All inclusive: cам защищает, сам и крадет
4 декабря 2018
Как вы знаете, утечки баз данных с информацией о самых различных людях – явление повсеместное. В новостях постоянно подчеркивается, что их причина – желание заработать, с одной стороны, и наличие доступа к данным, с другой. Но описание процесса кражи до сих пор нам не попадалось.
В период до ДД.ММ.ГГГГ на территории Российской Федерации Екимов занимался деятельностью, связанной со сбором, обобщением и систематизацией информации, поступающей от различных кредитно-финансовых, банковских и иных организаций.
Речь о том, чего в последнее время боятся все: создание централизованных (в том числе межбанковских) баз данных. Например, о злостных неплательщиках.
Указанная информация содержала сведения о так называемых «проблемных» клиентах последних и представляла интерес в деятельности таких хозяйствующих субъектов.
Данные постепенно концентрируются в общих базах, и если компании принимают меры по их защите, то как будет обеспечиваться безопасность централизованных данных – большой вопрос.
В тот же период, желая обеспечить наибольший спрос реализовываемых им компьютерных баз данных, Екимов решил усовершенствовать последние путем внесения в них охраняемой законом компьютерной информации, содержащей сведения о персональных данных неопределенного числа граждан, сведения о которых имелись в базах данных Информационного центра УМВД России.
А вот и слияние нескольких централизованных баз в одну. Мы неоднократно говорили, что лучшая защита персональных данных – их обезличивание, то есть разделение по нескольким базам, в каждой из которых содержится лишь часть информации.
Но если данные можно разделить, то можно и соединить их из разных источников – был бы доступ и ресурсы!
Как же копировались данные? И что делать, если желание заработать есть, а доступа нет?
Для реализации своих преступных намерений Екимов в этот же срок привлек в качестве члена организованной преступной группы Дягилева, которому как бывшему начальнику ИЦ УМВД России по 〈адрес〉, имеющему знакомых среди сотрудников данного структурного подразделения органа внутренних дел, за денежное вознаграждение предложил подыскать среди последних соучастника, который с использованием своего служебного положения осуществит неправомерный доступ к базам данных ИЦ УМВД России по 〈адрес〉, содержащим информацию о персональных данных неопределенного числа граждан, их копирование на внешний накопитель информации (твердотельный накопитель), и передачу последнего Екимову через Дягилева также за денежное вознаграждение. При этом Екимов сообщил Дягилеву, что подобранный им соучастник в дальнейшем в течение неопределённого периода времени регулярно должен будет осуществлять неправомерное копирование обновлений указанных компьютерных баз данных ИЦ УМВД России по 〈адрес〉 на твердотельный накопитель для его последующей передачи Екимову на тех же условиях.
Скорее всего, под «твердотельным накопителем» подразумевается флэшка или другой сменный носитель.
Дягилев подобрал в качестве непосредственного исполнителя преступления и члена указанной группы ранее знакомого ему Постовалова, который в соответствии с приказом начальника УМВД России по Курганской области от ДД.ММ.ГГГГ №л/с с ДД.ММ.ГГГГ занимал должность старшего инженера-электроника вычислительного центра ИЦ УМВД России по Курганской области (впоследствии на основании приказа начальника УМВД России по 〈адрес〉 от ДД.ММ.ГГГГ №л/с Постовалов с ДД.ММ.ГГГГ был назначен на должность старшего инженера-программиста вычислительного центра ИЦ УМВД России по Курганской области). При этом согласно своей должностной инструкции, утвержденной начальником ИЦ УМВД России по Курганской области ДД.ММ.ГГГГ (далее по тексту – Должностная инструкция), Постовалов отвечал за автоматизацию учетов в ИЦ УМВД России по 〈адрес〉 (п.8); участвовал во внедрении программно-математических и технических средств обработки информации (п.9); осуществлял администрирование баз данных.
А вот и исполнитель, и это действительно сисадмин с полным доступом. Что самое интересное:
Постовалов являлся ответственными за соблюдение требований по защите персональных данных при их автоматизированной обработке в информационных системах.
Блеск: сам защищает, сам и крадет!
Каков же итог?
Денежные средства в сумме 5000 руб., признанные вещественным доказательством, являются средством совершения преступления, и в соответствии со ст. 104.1 УК РФ подлежат конфискации, то есть принудительному безвозмездному изъятию и обращению в собственность государства.
Внешний накопитель информации «Кингстон», признанный вещественным доказательством, подлежит уничтожению, так как являлся орудием совершения преступления...
А сами действующие лица?
Смягчающими наказание обстоятельствами суд признает, руководствуясь положениями ч.ч. 1, 2 ст. 61 УК РФ, Дягилеву и Постовалову активное способствование расследованию преступления, выразившееся в даче последовательных признательных показаний в ходе производства по делу, а также Дягилеву – неудовлетворительное состояние здоровья.
Меру пресечения Дягилеву А.В., Постовалову А.Н. и Екимову В.П. в виде подписок о невыезде и надлежащем поведении, избранных по настоящему уголовному делу, до вступления приговора в законную силу оставить без изменения.
В общем, они раскаялись…
А как может сказаться утечка или взлом на репутации компании? Вот свежий пример:
Ряд контрагентов приостановили сотрудничество до окончания расследования, некоторые разорвали договоры.
Многие кредитные организации приостановили сотрудничество или даже расторгли договорные отношения с банком «Юнистрим». Другие приняли решение о блокировке всей входящей корреспонденции от кредитной организации.
