В последнее время СМИ практически каждый день сообщают о краже личных данных граждан, они стали популярным товаром на черном рынке информации в даркнете. Снижается сложность использования технических и программных средств, применяемых для хищения информации. Они становятся доступными даже школьнику, вредоносные программы свободно размещены в Интернете, а готовые скрипты позволяют начинающему хакеру создать программу, способную украсть не очень хорошо защищенную информацию.

Кто рискует утратить данные

Персональные данные граждан утекают из двух источников – информационных систем организаций и личных устройств граждан, мобильных или стационарных. Если на организации и используемые ими средства защиты может повлиять регулятор – Роскомнадзор, ФСТЭК, Центробанк, то граждане беспечны и часто добровольно передают информацию мошенникам. В 2020 году уже сообщалось, что наиболее популярным способом похищения персональных данных стала установка программных ловушек при заходе на сайт-обманку с мобильного устройства. В этом случае похищаются сведения о номере телефона и паспортные данные, которые вводились при приобретении мобильного устройства. Также часто в телефоны внедряется вредоносное программное обеспечение.

Пять самых распространенных способов похищения персональных данных:

1. Социальная инженерия. В большинстве случаев граждане сами сообщают номера кредитных карт, логины и пароли неизвестным, представляющимся сотрудниками безопасности банков, или переходят по ссылкам, в фишинговых письмах.

2. Интернет-магазины и агрегаторы заявок на мини-кредитование, специально создаваемые для сбора информации. Такие сайты собирают данные при помощи вредоносного кода или просто агрегируют их в большом объеме для дальнейшей перепродажи.

3. Сайты объявлений. Они не всегда защищены и безопасны, в итоге при оплате за продвижение объявления можно «засветить» данные банковской карты.

4. Интернет-ресурсы содержащие вредоносный код.

Базы, содержащие ПД, попадают в даркнет из-за намеренного хищения информации у операторов, банков или провайдеров мобильной связи.

Интересно, что граждане, напуганные информацией из СМИ, часто отказываются взаимодействовать даже с добросовестными операторами, например, записываться на прием в поликлинику по Интернету.

Статистика утечек

По данным аналитиков в 2019 году было скомпрометировано 1,04 млрд пользовательских записей, что в 27 раз больше, чем годом ранее. Наиболее часто индивидуальные данные граждан похищают из личных кабинетов банков и интернет-магазинов, особенно подвержены рискам утечек данных небольшие банки, использующие серые схемы платежей и не считающие необходимым полностью применять рекомендации регуляторов.

Центробанк в 2019 году опубликовал доклад, в котором рассмотрел наиболее популярные способы хищения индивидуальной информации. Специалисты регулятора отметили, что до 97 % преступлений происходят при помощи использования методов социальной инженерии.

Уголовно-правовое и административное регулирование

Кража персональных данных наказывается в рамках административного и уголовного права. Самостоятельной нормы УК РФ, предусматривающей ответственность именно за похищение ПД, не предусмотрено.

Суд, в зависимости от сути преступления, применяет один из двух составов:

• ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»;
• ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

Наказания по обеим нормам невелики – от штрафа в несколько тысяч рублей до ограничения права занимать определенные должности. В самых серьезных случаях, при наличии существенного ущерба, использовании служебного положения или публичном распространении информации о несовершеннолетних они не превышают 5 лет лишения свободы. Но эти нормы УК РФ широко применяются при расследовании преступлений, связанных с нарушением мер защиты индивидуальных данных, предусмотренных законом «О персональных данных» № 152-ФЗ.

Способы кражи данных с использованием социальной инженерии

Популярная сегодня социальная инженерия, вынуждающая граждан добровольно передавать данные граждан мошенникам, не преследуется уголовным законодательством. Под этим термином понимается совокупность навыков манипулирования человеком. Крайне редко социнженерию можно квалифицировать как мошенничество или обман и злоупотребление доверием с целью завладения чужим имуществом.

Для квалификации похищения персональных данных по ч. 3 ст. 158 УК РФ необходимо установить факт кражи денег с банковских счетов, сопровождающийся высокотехнологическими хакерскими атаками или использованием средств манипуляции личностью либо средствами социальной инженерии. В судебной практике встречается упоминание методов социальной инженерии, при помощи которых создавался сайт, схожий по дизайну с интернет-магазином обуви.

По сути, мошенники завлекают посетителей на фишинговый сайт, чтобы внедрить в их компьютеры вредоносный код, созданный с целью хищения и дальнейшей продажи персональных данных. В случае многократной повторяемости такого преступления и причинения существенного вреда интересам граждан есть вероятность, что дело будет доведено до суда и приговора. Высокая квалификация сотрудников правоохранительных органов помогает проводить анализ информационной системы злоумышленника, устанавливать факт внедрения вредоносного кода и его использования с целью хищения данных.

Как избежать похищения персональных данных

Для защиты от похищения информации пользователи должны соблюдать простые правила безопасности, которые помогут избежать дальнейшего хищения не только конфиденциальной информации, но и из электронного кошелька или с банковской карты:

• никогда не сообщать данные своей учетной записи или банковской карты по телефону, кем бы ни представился человек на другом конце линии;
• никогда не предоставлять персональные данные организациям и гражданам, лично или по Интернету, без оформления письменного согласия;
• совершать платежи через Интернет, с помощью отдельной банковской карты с минимальной суммой на счету;
• контролировать использование и распространение своих ПД и персональных данных детей, например, исключать случаи публикации сведений о детях в открытом доступе на сайте образовательного учреждения, например, путем обращения в Роскомнадзор;
• использовать средства фильтрации электронной почты, это поможет избежать проникновения вредоносных программ и фишинговых писем;
• использовать средства защиты баз данных телефонов и адресов знакомых, дополнительные пароли, архивирование, шифрование;
• в случае выявления утечки своих ПД, например, появления их в продаже в открытых источниках, при понимании, какой оператор виновен в утечках, взыскивать с него причиненный финансовый и моральный ущерб;
• никогда не передавать логины и пароли от любых учетных записей третьим лицам, даже коллегам по работе в производственных целях.

