А началось всё с того, что американский учёный-компьютерщик Роберт Моррис, будучи ещё аспирантом Корнельского университета, разработал червя, которого выпустил в ARPANET (предок современного интернета) из Массачусетского технологического института. Считается, что произошло это не намеренно, а по ошибке, однако сам Моррис заявил позднее, что сделал это для того, чтобы продемонстрировать неадекватность текущих мер безопасности в компьютерных сетях, используя обнаруженные им дефекты безопасности. В результате червь, используя ряд уязвимостей, смог проникнуть в целевые системы 6000 интернет-узлов США, парализовав их работу.
Урон, который нанёс червь, достиг 53 тысяч долларов. Таким образом Моррис оказался первым человеком, которому было предъявлено обвинение по Закону о компьютерном мошенничестве и злоупотреблениях (CFAA).
Американская Ассоциация компьютерного оборудования, провозглашая День защиты информации, заявила, что таким образом хочет напомнить и пользователям, и производителям оборудования и ПО, насколько важна защита компьютерной информации. С тех пор 30 ноября проводятся различные международные конференции, в ходе которых рассказывается и о новых атаках на незащищённое оборудование, и о разработанных способах борьбы с хакерами, и о многом другом.
Однако нельзя сказать, что интернет стал с тех пор безопасным, а защита – непробиваемой. "Взлоумышленники" совершенствуют методы проникновения, ни на шаг не отставая от разработчиков систем безопасности. Они и базы данных взламывают, получая доступ к самым секретным сведениям, и крадут деньги со счетов банков, как это сделал в 1994 году российский хакер Владимир Левин, который вытащил из системы Citуbank 12 миллионов долларов.
Жертвой хакеров пал, к примеру, крупнейший в мире сервис по обмену биткойнов Mt.Gox, пользователи которого потеряли в общей сложности полмиллиарда долларов.
DDOS-атака, которую устроил "принц Кибербункера" – владелец провайдера CyberBunker Свен Олаф Камфиус с единомышленниками в 2013 году, могла и вовсе "сломать интернет". По оценкам специалистов, это была самая мощная атака, известная на тот момент.
Самый серьёзный интерес у хакеров вызывают компьютеры Пентагона. Число вполне успешных атак на системы Минобороны США точно не известно. Однако взломать серверы американских военных и даже NASA удавалось и совсем юным хакерам. К примеру, Джонатану Джеймсу, который проник на сервер Министерства обороны США в 1999 году, было всего 15 лет.
Зафиксированы атаки и на крупнейшие IT-гиганты. Их целью, конечно, были данные пользователей. К примеру, в 2014 году с серверов Yahoo утекло около миллиарда данных об аккаунтах с сервисов компании. Конечно, представители компании утверждали, что до номеров кредиток злоумышленники добраться не смогли, в их руки попали только имена, телефоны и даты рождения пользователей, но кто точно может это знать?
В 2013-2014 годах хакеры похитили персональные данные, в том числе и PIN-коды кредитных и дебетовых карт, более 100 миллионов клиентов компании Target, которой принадлежит третья по величине торговая сеть США. Сделал это выходец из Китая Го Синчэнь, использовавший вредоносную программу "Картоха".
Перечислять атаки можно очень долго, они продолжаются и в настоящее время, так что о полной безопасности в интернете говорить невозможно, а риск утечки персональных данных есть всегда. Конечно, их можно и избежать, если вовремя анализировать возможные угрозы и правильно составлять реестры данных. Но полной гарантии безопасности, скорее всего, нет.
В России существует на текущий момент ряд публичных, то есть открытых, данных реестров государственных органов. Считается, что наша страна с точки зрения доступа к информации – наиболее прозрачная. А после того, как в 2011-2012 годах стала реализовываться идея "Открытого правительства", граждане получили доступ к различным документам органов и ведомств, что позволяет обществу контролировать их работу. Однако, помимо публичных реестров, существуют и закрытые, доступ к которым ограничен.
