Травень 2020 року відзначився двома гучними скандалами в сфері кібербезпеки:

  • Telegram-бот UA Baza виклав на продаж персональні дані з 5,2 млн водійських посвідчень українців.
  • СБУ затримала в Івано-Франківську кіберзлочинця, відомого в світі під ніком Sanix. Він зібрав базу з 773 мільйонами крадених даних. 

Ці інциденти вкотре привернули увагу до проблем приватності в Україні. Як працює чорний ринок даних і що можна зробити для захисту інформації, розбирався «Український капітал».

Нові технології, старі проблеми

Нелегальна торгівля приватними даними в Україні існує вже десятки років. Ще на початку 2000-х на столичному книжковому ринку «Петрівка» можна було придбати диски з базами виборців, клієнтів банків чи абонентів мобільних операторів. Зараз така інформація продається переважно на спеціалізованих сайтах в даркнеті. Крім того, нещодавно популярною платформою для цього став Telegram — месенджер, що дозволяє продавцям зберігати анонімність і приймати платежі в кріптовалюті.

12 травня голова громадської організації «Електронна демократія» Володимир Фльонц опублікував в Facebook скріншоти з Telegram-боту UA Baza, який обіцяв досьє майже на кожного громадянина України. Доступ до повного архіву (900 Гб) коштував $500, перші п’ять запитів — безкоштовно. Більшість користувачів, що ризикнули «пробити» по базі самих себе, отримали лише дані з відкритих джерел та старі паролі від соцмереж LinkedIn и «ВКонтакте». Проте дехто побачив свіжі фотографії з водійських посвідчень, через що підозри у витоку впали на «Дію». Міністерство цифрової трансформації провину свого сервісу заперечило. А прем’єр-міністр Денис Шмигаль заявив, що злив персональних даних дійсно стався — проте більш ніж пів року тому, коли були старі реєстри.

Скандального бота заблокували, але в Telegram з’явилися його клони, що й досі продовжують роботу. Хто і звідки взяв приватну інформацію українців, має встановити слідство. Поки що експерти з кібербезпеки схиляються до версії, що UA Baza і її «нащадки» є компіляцією окремих баз даних, злитих в різні роки — як з приватних компаній, так і держустанов.

«Подібні до UA Baza «сервіси» існували і раніше. Турбує те, що в даних бота з’являлися і свіжі документи, видані в останні декілька місяців. Це означає, що віз і нині там: захистом даних, що збираються державою, ніхто не займається, і відповідальність за витоки ніхто не несе», — вважає спікер Українського кіберальянсу Шон Таунсенд.

Ціна питання

Адвокат Олександр Тананакін з адвокатського об’єднання «Barristers» повідомив «Українському капіталу», що в 2019 році обсяг чорного ринку приватних даних в світі склав приблизно $300 млрд. В Україні, на його думку, цей показник знаходиться в межах $2-3 млн.

За даними Тананакіна, на українському ринку діють такі розцінки:

  • повна база виборців України (34 млн записів) — $600;
  • повні дані про фізичну особу (фото, паспорт, телефон, паролі від поштових сервісів і облікових записів в соціальних мережах, інформація про родичів) —  600 грн;
  • інформація з банків про стан рахунків —  від 800 до 2000 грн;
  • відомості про перетин державного кордону та наявність кримінальних проваджень — 1000 грн; 
  • деталізація мобільних дзвінків та повідомлень — $200.

Шон Таунсенд розповів, що на хакерських форумах купити електронні поштові акаунти українців можна за ціною менше $1 за одиницю — як оптом, так і в роздріб. Ціна на збірку даних, наприклад, для спамерської розсилки коливається від декількох десятків до декількох сотень доларів за набір. Цільові атаки на конкретних людей чи клієнтів компаній коштують набагато дорожче. 

Інформацією торгують не тільки хакери. За словами Таунсенда, часто це роблять нечисті на руку чиновники та інсайдери компаній, що мають доступ до баз персональних даних — адресів, телефонів, номерів паспортів. Наприклад, минулого року було викрито колишнього полковника поліції, що заробив на дев’ять квартир в Києві, роками зливаючи дані з баз Міністерства внутрішніх справ і Національної поліції України.

Нерідко у витоках винні мікрофінансові компанії, що видають онлайн-кредити. «За неофіційними даними, в Україні їхніми клієнтами є 6 мільйонів людей. Це означає, що в розпорядженні таких організацій знаходяться 6 мільйонів фотографій, копій паспортів та ідентифікаційних кодів, що можуть бути викрадені кіберзлочинцями або продані недобросовісними співробітниками самих компаній», — зазначає адвокат Олександр Тананакін. Маючи скан-копії цих документів, шахраї дистанційно оформлюють на чужі імена банківські картки або нові онлайн-кредити. В середньому свіжий набір з 300 комплектів (скан-копії паспорта та ідентифікаційного коду) коштує $1500. Коли документи вже неодноразово використовувалися і продавалися, ціна знижується до $1.

Правила гри

Хоча ринок приватних даних існує поза законом, він регулюється внутрішніми правилами. За словами Шона Таунсенда, там є свої платіжні системи, обмінні пункти, посередники («гаранти»), страхування угод («депозити»), незалежний суд («арбітраж»), і навіть невеликі податки. Крім того, неабияку роль відіграє репутація: продавець, що видає чужий продукт за свій власний, швидко отримує бан від адміністрації і славу «бариги». Саме таким «баригою», на думку Таунсенда, є сумнозвісний Sanix — 20-річний студент Івано-Франківщини, якого нещодавно заарештувала Служба безпеки України.