Выявление похищения персональных данных должно побудить гражданина немедленно совершить ряд действий в защиту своих интересов:

• обратиться с заявлением в Роскомнадзор, если выяснилось, что утечка произошла от легитимно получившего персональные данные оператора. Направить заявление можно по электронной почте, воспользовавшись формой на сайте ведомства, обычной почтой, заказным письмом с уведомлением о вручении, при личном визите в региональное подразделение на прием к руководителю;
• подать заявление в прокуратуру, а если можно предполагать, что в данной ситуации применяется ст. 137 УК РФ, – в МВД РФ с просьбой проверить сведения и возбудить уголовное дело;
• незамедлительно сменить логины и пароли на всех устройствах, заблокировать скомпрометированную карту;
• установить на мобильные устройства антивирусные программы.

Выполнение этих рекомендаций поможет устранить причину похищения ПД и привлечь к ответственности преступника или недобросовестного оператора. Процесс обработки персональных данных часто связан с тем, что недобросовестные сотрудники совершают хищение информации ради перепродажи, и не всегда оператор готов нести ответственность за недобросовестность сотрудника. Эти обстоятельства следует учитывать, определяя виновника причиненного ущерба. В рамках Федерального закона «О персональных данных» оператора-организации или его должностное лицо можно привлечь к административной ответственности, сотрудник понесет уголовную по 137-й или 272-й ст. УК РФ.

КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ, любое противоправное действие, при котором компьютер выступает либо как объект, против которого совершается преступление, либо как инструмент, используемый для совершения преступных действий. К компьютерным преступлениям относится широкий круг действий, которые можно разделить на четыре категории: кража компьютерного оборудования; компьютерное пиратство (незаконная деятельность в сфере программного обеспечения); несанкционированный доступ к компьютерной системе в целях повреждения или разрушения информации; использование компьютера для совершения противозаконных или мошеннических действий. Поскольку компьютерные системы получают все более широкое распространение, а деловые круги во все большей степени полагаются на компьютеры и часто хранят на них конфиденциальную информацию, преступники находят все больше путей использования компьютеров для совершения противоправных действий.

Кража компьютерного оборудования.

Наиболее очевидной формой компьютерных преступлений является кража компьютерного оборудования и компонентов из мест их производства, продажи или эксплуатации. Воры похищают компьютеры, принтеры и другое оборудование, чтобы нажиться на их перепродаже. Украденные изделия обычно продаются на черном рынке. Компьютерная отрасль положила начало «серому» рынку, который, строго говоря, не считается нелегальным, но действует, не используя общепринятые каналы распространения и продаж. На сером рынке неофициальные дилеры продают товары, купленные в других странах по более низким ценам или у какого-нибудь официального дилера, закупившего, в расчете на значительную скидку от изготовителя, больше аппаратуры, чем он был в состоянии продать. Компьютеры, продаваемые на сером рынке, зачастую имеют поврежденные заводские номера и не обеспечиваются гарантией.

Компьютерная техника и микросхемы обладают высокой стоимостью. Один лишь микропроцессор, интегральная схема или группа микросхем, предназначенных для обработки информации, могут стоить 100 долл. и более. Микропроцессоры и другие компьютерные микросхемы не имеют заводских номеров, что затрудняет их отслеживание. Высокая ценность таких микросхем и трудность идентификации делают их мишенью преступных организаций, которые часто продают похищенные микросхемы на рынках в считанные часы после хищения. Чтобы ограничить воровство микропроцессоров, изготовители микросхем разрабатывают различные способы гравировки заводских номеров на микросхемах или внесения идентифицирующей информации в цепи микросхемы.

Организованные преступные группы проявляют изобретательность и расширяют масштабы грабежа компаний, выпускающих микропроцессоры, схемы памяти и другие компоненты компьютеров. Ежегодно стоимость микросхем и других компонентов, похищенных в «Кремниевой долине» (шт. Калифорния; иногда называемой также «Силиконовой долиной») оценивается в 100 млн. долл. В 1996 органы поддержания правопорядка в США раскрыли несколько преступных группировок, действовавших в сферах высокотехнологичных отраслей, обнаружив и изъяв у них электронные компоненты на миллионы долларов.

Пиратское использование программного обеспечения.

Компьютерные программы защищены авторским правом, и, следовательно, их нельзя репродуцировать и использовать без разрешения правообладателя. Пиратские действия в области программного обеспечения – это несанкционированное копирование компьютерных программ для собственного пользования или перепродажи. Часто какая-либо компания или физическое лицо, которые приобрели, например, одну копию той или иной программы, полагают, что это дает им право копировать данную программу. В действительности такое копирование противозаконно до тех пор, пока оно не будет разрешено специальным соглашением (лицензией), оговаривающим условия ее использования.

Некоторые люди, стараясь не нарушать законы, все же покупают копию программного обеспечения, а не оригинальную программу у того, кто ее выпускает. Незаконное тиражирование копий программ и продажа фальшивых версий популярного программного обеспечения осуществляется в широких масштабах. Нарушение авторских прав и пиратство в области компьютерного программного обеспечения оказались также в центре международных экономических отношений. Фальшивые программные средства можно приобрести по очень низким ценам на блошиных рынках, в розничной торговле, на восточных базарах и в других слабо контролируемых местах торговли.

Хакерство.

