для использования служебного положения в корыстных целях.

Masha
16:54:51 2018-12-04

Базы данных постоянно гуляют по интернету, никто это особенно не контролирует.

Anton_S
16:38:01 2018-12-04

Конечно, при такой зп будет соблазн подработать себе на вкусняшки. Однако не стоит оправдывать преступление низкой ЗП. Нужно выбирать честный заработок, брать подработку, повышать квалификацию, найти другое место работы.

Rider
15:47:43 2018-12-04

Пока есть спрос на такие базы данных,будет и предложение (

Sasha50 Собкор
15:38:45 2018-12-04

Примечание: Текст процитирован без изменений, целиком основная часть.

Sasha50 Собкор
15:35:10 2018-12-04

Недавно моя дочка захотела сдать нормы ГТО (опять такие появились). Ей дали для подписания родителями бланк согласия на обработку данных с таким текстом" Я даю согласие на использование моих и моего ребенка персональных данных. Своей волей и в своих интересах выражаю согласие на осуществление Заказчиком (оператором) любых действий в отношении моих персональных данных и моего ребенка, которые необходимы или желаемы для достижения указанных выше целей,,в том числе выражаю согласие на обработку без ограничения моих персональных данных, включая сбор, систематизацию. накопление. хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение персональных данных при автоматизированной и без использования средств автоматизации обработке; запись на электронные носители и их хранение; передачу Заказчиком (оператором) по своему усмотрению данных и соответствующих документов, содержащих персональные данные, третьим лицам. Хранение моих персональных данных в течение 75 лет, содержащихся в документах, образующихся в деятельности Заказчика (оператора), согласно части 1 статьи 17 Закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», а также при осуществлении любых иных действий с моими персональными данными и моего ребенка, в соответствии с требованиями действующего законодательства РФ и Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Я был в шоке. Пошел на оф. сайт по сдаче ГТО, а там совершенно другой текст (про передачи третьим лицам и хранении 75 лет ничего нет). Распечатал, заполнил и отдал нормальное согласие. А ведь большинство просто подписывают, не задумываясь. И зачем нашим местным физкультурникам такой странный текст и для кого они собирают, передают и хранят данные?

Alex_1774
15:33:20 2018-12-04

Кто будет сторожить сторожей?

eaglebuk
13:55:40 2018-12-04

Эх, уничтожили внешний SSD-диск. Он-то в чём виноват? Как будто это оружие или санкционный продукт)

Dmur
13:27:55 2018-12-04

Персональные данные нужно защищать более тщательно.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

All inclusive: cам защищает, сам и крадет

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей