Kako v Rusiji uhajajo osebni podatki?

Znanost in tehnologija
VIKTORIJA RJABIKOVA
Računalniški zlikovci tudi v Rusiji najpogosteje napadajo finančne organizacije. Ampak samo v Rusiji se polovica nepooblaščenih razkritij osebnih podatkov zgodi zaradi nemarnega ravnanja zaposlenih s papirnimi dokumenti.

Kje je največ nepooblaščenih razkrivanj podatkov?

Nepridiprave najbolj zanima denar, zato najbolj napadajo banke in finančne organizacije (25% primerov v Rusiji), pritrjuje raziskava ruskega podjetja za informacijsko varnost podjetij InfoWatch za leto 2018.

18% uhajanj osebnih podatkov (ni tako veliko, ampak so občutne posledice) se zgodi pri državnih in varnostnih organih. Hekerji radi ciljajo tudi na visokotehnološka podjetja (17,1%) in občinske ustanove (12,5%; sem se štejejo uprave mest, kulturni domovi, tabori, ustanove za izdajanje dokumentov ipd.). Niti trgovine, hoteli in hostli niso imuni na takšne primere (4,7%), enako medicinske (4,7%) ali izobraževalne ustanove (3,1%). Še najmanjkrat podatki nepooblaščeno »pobegnejo« v industriji in transportu (1,6%).

Kdo je kriv?

V veliki večini primerov (71,8%) so krivi zaposleni v organih in podjetjih, odstotek je precej večji kot v drugih državah (55,7%). Pogosto so za razkritja krivi tudi šefi podjetij (15,6%). Manjkrat so nevarni zunanji zlikovci (7,9%) ali nekdanji zaposleni (4,7%).

Kako pride do uhajanja podatkov?

V Rusiji večino informacij še naprej najraje hranijo na papirju, čeprav obstajajo digitalne alternative. Kaj pa, če se vse sesuje?

Zato se skoraj 50% primerov zgodi zaradi nemarnega ravnanja z dokumenti v papirni obliki. Ostala razkritja gredo preko brskalnikov, elektronske pošte, oblačnih storitev, USB-ključev, pametnih telefonov in klepetalnikov.

V Moskvi so na primer avgusta 2018 našli celo »deponijo« osebnih podatkov. Moskovčanka je odkrila zapuščen oddelek policije in uprave za migracije, kjer je bilo na tone dokumentov, kot so kopije raznih potrdil, stari potni listi prebivalcev Moskve, kazenske in upravne zadeve, registri o kaznivih dejanjih mladoletnikov, osebne zadeve zaposlenih na oddelku in še marsikaj drugega. Pozneje je medijsko središče MNZ izjavilo, da se je začelo preverjanje in bodo odgovorni za to kaznovani.

Za eno od največjih razkritij podatkov leta 2018 je bil kriv ruski spletni velikan Yandex. Iskalnik je omogočal dostop do vseh odprtih datotek v Google Docs, med katerimi so bili tudi interni dokumenti bank in državnih ustanov. Yandex je medtem zaprl možnost iskanja Googlovih dokumentov, napako pa je obrazložil z besedami, da so se med zadetki znašle samo tiste datoteke, do katerih so uporabniki dovolili dostop s povezavo brez gesla.

So za uhajanje podatkov vedno krivi zunanji dejavniki?

Ne, včasih to počnejo kar zaposleni sami, da bi dodatno zaslužili.

Menedžer velikega telekomunikacijskega operaterja Vimpelkom Sergej Golubjev je dobro vedel, da ruska zakonodaja zapoveduje tajnost telefonskih pogovorov. Ampak neznani naročnik ga je prosil, da naj malo »povohuni« za naročnikom V. in sporoči vse informacije o njegovih klicih in smsih v zameno za denar.

Golubjev je ponudbo sprejel, ampak se mu to ni izplačalo. Bil je odpuščen in kaznovan s 100.000 rublji (1.600 $) globe, je sporočilo medijsko središče sanktpeterburških sodišč prek Telegrama. Koliko je zaslužil, ni znano.

31-letna Ljubov Aganina iz Volgograda iz lokalnega centra za socialno delo pa je od oktobra 2016 do maja 2017 ukradla 4,1 milijona rubljev (65.000 $) z uporabo tujih podatkov. Ona je vpisovala socialne prejemke za ljudi, katerih podatke je dobila od svojega znanca. Potem je bil ta denar poslan na bančne račune državljanov, ki do teh prejemkov niso imeli pravice. Goljufi so denar dvignili v gotovini in ga vzeli zase.

Znanca, ki je posredoval podatke, so obsodili na 3,5 let kolonije splošnega režima. Aganina bi morala iti za zapahe za 4 leta, ampak se bo kazen začela izvajati šele potem, ko bo njen sin dopolnil 14 let (zdaj jih ima šele 7). Ženska je tako dobila skoraj 7-letni odlog.

Kaj pa banke?

Tudi. Jeseni leta 2018 so storilci na posebnem forumu phreaker.pro objavili bazo podatkov o zaposlenih pri Sberbanki. Šlo je za besedilno datoteko velikosti 47 megabajtov z več kot 421 tisoč zapisi, ki so vključevali imena, priimke, uporabniška imena in gesla za vstop v operacijski sistem.

Na začetku junija 2019 so bile javno objavljene baze podatkov o 900 tisoč strankah treh ruskih bank (OTP, Alfa, Home Credit), njihova imena, telefonske številke, potni listi in podatki o delovnem mestu. Razkritje je našel DeviceLock, ki razvija programsko opremo za preprečevanje uhajanja podatkov.

Zakaj prihaja do teh primerov?

InfoWatch izpostavlja več razlogov.

V Rusiji uvajanje orodij za informacijsko varnost zaostaja za hitrostjo digitalizacije. Poleg tega naša družba še ni oblikovala odgovornega odnosa do tujih podatkov, so prepričani avtorji raziskave.

Menedžerji telekomunikacijskih podjetij, bančni uslužbenci, policisti in zaposleni v javnih organih imajo te podatke za svoje in menijo, da lahko s prejetimi informaciji ravnajo, kakor se jim zazdi. Saj mogoče pa ne bo nič narobe.

Kaj storiti?

Avtorji raziskave sklepajo, da velika podjetja in organi oblasti zanesljivo varujejo svoje podatke pred napadi od zunaj, zato je danes glavni cilj, da svoje zaposlene naučijo ustreznega ravnanja s podatki.

Banke UniCredit, VTB in Otkrytye so na primer svojim delavcem prepovedale, da bi fotografirali monitorje s svojim pametnih telefonom. Otkrytye prav tako prepoveduje nalaganje uradnih dokumentov, predstavitev, podatkov o strankah in snemanje službenih pogovorov.

Ali se enako ravnajo banke, ki so jim že uhajali podatki, ni znano.

Priporočamo še:

Tvoj obraz pove vse o tebi: Projekt, ki je razburil ruska družbena omrežja