Один из видов компьютерных преступлений называют «хакерством» (этот термин относится к несанкционированному входу в компьютерную систему). Чтобы получить доступ к «защищенной» компьютерной системе или сети, пользователь должен иметь пароль. Хакеры пользуются множеством разных способов для того, чтобы распознавать секретные пароли или обойти парольную защиту системы. Возможность вторжения в компьютеры по телефонным сетям и через сложным образом связанные между собой компьютерные системы, не оставляя после себя отпечатков пальцев или следов, существенно затрудняет идентификацию и задержание хакеров.

Оказавшись «внутри» компьютерной системы, хакер может изменить, удалить или скопировать данные, хранящиеся в сети. Хакер может собрать конфиденциальную личную и финансовую информацию о компаниях и отдельных лицах, а затем использовать ее с помощью вымогательства или путем банковского мошенничества. Он может перехватить информацию, передаваемую по линиям связи, скопировать данные, передаваемые по сети Интернет, зафиксировать номера кредитных карточек и личные пароли. Хакер может ввести в систему программные коды или изменить существующие, в результате чего компьютеры будут выполнять команды этого хакера. Так, например, хакер может разместить небольшую программу на одном из сетевых серверов, чтобы собрать пароли законных пользователей сети. Располагая паролями, хакер затем может снова проникнуть в сеть, но уже с меньшими трудностями. Со времени появления персонального компьютера хакеры многократно вторгались в компьютерные системы, чтобы манипулировать данными всеми мыслимыми способами – от исправления своих школьных оценок и счетов за телефонные разговоры до «вторжения со взломом» в кажущиеся надежно защищенными системы правительственных и финансовых организаций.

Хотя такие действия противозаконны, не все хакеры действуют с преступными намерениями. Многие из них при этом пытаются решить ту или иную техническую задачу либо преодолеть систему защиты компьютера в целях самоутверждения. Поскольку термин «хакер» может иметь и положительное значение, дающее образ смышленого программиста, способного соединить в одно целое коды программ и заставить компьютеры выполнять сложные задания, то тех, кто вламывается в компьютерные системы с преступными намерениями, называют «взломщиками» (crackers). Термин «телефонные жулики» (phone phreaks) используется для характеристики людей, детально разбирающихся в телефонных системах и использующих свои знания и опыт для того, чтобы делать телефонные вызовы, которые не поддаются прослеживанию и за которые телефонная компания не в состоянии выставить счет.

Хакеры, кракеры и телефонные жулики – это обычно молодые люди, и Интернет служит для них виртуальным сообществом, где они могут поделиться своими секретами и другой информацией, а также похвастаться своими «подвигами». Поскольку ни одно правительство не имеет юрисдикции над киберпространством и Интернет вообще трудно защитить обычными законами, глобальная сеть оказалась привлекательной сферой действий для хакеров. В то же время Интернет стал одним из новых средств борьбы с преступностью, так как полиция использует собираемую по сети информацию для отслеживания и задержания лиц, совершающих противоправные действия.

Программные вирусы.

Программный вирус – это компьютерная программа, рассчитанная на то, чтобы нарушить нормальное функционирование компьютера. Вирус можно рассматривать как досадную помеху, но повреждение, которое он способен причинить хранящимся данным, является преступлением. Хакеры, пишущие такие программы, подвергаются арестам, судебным преследованиям и наказаниям за совершенные ими правонарушения. Обычно вирусная программа встраивается в другую внешне вполне безобидную программу, например такую, как утилита для обработки текста, которую можно бесплатно получить из сети Интернет или из какой-либо другой компьютерной системы с электронной доской объявлений. Когда такая утилита исполняется на компьютере, он освобождает вирус, который выполняет те неправедные дела, на которые его запрограммировали. Некоторые вирусы скорее пустячные или фривольные, нежели зловредные. Они могут воспроизвести на экране эксцентричное сообщение и затем стереть его из памяти компьютера, чтобы нельзя было проследить их происхождение. Однако многие вирусы повреждают основные характеристики компьютера или данные. Известны вирусы, копирующие себя в память компьютера, что вызывает замедление работы компьютера, вплоть до его предельной перегрузки вирусом и невозможности выполнения своих задач. Вирус может также стереть важные компьютерные файлы или разрушить и даже уничтожить данные на жестком диске. Большинство вирусных программ написано способными программистами в качестве эффектных трюков, демонстрирующих высокий уровень их технических знаний. Чтобы противодействовать таким вирусам, компании разрабатывают программы обнаружения вирусов, которые распознают и удаляют вирусы из зараженных компьютеров, а также защищают компьютеры от инфицирования.

Компьютерное мошенничество.

Компьютеры могут быть использованы и в качестве инструментов для совершения различных преступлений, начиная от распространения противозаконных материалов и кончая содействием бизнесу, основанному на мошенничестве.

Интернет и различные оперативные информационные службы, такие, как «Америка онлайн» и «Компьюсерв», использовались для распространения порнографии и других материалов, которые могут рассматриваться как противозаконные, безнравственные или вредные. Так, в США считается противозаконным распространение «детской порнографии». Пользуясь цифровой фотокамерой или сканером, правонарушители создают электронные порнографические изображения и рассылают их по электронной почте. Такая деятельность может оставаться необнаруженной, если материалы пересылаются от одного частного абонента электронной почты к другому. И все же полицейские органы США обнаружили и прекратили деятельность нескольких преступных групп, занимавшихся распространением материалов детской порнографии по компьютерным сетям.

Для обмана людей использовалась сеть Интернет. Возможность послать электронную почту практически любому адресату или опубликовать информацию в WWW позволяет любителям легкой наживы выпрашивать деньги на всякие разновидности мошеннического бизнеса, включая различные варианты быстрого обогащения и чудеса с похудением.