Данные граждан России хранятся в самых разных реестрах, и уж больно часто их сливают в открытый доступ. Сколько таких "сливов" становились известны только за последнее время, напоминать, наверно, не надо. Причём "лидером" в этом нередко оказывался Сбер, который любит похвастаться своей "совершенной системой безопасности", притом что именно оттуда уплыли данные о 60 миллионах кредиток.
И на фоне всех этих уязвимостей, хакерских атак и просто сливов возникают серьёзные опасения сохранности данных, которые власти планируют собрать в Единый федеральный информационный регистр, в котором должна будет храниться вся информация о гражданах России от рождения до самой смерти.
Как мы помним, законопроект о цифровизации населения страны Госдума приняла весной текущего года, в самый разгар пандемии. Авторы документа, представленного в российский парламент, указывают, что в идеальном цифровом профиле гражданина будет содержаться около 30 видов сведений о нём.
В их число входят ФИО, дата и место рождения и смерти, пол, СНИЛС, ИНН, семейное положение и прочее. Закон должен вступить в силу уже с 1 января 2022 года. При этом до 31 декабря 2025 года установлен переходный период, в течение которого будут отрабатываться особенности создания и ведения регистра о населении.
Согласно этому закону, Федеральная налоговая служба РФ, собрав воедино данные 12 ведомств, среди которых МВД, Минобороны, Минобрнауки, ФНС, Росморречфлот, ФОМС, ФСС и другие, создаст небывалую по объёму информации федеральную базу. Причём обещаний, что сбор сведений ограничится этими "30 параметрами", никто не давал – возможно, завтра сведения о нас станут собирать по 130 позициям.
Многие специалисты в области "цифры" обеспокоены безопасностью этого единого информационного пространства. По их мнению, получение доступа к информации может стать "уязвимой точкой". Чем больше людей будут иметь возможность получить всю информацию целиком, тем шире возможности для злоумышленников.
А последствия раскрытия информации, которая будет собрана в ЕФИР, могут быть самыми серьёзными. К примеру, продажа баз данных на чёрном рынке, что спровоцирует увеличение случаев мошенничества с использованием чужих данных. Причём слишком велик риск, что если уж "утечёт", то может "утечь" всё и сразу. А уж спрос на содержимое подобного глобального реестра, где содержатся не только личные данные, но и сведения о родственных связях, может быть просто огромный.
Единую базу данных удобно взламывать: один раз потрудишься – и вся информация уже в кармане, считает эксперт в области безопасности Игорь Ашманов. Конечно, есть надежда, что центральная база будет защищаться лучше, чем региональные, но гарантий никаких нет.
Есть и другие претензии к этой глобальной базе данных. Прежде всего, считают юристы, принудительны сбор и обработка персональных данных граждан будет проводиться без получения их согласия, а уже это нарушает статью 24 Конституции России, согласно которой "Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются".
Мало того, что при этом нарушается ФЗ РФ "О персональных данных" – статья 5, гласящая:
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
И это ещё не всё! ЕФИР может создать колоссальную угрозу не только гражданам, но и государственной безопасности, раз уж речь идёт о сохранности собранных данных, а ведь доступ к ним будут иметь все органы власти, как федеральные, так и региональные, независимо от их сферы деятельности, а также органы управления внебюджетными фондами, нотариусы, избиркомы и многофункциональные центры. То есть ни о какой секретности собранных сведений речь в принципе не идёт!
Ведь не просто так даже в ФСБ были шокированы идеей создания подобной глобальной базы данных, также увидев в этом угрозу утечки данных о следователях, судьях, сотрудниках спецслужб, подопечных "службы защиты свидетелей" и других лицах, пользующихся государственной защитой.
То есть велика опасность, что наши персональные данные могут стать добычей не только мошенников, но и западных спецслужб. А учитывая способности хакеров, нельзя исключать, что вся система в какой-то момент может быть взломана. А если вспомнить всё, что мы рассказали в самом начале, подобный риск исключать совершенно нельзя.
