Утечка
информации из баз данных
Утечка
информации из баз данных, содержащих
персональные данные и сведения из
частной жизни, обычно происходит либо
в результате непреднамеренного
распространения информации, либо в
результате несанкционированного
копирования информации в корыстных
целях или со злым умыслом. При этом
конфиденциальная информация покидает
пределы компании или организации и, в
конце концов, попадает к лицам, не
имеющих прав доступа к этим данным и
их использования.
Пример
3.1. Работа со служебной информацией на
домашнем компьютере.
Анна Волкова работает в налоговой
инспекции одного из округов Москвы.
Налоговая инспекция поддерживает
огромные базы данных о налогоплательщиках
этого округа. В конце года Анне поручили
проанализировать данные о гражданах,
обратившихся в налоговую инспекцию с
заявлениями о получении имущественного
вычета при покупке квартиры. Она собрала
в отчете информацию о количестве
таких граждан, об их именах и фамилиях,
годовом доходе, месте работы, месте
проживания, о стоимости приобретенных
квартир и адресах, по которым расположены
эти квартиры, а также о тех гражданах,
которые повторно обратились за получением
имущественного вычета в связи с покупкой
квартиры.
Для
написания отчета Анне был предоставлен
доступ ко всем файлам на сервере
инспекции. Анне потребовалось несколько
недель, чтобы найти необходимую ей
информацию, поскольку та находилась в
разных местах системы. Собрав
информацию, она скопировала ее с сервера
на жесткий диск своего рабочего
компьютера. Когда подошел крайний срок
сдачи отчета, Анна обнаружила, что
не успевает закончить работу. Она решила
взять работу домой на выходные дни,
чтобы сдать отчет в срок. Для этого она
скопировала информацию (содержащую в
том числе персональную информацию
налогоплательщиков) на 118В
флеш-накопитель и взяла его домой. Анна
проживает в том же округе, где и работает.
Ее домашний компьютер подключен к
Интернету и локальной сети поставщика
сетевых услуг. Анна закончила отчет за
выходные дни. Из осторожности она
сохранила копию отчета на своем домашнем
компьютере, а также скопировала его на
флеш-накопитель, который
взяла
с собой на работу.
Пример
3.1. служит иллюстрацией нарушения
конфиденциальности персональных
данных в результате непреднамеренного
распространения информации. Анна
Волкова унесла на «флешке» домой
конфиденциальную информацию, для
того чтобы работать с ней. Возникает
множество вопросов о правомерности
копирования Анной персональных данных
сначала с сервера на свой рабочий
компьютер, затем со своего рабочего
компьютера на «флешку», и, наконец, с
нее - на домашний компьютер, а также о
хранении этой информации на своем
домашнем компьютере.
Очевидно,
что в результате такого обращения Анны
с данными члены ее семьи или друзья
вполне могли бы, используя ее домашний
компьютер, получить доступ к сведениям
о людях, купивших квартиры, увидеть их
имена,
Глава 3, Информационная и коммуникационная приватность 87
88 Этика
в сфере информационных технологий
адреса
проживания, доходы, стоимость приобретенных
квартир и в дальнейшем воспользоваться
этой информацией. Более того, к этой
информации легко может получить
доступ практически любой, обладающий
некоторыми техническими знаниями,
пользователь локальной сети поставщика
Интернет- услуг. В любом случае, когда
информация перемещается от источника,
становится очень трудно контролировать
ее распространение. Инспекция, в которой
работает Анна, должна иметь политику,
регулирующую обращение со сведениями
частного характера, хранимыми в базе
данных инспекции, и следить за ее
соблюдением. Политика должна описывать
все случаи, когда эти сведения могут
быть предоставлены третьим лицам,
запрещать распространение этой
информации во всех других ситуациях и
определять процедуры уничтожения
персональных данных, в которых больше
нет необходимости.
Пример
3.2. Копирование конфиденциальной
информации нарушителями внутри
организации в корыстных целях [50].
В декабре 2006 года в продаже на московском
«черном рынке» программного обеспечения
появилась банковская база данных,
объединяющая сведения
сразу
из 10 отечественных финансовых
компаний. Любой желающий мог всего за
2 тыс. руб. приобрести диск «Отказы по
кредитам и стоп-листы банков России»
с 3 млн записей о просрочках и неплатежах
по кредитам, а также об отказах в их
выдаче. В базе содержалась информация
об имени каждого заемщика, телефоне,
домашнем адресе, месте работы и причине
попадания в базу: просрочка по кредиту,
отказ в выдаче кредита и другие
компрометирующие обстоятельства
(например, наличие судимости). Дополнительно
указывался банк - источник этих сведений.
Утечку допустили 10 российских банков:
«Русский Стандарт», ХКФ-банк, Росбанк,
Финансбанк, Импэксбанк и другие. Характер
сведений в продаваемой базе данных
свидетельствовал о том, что украсть ее
могли только внутренние нарушители
(инсайдеры), которые работали в этих
банках и имели доступ к конфиденциальной
информации. Более того, поскольку в
базе содержалась информация об отказах
в выдаче кредитов, было очевидно, что
нарушителями являются представители
служб безопасности самих банков, так
как только они располагают этими
сведениями.
После
того, как база данных, содержащая
информацию частного характера,
появилась в продаже, официальные лица
стали искать крайнего и обвинять в
утечке всех подряд. Банки, бюро кредитных
историй, госструктуры - все стали
«сваливать» вину друг на друга. В
результате пострадал авторитет всего
кредитно-финансового сектора страны,
а граждане утратили последние остатки
доверия к банкам и государству. Несмотря
на то, что в утечке информации могла
быть виновата какая-то одна конкретная
организация, все остальные никак не
могли доказать свою невиновность. Это
пример нарушения информационной
приватности миллионов граждан России.
Злоупотребление
персональными данными
Нецелевое
использование персональных данных
способно нанести человеку ощутимый
вред, особенно если речь идет о секретных
данных, требующих особо деликатного
обращения. К ним относится, например,
информация