Другой тип мошенничества встречается, когда мошенник скрывает свою истинную личность при посылке сообщений электронной почтой или разговоре в реальном времени в «дискуссионных комнатах» оперативных информационных служб. Часто в диалоге такого рода пользуются вымышленными именами, чтобы обеспечить себе анонимность, которая позволяет людям беседовать более откровенно. Иногда такой аноним может выдать себя за лицо другого пола или возраста, чтобы воспользоваться доверием собеседника в преступных целях.

Законы в киберпространстве.

Поскольку свободный информационный обмен через космос посредством компьютерных сетей представлял собой одну из новинок конца 20 в., законы об охране авторских прав и неприкосновенности частной жизни, а также регламентации связи еще недостаточно разработаны. В конце 20 в. компании занимались разработкой юридических норм и пакетов программных средств, которые могли бы защитить базы данных, а также конфиденциальную финансовую информацию.

До сих пор навести правовой порядок в работе сети Интернет не удается. Сеть не имеет физически выраженных географических границ, а передаваемая по ней информация трудно поддается оценке и контролю. Кроме того, законодатели, судьи и представители исполнительной власти часто не разбираются в новых технологиях, что затрудняет для них решение вопросов о принятии законов и о судебном преследовании за совершение компьютерных преступлений.

См. также КОМПЬЮТЕР; ИНТЕРНЕТ; ОПЕРАЦИОННАЯ СИСТЕМА; ИНФОРМАТИКА.

Кража данных — несанкционированное извлечение информации из мест ее хранения, которое обычно осуществляется путем взлома сетевых ресурсов. Объем и ценность данных с каждым годом увеличиваются, а с ними неизбежно растет и число краж. Киберпреступники похищают информацию у государственных структур, больших и малых компаний, некоммерческих организаций, частных лиц.

Последствия умышленных утечек такого рода могут быть самыми разными — от потери деловой репутации до серьезных межправительственных скандалов, хотя чаще всего кража информации в конечном итоге означает потерю денег.

Классификация и способы кражи данных

Все хищения данных осуществляются либо перехватом сообщений на линиях связи, либо через воровство носителя информации. Основные сценарии описаны далее.

Кража физического носителя

Самый прямой и грубый способ. Большинство современных устройств — ноутбуки, смартфоны, планшеты, подключаемые внешние диски и флешки — достаточно малы, чтобы можно было украсть их мимоходом, пройдя рядом со столом, где они лежат (например, если владелец отлучился на минуту от рабочего места).

У крупных компьютеров можно похитить жесткие диски, причем не обязательно безвозвратно. Весьма легко вообразить злоумышленника, который извлечет диск после окончания рабочего дня, скопирует всю интересующую его информацию и вернет накопитель на место ранним утром следующего дня. В таком сценарии владелец устройства даже не догадается о несанкционированном доступе к его данным.

Кража при доступе к носителю

При наличии физического доступа к носителю можно просто поработать на компьютере в отсутствие хозяина. Обеденный перерыв, длительные совещания, время после ухода по окончании рабочего дня — у коллеги-злоумышленника есть немало способов посидеть за чужой клавиатурой. Если пароль учетной записи слаб или вообще отсутствует, то украсть данные сумеет любой, кто работает рядом. Впрочем, даже очень хороший пароль не всегда спасает: в конце концов, сотрудник может открыто попросить разрешения воспользоваться устройством, сославшись на неисправность собственного компьютера и необходимость срочно отправить письмо или файл. Далее, например, к машине подключается флешка с вредоносной программой, скачивающей данные.

К этой же категории относится возможность подсмотреть информацию. Распространены случаи, когда множество сотрудников работает в одном большом помещении без перегородок, и соседям хорошо видно, кто что делает. Соответственно, преступник может как наблюдать лично, так и установить небольшую камеру, которая запишет все, что выводилось на экран чужого монитора.

Удаленная кража по сети

Если машина подключена к проводной или беспроводной сети, то прямой физический доступ к ней необязателен. В интернете доступно множество вирусов, троянских программ, бекдоров и прочих вредоносных агентов, которые злоумышленник может внедрить разными способами (скажем, путем эксплуатации уязвимостей). Также данные могут быть перехвачены при помощи снифферов, если каналы связи плохо защищены.

Кража данных с внешних серверов

Наконец, если данные хранятся в интернете (в облачном хранилище, на почтовом сервере и т.п.), то преступники могут осуществить несанкционированный доступ к этим ресурсам. Для пользователей такой сценарий опасен тем, что помимо установки хорошего пароля у них нет никакой другой возможности повлиять на сохранность информации — всё программное обеспечение и все настройки доступа осуществляет владелец сервиса.

Объекты воздействия

Объекты краж данных можно разделить на два основных типа: физические носители информации и логические (виртуальные) сущности.

Доступ к физическим носителям возможен путем прямой кражи, временного выноса за периметр, обращения с просьбой к владельцу компьютера о возможности недолго поработать на его машине. Также злоумышленник может установить с внешнего носителя вредоносные программы, которые крадут и передают данные по сети на внешний сервер.

Информационно-логическое воздействие осуществляется посредством поиска уязвимого или устаревшего ПО, незащищенных портов, путем подбора логинов и паролей. Последнее, к слову, актуально и в случае хищения носителей — с той разницей, что при краже ноутбука или смартфона преступник может не торопиться, тогда как временный либо удаленный доступ подразумевает необходимость взломать систему быстро.

Причины кражи данных

В голливудских фильмах кражи совершают команды профессионалов, где каждый выполняет свою задачу, а сложнейший план рассчитан по секундам. В реальной жизни подавляющее большинство хищений вызвано в первую очередь не мастерством злоумышленника, а беспечностью владельца. Кражи информации — не исключение: в ряде случаев пользователь сам предоставляет доступ к своим активам.