З  2017 року він торгував в даркнеті колекціями даних, скомпільованими з чужих баз, через що був заблокований на декількох форумах. Навряд чи Sanix зацікавив би спецслужби, якби в 2019 році на одну з його колекцій не натрапив дослідник кібербезпеки з Австралії Трой Хант. В своєму блозі Хант повідомив, що база містить рекордну кількість даних — 773 млн унікальних електронних адрес і 21 млн унікальних паролів. Про це написали The Guardian, Forbes та Newsweek, а ВВС взяло в загадкового кіберзлочинця інтерв’ю на умовах анонімності. 

Sanix зізнався журналістам, що не володіє хакерськими навичками і жодних даних не краде самостійно — тільки перепродає ті, що вже були злиті. В цей бізнес, за його словами, пішов через безгрошів’я, а для придбання перших баз взяв мікрокредит. 

«Я вклав близько $250, окупилося цілком. Приблизно в 50-100 разів більше, точну суму не назву», — заявив Sanix, додавши, що у порівнянні з конкурентами заробляє «копійки». Тепер йому загрожує до 6 років ув’язнення.

«У ході обшуків за місцем його проживання правоохоронці вилучили комп’ютерну техніку з двома терабайтами викраденої інформації, телефони з доказами протиправної діяльності та готівку від незаконних операцій в сумі майже 190 тис гривень та понад 3 тисячі доларів. Хакеру готується повідомлення про підозру у несанкціонованому втручанні у роботу комп’ютерів та у несанкціонованому збуті або розповсюдженні інформації з обмеженим доступом, яка зберігається в комп’ютерах, за ч. 2 ст. 361, ч. 1 ст. 361-2 Кримінального кодексу України», — Служба безпеки України. 

Засоби протидії

«Для того, щоб ситуація з приватністю даних громадян покращилась, має з’явиться розуміння (у державних установ в першу чергу), що дані потрібно захищати», — говорить Шон Таунсенд. Він вважає, що держслужбовцям доступ до реєстрів треба надавати лише за обґрунтованими запитами, а за надмірну цікавість карати штрафами та звільненнями. Крім того, за словами Таунсенда, не варто об’єднувати окремі бази в одну, бо це підвищує ризики масштабних витоків. 

Ставлення до питань кібербезпеки мають змінити і приватні установи. «Можна запровадити практику штрафувати компанію, яка допустила витік персональних даних своїх клієнтів, у фіксованому розмірі або у процентному співвідношенні до суми річного доходу такого підприємства, наприклад, в розмірі 5-7%, — пропонує адвокат Олександр Тананакін.— Це б суттєво вплинуло на політику компаній щодо захисту власної інформації». 

Голова Всеукраїнської асоціації «Інформаційна безпека та інформаційні технології» Лілія Олексюк дає бізнесу і державним органам такі рекомендації:

  • Провести аудит даних, проаналізувати, як вони обробляються. Відмовитися від обробки непотрібних даних, перевірити заходи щодо захисту необхідних.
  • Привести свою документацію у відповідність із законом: подивитися, які дані обробляються на підставі дозволу, даного законами України (наприклад Податковим кодексом, Кодексом про працю тощо), а які – ні. В разі, якщо немає законних підстав, внести зміни в статутні документи чи у нормативно-правові акти, розробити порядок обробки персональних даних, конфіденційної та комерційної інформації.
  • Визначити вартість наявних баз даних і хоча б 3-10% від неї закладати щорічно на заходи із захисту. Періодично замовляти послуги «білих хакерів» для пошуку вразливостей.
  • Підписувати із співробітниками угоди про конфіденційність із штрафними санкціями за розголошення. Контролювати співробітників, які мають доступ (особливо необмежений) до баз даних. Призначити осіб, відповідальних за захист інформації.

Крім того, Лілія Олексюк радить жителям України слідкувати за безпекою власних даних особисто:

  • Не викладайте в соцмережах конфіденційну інформацію, особливо ту, що може бути використано проти вас.
  • Пам’ятайте, що за вами може слідкувати власний смартфон — зокрема, відстежувати всі місця, де ви буваєте. Змініть налаштування таким чином, щоб збір даних не відбувався «за замовчуванням», а вмикався за вашим бажанням.
  • Не встановлюйте програми, які підключаються до ваших контактів, звуку і відео —  це убезпечить вас від несанкціонованих записів і поширень інформації.
  • Встановлюйте та вчасно оновлюйте антивірусні програми. 
  • Регулярно оновлюйте програми, якими користуєтесь. Бажано, щоб це були ліцензовані продукти від надійного виробника, який у разі виявлення вразливостей вчасно «залатає дірки». 
  • При  взаємодії з організаціями і державними установами завжди цікавтесь, на якій підставі від вас вимагають ті чи інші документи та їх копії — якщо аргументів немає, не залишайте власний «слід» там, де не потрібно.
  • Нікому не передавайте свій електронно-цифровий підпис і не зберігайте його разом з паролем на диску комп’ютера. Тримайте документи в надійному місці. Не залишайте без нагляду і паролю цифрові пристрої, особливо із доступом до банківських програм.
  • Ознайомтесь із законом «Про захист персональних даних». Якщо ваші права було порушено, звертайтесь до Уповноваженого з прав людини, у поліцію чи СБУ.
  • Підвищуйте і розвивайте свої навички кібергігієни — цифрові технології не стоять на місці.