Андрей Велесюк, IT-обозреватель
Директор по управлению операционными рисками «Вымпелкома» (бренд «Билайн») Виталий Задорожный говорит, что сотовые операторы охраняют данные абонентов так же строго, как и свою конфиденциальную информацию. По его словам, чаще всего базы телефонных номеров попадают в руки злоумышленников из-за сотрудников call-центров, решивших подзаработать. Впрочем, уверяет он, в дальнейшем практически все эти сотрудники предстают перед судом.
Чаще всего базы телефонных номеров попадают в руки злоумышленников по вине сотрудников call-центров, считает Виталий Задорожный
Самое опасное на данный момент — это совместные проекты сотовых операторов с другими компаниями, из-за которых владелец номера может потерять все сбережения с карты, как было в случае с пользователями «Мегафона». Кроме того, бывают дыры в банковских сервисах, а при желании можно получить доступ ко всем вашим SMS, 5-10 минут подержав в руках ваш телефон.
Кроме того, киберпреступники могут попытаться украсть ваши данные напрямую у сотовых операторов. Обычно технологическую инфраструктуру сотовых компаний атакуют три-четыре раза в год, помимо этого сотовики сами регулярно заказывают тесты на проникновение, чтобы понять, какие есть в системе уязвимые места. Но на данный момент самое уязвимое место в дата-центрах — это даже не технологическая инфраструктура, это энергосистема. Из-за перебоев с подачей электричества происходит половина аварий.
Что хранят
В дата-центрах сотовых операторов хранится информация, которую условно можно разделить на три вида.
1) Первый — это внутренняя информация компании: отчетность, данные по тарифам и регионам различной исторической давности, результаты маркетинговых исследований и внутренние конфиденциальные данные.
2) Второй тип — информация об абонентах. Официальной персональной информации операторы знают немного, только паспортные данные. С приобретенными данными, в том числе о ваших перемещениях, все намного интереснее. Так называемая логовая информация — это данные, которые позволяют идентифицировать пользователя: сколько лет он пользуется услугами сотовых операторов, какой его тарифный план, какие услуги подключены, когда, кто и кому звонил или посылал sms. К слову, ваши SMS-сообщения у сотовых операторов хранятся максимум три дня, после чего удаляются, если только речь не идет о специальных сервисах, наподобие SMS Pro МТС.
3) Третий тип, набирающий объемы, — это данные корпоративных или коммерческих пользователей, арендующих место в дата-центре. Здесь объем и характер данных зависит от того, какую информацию решили оставить сами предприниматели.
Технически все выстроено так, что украсть базу данных целиком практически невозможно. К отдельным ячейкам имеют доступ сотрудники оператора. Дилеры в салонах имеют доступ к части информации (детализацию смотреть не могут) и даже к этой неполной информации получают доступ, только введя номер телефона и фамилию, имя, отчество абонента. При несоответствии хотя бы одного из этих четырех элементов ячейка базы дилеру не откроется. А продажа детализаций на сторону бывает, но редко, очень велик риск. В большинстве случаев факт всплывает, жертва жалуется оператору, виновника вычисляют и сразу увольняют, это правило.
«У нас бывало, что определенные части телефонных номеров попадали в руки злоумышленников из-за сотрудников call-центров, которые хотели заработать на этом, — признается Виталий Задорожный. — Но в дальнейшем все эти сотрудники представали перед судом».
Чего нужно бояться
Опрошенные Executive.ru специалисты сходятся в том, что бояться нужно всего. Самое опасное — это совместные проекты, в которых сторонние организации получают доступ к вашему счету в той или иной форме. Но бывают и просто глупые истории, как со Сбербанком, у которого весной 2012 года нашли уязвимость. Тогда выяснилось, что «Сбербанк Онлайн» позволяет подключать сразу несколько номеров, даже если последний не использовался уже долгое время. И, если номер аннулировали за неиспользование, а затем тот переходил к другому владельцу, последний получал доступ к банковскому счету прежнего хозяина. Никакой защиты «от дурака» у банковского сервиса на этот случай не было.
Год спустя уже отличился сотовый оператор. Из-за халатности сотрудников «Мегафона», не защитивших должным образом универсальный портал для работы с сообщениями и социальными сетями UMS (Unified Messaging Solution), злоумышленники получили доступ к тысячам личных кабинетов, а последние получили в совокупности несколько сотен тысяч рублей списаний за контент. Собранная База данных, похоже, была перепродана другим ворам. Последние, имея доступ ко всем SMS жертв, успешно обчистили банковские счета «Тиньков банк».
А зачастую можно обойтись без всяких шпионских хитростей. Достаточно просто подержать в руках несколько минут чужой телефон и потом, с помощью той самой SMS Pro МТС, можно годами читать всю SMS-переписку жертвы.
Как избежать рисков?
Как говорит аналитик Mobile Research Group Сергей Потресов, полностью сделать это невозможно, потому что от нас зависит не все. Эксперт дал несколько советов, которые помогут вам хотя бы не подставляться перед злоумышленниками.
1. Сложные пароли. Удобнее с надежным менеджером паролей, чтобы не пользоваться одним паролем для разных сервисов. Например, узнав или подобрав ваш пароль в Google, злоумышленник сможет отслеживать на карте все ваши перемещения по России и другим странам.
2. Не оставлять телефон без присмотра, даже если это не смартфон.