В первую очередь это касается отношения к носителям данных, которые нередко оказываются вне видимости и досягаемости владельца, отлучившегося за чашкой кофе или по вызову начальства, так что украсть их может любой проходящий мимо субъект. Соответственно, смартфоны, флешки, внешние диски лучше всегда носить при себе, ноутбук — оставлять под присмотром надежных друзей, а стационарный компьютер — держать в комнате с физической защитой.

Вход в любую систему должен быть защищен паролем. Полезно иметь сразу три учетные записи — не только администратора и пользователя, но и гостя с минимальными правами (для посторонних лиц). Дополнительно можно шифровать особо важные файлы и папки. Все пароли должны быть сложными — прописные и строчные буквы, цифры, никаких осмысленных слов или связанной с владельцем компьютера информации.

Используемые программы должны своевременно обновляться, антивирус обязателен. По возможности следует избегать любых сомнительных ресурсов — содержащих взрослый либо любой другой запрещенный контент, нелегально распространяющих фильмы, книги, программы, музыку. Многих привлекает идея борьбы с авторским правом, однако далеко не все сторонники свободного распространения информации трудятся бесплатно: скрытый в модифицированном файле вирус обойдется пользователям намного дороже официальной покупки.

Также не стоит переходить по ссылкам, особенно тем, которые поступают с незнакомого адреса. Как правило, они ведут на фишинговые сайты. Ссылки на сайты мобильного банкинга и электронных платежных систем лучше вообще игнорировать, где бы они ни размещались — безопаснее просто набрать нужный адрес прямо в браузере.

Наконец, нельзя поддаваться методам психологического манипулирования (социальной инженерии). Если вам звонит незнакомый человек, представляется сотрудником банка или еще кем-то, просит назвать номер счета, PIN-код, CVC или другую конфиденциальную информацию, то ничего сообщать ему не следует, даже если он будет пугать блокировкой счета, потерей денег и т.п. В таких случаях необходимо связаться с банком по официальным каналам.

Анализ риска кражи данных

Как уже отмечалось, большинство краж обусловлены не хитроумными планами злоумышленников, а беспечностью пользователей. Не оставляйте без присмотра флешку и смартфон, защищайте сложным паролем ноутбук и компьютер, выходите из системы, даже отлучаясь лишь на пару минут — и вероятность успеха преступников заметно снизится.

Особую сложность проблема хищения данных представляет в крупных компаниях. Сотрудники сидят в одном большом зале, каждому видно происходящее на мониторах коллег, и к тому же в помещение могут заходить клиенты либо соседи по офисному комплексу. Информация кочует с компьютера на компьютер на десятках флешек, а практика использования чужих машин является нормой. Иногда существует несколько стандартных логинов и паролей, которые знают все. В таких условиях утечки неизбежны.

В идеальной ситуации каждое рабочее место должно быть огорожено. Если такой возможности нет, отдельные ячейки должны получить хотя бы те машины, где обрабатывается важная и конфиденциальная информация. Не должно быть никаких общих, универсальных аккаунтов и кодов доступа: для каждого сотрудника — персональный логин и пароль. Учетные данные должен выдавать администратор, во избежание появления простых и примитивных комбинаций. Нужно также следить за тем, чтобы на рабочем месте не было стикеров с паролями. Если сотрудник неспособен запомнить пароль, то пусть он хотя бы носит записку с ним в бумажнике: сохранности кошелька должное внимание уделяют все люди.

Желательно приучить всех работников к мысли, что если они разрешают коллеге временно поработать на своей машине, то им лучше выйти из системы: пусть сотрудник входит под своим именем. Это позволяет избежать получения чужих прав доступа и отследить, кто проявляет подозрительную активность.

Важные и конфиденциальные данные на серверах должны быть защищены паролем; желательно, чтобы их видели только те, кому разрешен доступ к ним.

Впрочем, разрабатывая правила защиты информации, нельзя чрезмерно усердствовать. Если данные о закупках туалетной бумаги засекречены подобно устройству ядерной бомбы, сотрудники начинают воспринимать такие меры не как политику информационной безопасности, а как самодурство начальников — и, следовательно, нарушать правила везде, где нет прямого надзора.

Также важно учесть, что любое усиление защиты данных имеет свою цену — как прямую (стоимость программных и аппаратных продуктов), так и косвенную (усложнение работы, снижение производительности). Поэтому комплекс мер по защите информации следует разрабатывать соизмеряя затраты с возможным ущербом от утечки данных.

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом —
наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, —
наказываются штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, —
наказываются штрафом в размере до одного миллиона пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, —
наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.

Комментарий к статье 183 Уголовного Кодекса РФ

Данная статья предусматривает уголовную ответственность за совершение двух деяний, которые отличаются друг от друга объективной стороной и субъектом преступления.

Объект преступления — установленный порядок обращения со сведениями, составляющими коммерческую, налоговую или банковскую тайну.

Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» <1> в ст. 3 определяет, что коммерческая тайна — это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

———————————
<1> РГ. 2004. 5 авг.

Содержание коммерческой тайны составляют сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу: 1) неизвестности их третьим лицам; 2) к которым у третьих лиц нет свободного доступа на законном основании; 3) в отношении которых обладателем таких сведений введен режим коммерческой тайны.

Обладатель коммерческой тайны — лицо, владеющее на законном основании информацией, составляющей такую тайну, ограничившее доступ к этой информации и установившее в отношении ее режим коммерческой тайны. Этот режим заключается в принятии необходимых мер по охране конфиденциальности информации: 1) определение ее перечня; 2) ограничение к ней доступа; 3) учет лиц, имеющих доступ, и (или) лиц, которым была предоставлена или передана такая информация; 4) регулирование отношений по использованию сведений, составляющих коммерческую тайну, работниками и контрагентами на основании договоров (трудовых, гражданско-правовых); 5) нанесение на материальные носители (документы) грифа «Коммерческая тайна» с указанием ее обладателя (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Информация, в отношении которой не установлен режим коммерческой тайны, не считается конфиденциальной.

