Тайная жизнь паспортов

Лев Матвеев о том, как и почему растет черный бизнес на личных документах граждан

Лев Матвеев
Игорь Кубединов/ТАСС
Когда речь заходит об информационной безопасности, большинство людей сразу представляют себе хакеров, которые создают сложнейшие программы, чтобы похитить у доверчивых граждан персональные данные или деньги. В нашей реальности все гораздо проще: обычный сотрудник банка имеет доступ к тысячам сканированных паспортов, и для мошенничества с ними не нужно быть компьютерным гением.

Способов незаконно, но с выгодой воспользоваться чужим паспортом хватает: его можно продать, можно взять на него займы в микрофинансовых организациях, можно зарегистрироваться на сомнительных ресурсах. И законные владельцы документов еще долго будут оставаться в неведении.

Огромное количество паспортных данных оседает в различных организациях на вполне законных основаниях. И у человека, по сути, не остается выбора. К примеру, если вы решите заказать что-либо из-за границы, то обязаны предоставить перевозчику сканы паспорта с основными данными, в том числе регистрацией. Это, в свою очередь, проконтролирует Федеральная таможенная служба. И таких обязательств «предоставить копию документа, удостоверяющих личность» хватает во многих организациях.

Вот и получается, что, заселившись, например, в гостиницу, наутро вы можете обнаружить копию своего паспорта, продающуюся за 1,5-6$ на специализированном сайте.

Почему так получается? Ведь закон «О персональных данных» четко указывает, что за их сохранность несет ответственность организация, которая эти данные получила. Однако штрафы за нарушение закона не слишком пугают и обременяют – и, хотя с 1 июня текущего года они выросли, суммы в пределах 15-75 тысяч рублей остаются символическими для юридических лиц.

Часто вижу рекомендации: если вы отдаете в какие-либо организации сканы документов, следите, чтобы они не оказались в руках мошенников. Но как обычный человек может отследить, насколько надежно защищены отданные им документы в десятках мест: от ТСЖ до турагентства?

Аналитики «СёрчИнформ» опросили 3057 специалистов по информационной безопасности, насколько актуальна для отечественных организаций угроза передачи конфиденциальной информации в формате изображений (сканов/скриншотов/фотографий) за пределы компании? Попросили оценить ее по пятибалльной шкале и получили вот такой результат:

31% респондентов признали, что вопрос стоит остро и присвоили проблеме максимальные 5 баллов.
26% опрошенных нашли проблему чуть менее злободневной и присвоили ей 4 балла.
26% респондентов оценили актуальность угрозы на 3 балла.
Еще 17% ИБ-специалистов признались, что о проблеме утечек конфиденциальных данных через изображения почти не задумывались.
11% опрошенных присвоили угрозе 2 балла, 6% – 1 балл.

По сети гуляет достаточно историй, когда ничего не подозревающему человеку начинают звонить коллекторы и требовать заплатить по просроченным кредитам. При этом сам человек не может понять, как такое возможно: он никогда не брал денег там, где теперь с него их требуют.

Обращение в правоохранительные органы нередко оказывается бесполезным – очень сложно доказать наличие состава преступления.

Если же факт кредитного мошенничества (ст.159.1 УК РФ) удается доказать, то и в таком случае потраченные нервы гражданина на улаживание ситуации оцениваются законом в сумму от одной до нескольких десятков тысяч рублей. Поскольку лицо, незаконно распространившее персональные данные, скорее всего, будет привлечено только к административной ответственности за нарушение законодательства РФ в области персональных данных. Если только не удастся доказать его соучастие в уголовно наказуемом кредитном мошенничестве. При этом не исключено, что злоумышленники с этими документами уже обратились в другую кредитно-финансовую организацию за новой порцией легких денег.

То же касается и случаев незаконного использования документов для образования (создания, реорганизации) юридического лица, уголовно наказуемого по ст. 173.2 УК РФ.

Можно, конечно, попробовать взыскать моральный ущерб за причиненные нравственные страдания в рамках гражданского процесса. Но и здесь из-за отсутствия четких методик определения сумм названного ущерба добиться каких-то значительных компенсаций с нарушителей вряд ли удастся.

Порой и сами граждане ведут себя беспечно. К примеру, прошлогодняя история с социальной сетью «Вконтакте» наглядно показала, что наших соотечественников нужно учить основам информационной безопасности. Пользователи сети выкладывали в свободный доступ сканы официальных документов: паспортов, свидетельств о рождении, договоров, ПТС, водительских прав. Так что их количество в графическом формате в соцсети перевалило за 33 млн.