3. Избегать услуг автопополнения баланса с банковской карты. К сожалению, не все банки и не во всех регионах внедряют дорогую систему верификации по IMSI SIM-карты.
4. Если к номеру телефона привязаны какие-либо банковские механизмы, то номер нужно беречь и не допускать его закрытия «по неактивности».
5. Иметь отдельный телефонный номер для покупок и продаж на разных интернет-площадках и вообще любых действий, связанных с показом этого номера в сети.
6. Периодически просматривать счета, детализацию и список подключенных услуг в вашем «Личном кабинете».
Если все же риски наступили, главное — действовать быстро.
«Странное SMS-сообщение из вашего банка — повод заблокировать счет, а уже потом разбираться, — объясняет Сергей Потресов. — Уведомление о подключенном «нечто» — не спам, а тревожный «звоночек». Необходимо срочно искать описание этого «нечто» на сайте оператора и выяснять причины. В 80% случаев угроз мы получаем предупреждение в той или иной форме. Важно его не проигнорировать и отреагировать быстро».
Где хранят наши данные
Сейчас в России дата-центры чаще всего располагаются в Москве или в Санкт-Петербурге. Как объясняет наш собеседник, это исторический атавизм. «Предприниматели до сих пор считают, что их инженер должен иметь право добраться до нашего сервера, покрутить его и сделать все, что они хотят, — говорит директор по управлению операционными рисками. — То, что все это можно починить удаленно, у многих в голове не укладывается, такой психологический барьер, который еще не сломлен».
Большинство дата-центров в России традиционно построены внутри офисных зданий или идут как пристройка к уже готовым зданиям. В итоге, зачастую это ведет к крайне неэффективному ЦОДу с завышенном энергопотреблением. «Из двух мегаватт, которые мы покупаем у города, по пути на кондиционеры и преобразование энергии до машинного зала доходит максимум мегаватт», — говорит Виталий. Для сравнения он рассказал, что в ЦОД, недавно построенном компанией в Ярославле, из 2 MW до машзала доходит 1,6-1,7 MW.
К слову, ярославский дата-центр «Билайн», построенный одновременно для коммерческих нужд и для внутреннего пользования, будет состоять из шести модулей, достраиваемых по мере необходимости. На данный момент там задействовано 236 стоек, но, по словам эксперта, спрос в любом случае будет расти. Причем специалист считает, что нашумевший закон о защите персональных данных существенным образом не повлияет на строительство новых дата-центров. Напомним, согласно закону, с 1 сентября 2015 года компании будут обязаны хранить обработанные в интернете персональные данные россиян на серверах, которые расположены на территории России. «От этого будет прирост, но не более 20% к тем клиентам, которые и так собирались размещать у нас свои серверы. Скорее повлияет кризис — из-за сокращения финансирований компаниям будет проще арендовать места, чем строить собственные ЦОДы», — резюмировал Виталий Задорожный.
По уровню защищенности, качеству оборудования и технологии резервации данных дата-центры делятся на пять типов. Четыре основных — это Tier I, Tier II, Tier III и Tier IV, где Tier IV — наивысшая категория. И еще есть так называемые trash-центры, которые зачастую представляют собой ангары, с подведенным электричеством и оборудованные копеечной инженерной инфраструктурой, каждый элемент которой выбрасывается на любой аварии. Самые популярные ЦОД коммерческой направленности — Tier II и Tier III. У Tier I отсутствуют уровни резервирования, а Tier IV чаще всего представляет из себя частный ЦОД какой-нибудь крупной компании или правительственного учреждения.
Редакция Executive.ru также обратилась за комментариями об устройстве дата-центров к другим представителям «большой тройки». Пресс-секретарь «Мегафона» Алия Бекетова рассказала, что на данный момент, помимо стандартных сервисов (сетевого оборудования, различных платформ, биллинга), на базе ЦОДов «МегаФона» активно развивается направление облачных сервисов, которые позволяют еще более эффективно использовать ресурсы ЦОД и получить максимальную эффективность использования площадей при минимальных затратах. При этом она отметила, что любой ЦОД во многих показателях — электропитание, телеком-инфраструктура и кондиционирование — имеют повышенный уровень резервирования. Тем самым обеспечивается максимальная отказоустойчивость как собственных ресурсов, так и ресурсов клиентов.
Ещё не плохо уходят данные при заполнении анкет в ювелирных салонах, всевозможных магазинах, продуктовых гипермаркетах, химчистках. С одной стороны человек получает бонусную карточку, с другой зачастую пишет верные данные о себе (дату рождения, e-mail) в некоторых случаях даже домашний адрес. Ко всему этому доступ есть у половины персонала. Ну а продажа баз клиентов, при увольнении системного администратора или старшего продавца в магазине уже самое обычное дело. Кончено там не тысячи клиентов, но в большом магазине несколько сотен набраться может.
Я думаю выше озвученный представить Вымпелкома, лукавит и пытается свалить с одной больной головы на другую.
Колл центры у нас не так и распространены, соответственно и народу ими не так много пользуется. Как раз история говорит об обратном, что основные сливы идут через мобильных операторов, причем с завидным постоянством. Например в Питере на рынке Юнона можно даже подборку сделать по годам, причем всех операторов.
Да и объем информации тоже принижен. Далеко не только номер паспорта, но и личные данные, дата рождения, место прописки, а если заполняешь их стандартную карточку, то и почту и т.д., а это все заноситься в базу и потом сливается.