Сведения, которые не могут составлять коммерческую тайну, предусмотрены в ст. 5 названного Закона (информация об учредительных документах; о численности работников, об условиях труда; задолженности работодателей по выплате заработной платы; о нарушениях законодательства РФ и фактах привлечения к ответственности за совершение этих нарушений и т.д.).

Согласно ст. 102 НК РФ налоговую тайну составляют любые полученные государственными органами (налоговые, внутренних дел, государственного внебюджетного фонда, таможенные) сведения о налогоплательщике, за исключением информации: разглашенной налогоплательщиком самостоятельно или с его согласия; об идентификационном номере налогоплательщика; о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения; предоставляемой в соответствии с международными договорами (соглашениями); предоставляемой избирательным комиссиям в соответствии с законодательством о выборах по результатам проверок налоговым органом сведений о размере и об источниках доходов кандидата и его супруга, а также об имуществе, принадлежащем кандидату и его супругу на праве собственности.

Поступившие в государственные органы сведения, составляющие налоговую тайну, имеют специальный режим хранения. Доступ к ним разрешен должностным лицам, определяемым соответственно федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов, федеральным органом исполнительной власти, уполномоченным в области внутренних дел, федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области таможенного дела <1>.

Банковская тайна — это не подлежащая разглашению информация о банковском счете и вкладе, операциях по счету и сведениях о клиенте (ст. 857 ГК РФ и ст. 26 Федерального закона от 2 декабря 1990 г. N 395-1 «О банках и банковской деятельности» <1>).

———————————
<1> Ведомости СНД РСФСР. 1990. N 27. Ст. 357.

Сведения по операциям и счетам юридических лиц и граждан выдаются кредитной организацией без их согласия только в случаях, предусмотренных законом. Например, такая информация предоставляется в органы внутренних дел при осуществлении ими функций по выявлению, предупреждению и пресечению налоговых преступлений (абз. 3 ст. 26 Федерального закона «О банках и банковской деятельности»).

Объективная сторона преступления, предусмотренного ч. 1 ст. 183 УК РФ, выражается в действии — собирании сведений, составляющих коммерческую, налоговую или банковскую тайну.

Собирание сведений — это получение информации через преодоление принятых ее обладателем правовых, организационных, технических и иных мер по охране конфиденциальности этой информации. Эти сведения могут находиться в форме вещи или на дискете, в виде чертежа, модели, технологий, формулы, символов, технических решений и т.п.

Перечень способов собирания информации диспозицией статьи неограничен (например, похищение документов, подкуп, угрозы), главное, чтобы они были незаконные.

Похищение документов может быть осуществлено любым способом (например, кража, грабеж).

Похищение официальных документов, содержащих сведения, составляющие коммерческую, налоговую или банковскую тайну, полностью охватывается данной статьей и не требует квалификации по совокупности с ч. 1 ст. 325 УК РФ.

Под подкупом понимается передача лицу имущества или оказание ему услуг имущественного характера за завладение соответствующими сведениями в связи с занимаемым этим лицом служебным положением.

Подкуп, осуществляемый в отношении должностного лица либо лица, выполняющего управленческие функции в коммерческой или иной организации, квалифицируется по совокупности со ст. 291 УК РФ и соответственно ст. 204 УК РФ.

О понятии и видах угроз см. комментарий к ст. 179 УК РФ.

Действия, связанные с применением к лицу насилия и причинения вреда здоровью, необходимо дополнительно квалифицировать по соответствующим статьям УК РФ.

К иному незаконному собиранию сведений можно отнести, например, использование в этих целях подслушивающих устройств и других технических средств.

Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем неправомерного доступа к компьютерным сетям следует квалифицировать по совокупности со ст. 272 УК РФ.

Законный сбор информации будет иметь место в случаях, если информация: 1) разглашена ее владельцем; 2) к ней есть свободный доступ; 3) она получена лицом при осуществлении исследований или систематических наблюдений; 4) она получена от ее обладателя на основании договора или другом законном основании.

Деяние является оконченным в момент совершения собирания сведений, составляющих коммерческую, налоговую или банковскую тайну, любым незаконным способом. Состав преступления формальный.

Субъективная сторона преступления, предусмотренного ч. 1 ст. 183 УК РФ, характеризуется виной в виде прямого умысла. Лицо осознает, что незаконным способом собирает коммерческую, налоговую или банковскую тайну, и желает этого.

Мотивы и цели не имеют значения для квалификации. Вместе с тем указанные сведения могут собираться с целью их использования в конкурентной борьбе или иной личной заинтересованностью.

Субъект преступления по ч. 1 ст. 183 УК РФ — вменяемое физическое лицо, достигшее возраста шестнадцати лет.

Объективная сторона преступления, предусмотренного ч. 2 ст. 183 УК РФ, выражается в действиях (бездействии) — незаконном разглашении или использовании сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца.

Незаконное разглашение сведений — это создание виновным таких условий, в результате которых информация, составляющая коммерческую, банковскую или налоговую тайну, в любой возможной форме (устной, письменной, в том числе с использованием технических средств) становится известной третьим лицам, не имеющим к ним доступа. Например, операционистка кредитной организации рассказала знакомому предпринимателю, сколько денежных средств находится на счетах банка у его конкурента.

Под незаконным использованием сведений, составляющих коммерческую, налоговую или банковскую тайну, понимается их применение в любой форме и сфере (предпринимательская, бытовая). Например, налоговый инспектор, обладающий данными о клиентах торговой компании, регистрирует организацию для осуществления аналогичной деятельности.