#киберпреступление #криминал #ответственность #персональные_данные
Антивирусная правДА! рекомендует
Кражи персональных данных продолжатся. Почему? По многим причинам. Наберем в поиске: «вакансия МВД администратор». И вот первая же строка выдачи:
Системный администратор
Москва, Лубянка, Кузнецкий мост
опыт работы не требуется, полная занятость
20 000 — 30 000 ₽
Можно на эти деньги прожить в Москве, тем более если есть семья?
Ну и, чтобы два раза не вставать, мнение компаний о персональных данных:
В распоряжении у Ford Motor Company есть информация об образе жизни владельцев так называемых подключенных автомобилей, собранная с мобильных приложений и информационно-развлекательных систем. Однако, как недавно отметил руководитель компании Джим Хаккет (Jim Hackett), ценным активом также являются данные клиентов, собранные финансовыми отделами Ford.
«На сегодняшний день у нас есть 100 млн владельцев автомобилей Ford. Мы уже знаем и владеем данными своих клиентов. Кстати, мы обеспечиваем их безопасность, клиенты доверяют нам. Мы знаем, чем люди занимаются. Откуда мы это знаем? Они ведь берут у нас взаймы деньги. Мы знаем, кем они работают. Мы знаем, женаты ли они. Как долго живут в своих домах, потому что все это указано в заявлениях на получение кредита. Нам никогда не приходилось бросать вызов тому, как мы это используем. И это рычаги, которые есть у нас благодаря данным», – сообщил Хаккет в подкасте Freakonomics Radio.
От «клиенты доверяют нам» и до «это рычаги, которые есть у нас благодаря данным».
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
zitkss
22:18:48 2019-04-29
Korney
02:31:44 2018-12-07
Вячeслaв
11:20:11 2018-12-05
Ну теоретически вы можете в гостинице или на проходной отказаться давать свои данные и скан. И что? Не пустят вас и все, так как не могут выдать вам пропуск
Есть вещи с которыми надо смириться
Что мы можем делать - так только защищать свои данные, к которым мы имеем доступ. И то частично - от уязвимостей мы не застрахованы никак
Грусть. Мы можем вас проинформировать о риске, но рекомендаций мы дать не можем
alex-diesel
08:30:04 2018-12-05
Правильно конечно читать и не подписывать откровенное безобразие. Но даже правильный текст ничего не гарантирует. Текст просто не имеет практического значения, поскольку на него плюют и преступники и, зачастую, правохранители.
А случай вообще занятный.
alex-diesel
08:21:44 2018-12-05
Можно на эти деньги прожить в Москве, тем более если есть семья?"
На самом деле, не только системным администраторам тяжело. Понимаю, что их рубашка ближе к теме, но корень проблем не в низкой оплате сисадминов. Тут напрашивается классический ответ водопроводчика.
зы если не риторически подходить к вопросу, то очень-очень скромно можно даже вдвоем прожить. С детьми, конечно, не представляю как прожить...
razgen
01:00:46 2018-12-05
Кто и зачем их туда выкладывает?
Lia00
00:22:21 2018-12-05
aleks_ku
23:35:35 2018-12-04
ALEX
23:00:36 2018-12-04
stavkafon
22:59:16 2018-12-04
orw_mikle
22:38:25 2018-12-04
kozinka.ru
22:30:50 2018-12-04
НинаК
22:24:03 2018-12-04
Геральт
22:20:14 2018-12-04
Александр
22:16:01 2018-12-04
ek
21:59:23 2018-12-04
Dvakota
21:55:29 2018-12-04
andylew
21:27:18 2018-12-04
kva-kva
21:18:07 2018-12-04
robot
21:09:25 2018-12-04
Любитель пляжного футбола
20:51:20 2018-12-04
Шалтай Александр Болтай
20:38:02 2018-12-04
МЕДВЕДЬ
20:33:58 2018-12-04
mk.insta
20:18:07 2018-12-04
Сергей
20:13:13 2018-12-04
Татьяна
20:06:34 2018-12-04
В...а
20:00:54 2018-12-04
anatol
19:44:28 2018-12-04
dyadya_Sasha
19:33:27 2018-12-04
Это же почти как французский сыр бульдозерами зарывать. Нет, кремируют другого и пепел в качестве вещдока приложат - уничтожен дескать Кингстон. Послужит ещё голубчик, послужит...
Денисенко Павел Андреевич
19:27:34 2018-12-04
Toma
19:20:30 2018-12-04
Biggurza
19:12:44 2018-12-04
P.S.
Скупой комментарий и без стихов...
La folle
18:57:01 2018-12-04
Damir
18:38:18 2018-12-04
Ruslan
18:23:46 2018-12-04
vla_va
18:15:14 2018-12-04
Дмитрий
18:12:49 2018-12-04
matt1954
18:11:28 2018-12-04
Влад
18:05:07 2018-12-04
Andromeda
17:38:45 2018-12-04
tigra
17:11:48 2018-12-04
опыт работы не требуется, полная занятость
20 000 — 30 000" так это моё обьявление)))
Альфа
17:00:07 2018-12-04
Masha
16:54:51 2018-12-04
Anton_S
16:38:01 2018-12-04
Rider
15:47:43 2018-12-04
Sasha50
15:38:45 2018-12-04
Sasha50
15:35:10 2018-12-04
Я был в шоке. Пошел на оф. сайт по сдаче ГТО, а там совершенно другой текст (про передачи третьим лицам и хранении 75 лет ничего нет). Распечатал, заполнил и отдал нормальное согласие. А ведь большинство просто подписывают, не задумываясь. И зачем нашим местным физкультурникам такой странный текст и для кого они собирают, передают и хранят данные?
Alex_1774
15:33:20 2018-12-04
eaglebuk
13:55:40 2018-12-04
Dmur
13:27:55 2018-12-04