Однако масса документов утекает в сеть все-таки по вине инсайдеров. Сотрудникам компаний проще воспользоваться сканами документов, которые оставили клиенты. Особенно, если работодатель решил сэкономить на средствах защиты.

Или «обезопасил» себя на случай проверки Роскомнадзором весьма условными согласиями на обработку и хранение персональной информации от граждан. Дело в том, что юридический смысл данного документа заключается исключительно в делегировании гражданином-владельцем персональных данных определенного объема правомочий на их использование другому лицу. В согласии ничего не говорится о конкретных способах и средствах, с помощью которых оператор персональных данных намерен защищать полученную информацию.

Для примера приведу инцидент, который произошел у одного нашего клиента. Сотрудник службы безопасности гостиницы обнаружил с помощью политики по отслеживанию сканов паспортов, что некто системно отправляет сканы на внешнюю почту. Расследование показало, что сотрудница ресепшен продавала их на специализированных сайтах. С мошенницей расстались, но разбирательство еще продолжается.

И подобная схема используется в самых разных сферах, ведь паспорта копируют в фитнес- и бизнес-центрах, на проходных режимных объектов и в развлекательных учреждениях.

Качественную защиту сканированных документов обеспечивает далеко не каждая компания, именно поэтому ими так легко воспользоваться. Проблема касается не только небольших фирм, у которых просто нет средств для обеспечения соответствующего уровня защиты.

Ведь, к примеру, чтобы приобрести защитное ПО, гостинице среднего размера придется потратить 250-300 тыс. рублей плюс заложить расходы на ежегодную техподдержку. А штрафы за кражу персональных данных – случай редкий, авось «пронесет»?

Крупный бизнес также не застрахован от подобных инцидентов – абсолютной защиты от них просто нет.

К примеру, служба безопасности крупного банка обнаружила в черновиках личной почты сотрудника фотографии кредитных карт клиентов (DLP «подтянула» фото, распознала и проанализировала текст, когда специалист зашел на почту с рабочего ПК). Расследование показало, что специалист таким образом сливал данные мошеннику: у того был доступ к той же почте, он забирал данные из сохраненных черновиков в почте, а потом выводил деньги со счетов клиентов. За «поставку» жертв сотруднику банка полагался процент.

Обнаружить подобные преступные схемы возможно только в том случае, если технология защиты заточена под поиск и анализ изображений и сканированных документов.

Сегодня мы наблюдаем абсурдную и нездоровую ситуацию: когда организации получили право использовать документы граждан для осуществления своей деятельности, но обеспечивают защиту этих данных весьма условно – нет денег, технической базы и готовых инструментов.

А потому «перекладывают» заботу о сохранности сканов документов на людей, их предоставивших. По сути, человеку, в случае утечки и незаконного использования его документов, придется самостоятельно искать концы и добиваться справедливости через Роскомнадзор, прокуратуру и районные суды.

Чтобы реально исправить ситуацию: сократить количество подобных инцидентов, а вместе с ним поток незаконных микрозаймов и объем черного рынка данных, необходим ряд мер.

Во-первых, нужно, чтобы несоблюдение или нарушение закона обходилось дороже, чем обеспечение необходимого уровня защиты.

Во-вторых, скан-копии документов должны защищаться с помощью соответствующих инструментов – решений с технологиями распознавания и классификации сканированных документов. И чтобы это требование было обязательным.

В-третьих, следует жестко разграничить доступ сотрудников к хранящейся информации, вести учет документов и назначить личную ответственность за несанкционированные и противозаконные действия с ними.

Если уж людей обязывают предоставлять свои документы для обработки и хранения, то по тому же принципу должны внедряться механизмы защиты, а несоответствие им жестко наказываться. Чтобы не получалось, что мы отдаем право делать со своими данными что угодно за условную бумажку под названием «Согласие на обработку персональных данных».

Ускорит дело активная позиция граждан и их массовое обращение с подобной проблемой. Пока же большинство из них просто не подозревает о происходящем, «бизнес» на паспортах находится в тени и очевиден только для специалистов.

Автор — председатель совета директоров «СёрчИнформ». Член Ассоциации независимых разработчиков ПО, член ТПП, реестра российских разработчиков ПО.