Незаконное разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, должно быть осуществлено без согласия их владельца. Не является незаконным предоставление указанных сведений в случаях, предусмотренных действующим законодательством (например, передача информации по соответствующим запросам в судебные, налоговые, таможенные органы).

Преступление является оконченным в момент совершения любого деяния, указанного в диспозиции статьи. Состав преступления формальный.

Субъективная сторона преступления, предусмотренного ч. 2 ст. 183 УК РФ, характеризуется виной в виде прямого умысла. Лицо осознает, что незаконно разглашает или использует сведения, составляющие коммерческую, налоговую или банковскую тайну, без согласия их владельца, и желает этого.

Субъект преступления специальный — лицо, которому тайна была доверена или стала известна по службе или работе, достигшее возраста шестнадцати лет. Этими лицами могут являться служащие государственных органов (налоговых, внутренних дел, прокуратуры, суда, таможни), работники кредитных и иных коммерческих организаций, нотариусы, адвокаты.

Разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, лицом, которому она стала известна случайно или по ошибке, не образует состава преступления, предусмотренного ч. 2 ст. 183 УК РФ.

Квалифицирующие признаки преступления, предусмотренного ч. 2 ст. 183 УК РФ, — причинение крупного ущерба и совершение деяния из корыстной заинтересованности (см. комментарий к ст. 170 УК РФ).

В соответствии с примечанием к ст. 169 УК РФ под крупным ущербом понимается денежная сумма, превышающая двести пятьдесят тысяч рублей. С качественной стороны ущерб выражается в имущественных потерях владельца тайны (например, расходы, связанные с переоборудованием производства) и упущенной выгоды (например, недополученная прибыль в результате потери рынка сбыта продукции).

Должностные лица, незаконно разгласившие за взятку сведения, составляющие коммерческую, налоговую или банковскую тайну, которые стали им известны по службе, подлежат также ответственности по ст. 290 УК РФ.

Часть 4 ст. 183 УК РФ устанавливает уголовную ответственность за совершение преступления, предусмотренного ч. ч. 2 и 3 комментируемой статьи, повлекшее причинение тяжких последствий.

Тяжкие последствия — это оценочное понятие, которое устанавливается судом в каждом конкретном случае с учетом всех обстоятельств дела. Например, под ним могут пониматься причинение организации сверхкрупного ущерба или ее банкротство, тяжелая болезнь или самоубийство потерпевшего.

Между деянием и наступившим крупным ущербом и (или) тяжкими последствиями должна быть установлена причинная связь.

Другой комментарий к статье 183 УК РФ

1. Коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (например, секрет производства, который имеет действительную или потенциальную коммерческую ценность в силу неизвестности его третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны).

В ст. 5 Федерального закона от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» <1> определен перечень сведений, которые не могут составлять коммерческую тайну. В других нормативных актах может быть указано на недопустимость ограничения доступа к тем или иным сведениям.

———————————
<1> СЗ РФ. 2004. N 32. Ст. 3283.

2. Налоговую тайну образуют любые полученные налоговым органом, органами внутренних дел, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, за исключением сведений, перечисленных в п. 1 ст. 102 НК РФ.

3. Банковскую тайну составляют сведения об операциях, о счетах и вкладах клиентов и корреспондентов. Сама кредитная организация по своему усмотрению не может изменить перечень сведений, отнесенных к банковской тайне, а также круг лиц, имеющих право получать эти сведения.

Применительно к банкам и иным кредитным организациям следует различать коммерческую тайну самих кредитных учреждений как коммерческой организации и банковскую тайну.

4. По ч. 1 комментируемой статьи ответственность предусмотрена за собирание соответствующих сведений путем похищения документов, подкупа, угроз, а равно иным незаконным способом. Эти сведения должны иметь какой-либо материальный носитель; к ним относятся, например, чертежи, промышленные образцы, изобретения.

Под иными незаконными способами понимаются неправомерные доступ к компьютерной информации, прослушивание телефонных переговоров, ознакомление с корреспонденцией и т.д.

5. Собирание рассматриваемых сведений путем доступа к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, следует квалифицировать по совокупности ч. 1 ст. 183 и ст. 272 УК.

6. Разглашение — это действие или бездействие, в результате которого информация, составляющая ту или иную тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

7. Лицом, которому сведения были доверены, следует считать того, кто, в силу занимаемой должности располагая этими сведениями, использует их при осуществлении профессиональной деятельности. Лицо, которому сведения стали известны по службе или работе, — это работник, который ознакомился с ними при выполнении профессиональных обязанностей. Должностные лица (прокурор, следователь, налоговый инспектор и др.), частный нотариус, частный аудитор, разгласившие или использовавшие подобные сведения, отвечают по совокупности преступлений — по ч. 2 ст. 183 и ст. ст. 286 или 202 УК.

Сведения, которые относятся к определенному человеку, считаются личной информацией. Что делать, если совершена кража персональных данных, какая ответственность грозит преступнику, вы узнаете из нашей статьи.

Что делать, если у вас украли личные данные?

Личными данными человека являются:

• его имя, фамилия и отчество;
• дата и место рождения;
• адрес регистрации;
• доходы и имущественное положение;
• семейное положение и социальный статус;
• номер телефона и адрес электронной почты;
• конфиденциальная информация о здоровье.

Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ (далее — Закон № 152-ФЗ) обязывает всех, кто работает с чужими данными, спрашивать разрешение на это. Так, например, гражданину предлагают подписать согласие:

• при трудоустройстве;
• при взятии в банке кредита;
• при прохождении медицинского осмотра;
• при открытой регистрации на сайте в сети интернет и т.д.

Обратите внимание!

Согласие на обработку личных сведений можно отозвать в любое время.

Ситуации, когда информацией о гражданине используются без его согласия, за редкими исключениями неправомерны и дают основание подозревать, что была совершена их кража. Закон нарушен, если:

• обслуживающая жилищная компания размещает в открытом доступе список лиц, имеющих задолженности по квартплате, раскрывая в нем не только сумму долга по каждой квартире, но и фамилии, имена, отчества собственников жилья;
• сведения о детях, доходах, наличии недвижимости и т.д. распространяются в интернете;
• на личный номер сотового телефона звонят представители неизвестных фирм с рекламными предложениями, при этом называя имя и отчество абонента.

Как только выяснилось, что была совершена кража персональных данных, необходимо заявить об этом в официальные структуры, требовать поиска виновного и восстановления собственных прав.

Куда обращаться?

При краже и использовании ваших персональных данных обращаться следует в Роскомнадзор. Это можно сделать:

• направив заявление в электронной форме;
• направив заявление почтой;
• на личном приеме у руководителя (его зама) местного Управления Роскомнадзора.

Непосредственно хищениями данная структура не занимается, но проводит проверки исполнения требований Закона № 152-ФЗ, в том числе в части использования личной информации сторонними лицами.

Заявление будет проверено, по его результатам возможна передача сведений в правоохранительные структуры. Если ответ Роскомнадзора заявителя не устроит, он может его обжаловать в вышестоящую структуру.

Обратиться с заявлением о нарушении своих прав в рамках Закона № 152-ФЗ можно и в прокуратуру. Будет организована проверка, в которой, возможно, обяжут участвовать и Роскомнадзор. При выявленных нарушениях материалы дела будут переданы в суд.

При нарушении тайны переписки, а значит, при краже личной информации, следует сразу обратиться в Следственный отдел.

Максимальный срок рассмотрения обращений граждан государственными структурами может быть не более тридцати дней. В течение этого времени заявителю обязаны дать официальный ответ о принятом решении.

От выявленного преступника потерпевшая сторона вправе потребовать возмещения ущерба (в том числе морального вреда). Для этого самостоятельно потребуется обратиться с исковым заявлением в суд.

Статья за кражу личных данных

Статья 24 Закона № 152-ФЗ указывает, что те, кто нарушил его нормы, несут наказание. За кражу в России установлена уголовная ответственность.

В ситуациях, когда дело касается хищения персональных данных, применяются нормы ст. 137 УК РФ, содержащей санкции за нарушение неприкосновенности частной жизни. Когда кража происходит путем взлома электронной почты, вскрытия почтовых конвертов с личной перепиской и т.д., применяется ст. 138 УК РФ.

Неправомерные действия лиц могут не содержать состава уголовного преступления, однако нарушать требования Закона № 152-ФЗ. Такие ситуации дают возможность утечки чужой личной информации, а потому тоже наказываются, но в рамках административных мер. Ответственность за нарушение порядка сбора, хранения, использования, распространения сведений предусматривает ст. 13.11 КоАП РФ.

Наказание

За незаконный сбор личной информации о частной жизни человека преступник может понести наказание в виде:

• штрафа в размере до двухсот тысяч рублей;
• штрафа в размере своей зарплаты (иного дохода) за период до восемнадцати месяцев;
• обязательных работ от ста двадцати до ста восьмидесяти часов;
• исправительных работ до одного года;
• ареста до четырех месяцев;
• лишения свободы до двух лет с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до трех лет.

Если чужая частная информация собиралась преступником с использованием своего служебного положения, к нему может быть применено наказание в виде:

• штрафа в размере от ста тысяч до трехсот тысяч рублей;
• штрафа в размере его зарплаты (иного дохода) за период от одного года до двух лет;
• лишения права занимать определенные должности (заниматься определенной деятельностью) от двух до пяти лет;
• ареста от четырех до шести месяцев;
• лишения свободы от одного года до четырех лет с лишением права занимать определенные должности (заниматься определенной деятельностью) до пяти лет.

Получение чужих персональных данных путем нарушения тайны переписки может быть наказано:

• штрафом в размере до восьмидесяти тысяч рублей;
• штрафом в размере зарплаты (иного дохода) виновного за период до шести месяцев;
• обязательными работами до трехсот шестидесяти часов;
• исправительными работами до одного года.

Если преступник использовал при этом свое служебное положение, он понесет наказание в виде:

• штрафа в размере от ста тысяч до трехсот тысяч рублей;
• штрафа в размере своей зарплаты (иного дохода) за период от одного года до двух лет;
• лишения права занимать определенные должности (заниматься определенной деятельностью) от двух до пяти лет;
• обязательных работ до четырехсот восьмидесяти часов;
• принудительных работ до четырех лет;
• ареста до четырех месяцев;
• лишения свободы до четырех лет.

Нарушение порядка сбора, хранения, использования, распространения персональных данных влечет предупреждение либо наложение административного штрафа:

• на граждан — в размере от трехсот до пятисот рублей;
• на должностных лиц — от пятисот до одной тысячи рублей;
• на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Как не стать жертвой кражи персональных данных?

Чтобы не стать жертвой воров, следует придерживаться некоторых правил:

• никому не отдавать свой паспорт, иные документы, удостоверяющие личность;
• не пересылать простыми почтовыми отправлениями важные документы, информацию;
• чаще менять пароли к ящику электронной почты;
• хранить важную информацию не в интернете или на домашнем компьютере, а, например, на флешке, диске.

Кража персональных данных может происходить разным образом, но доказать преступное деяние вполне возможно. Каждая ситуация требует юридического анализа, который позволит разобраться, что сделать, чтобы найти и наказать преступника. По любому вопросу вы можете проконсультироваться у наших опытных юристов по указанным номерам телефонов или через сайт. Адвокаты объяснят порядок действий и оценят перспективу дела.