Интеллектуальная собственность / информационные технологии

Комментарии в сми

март 2019

Пн Вт Ср Чт Пт Сб Вс
 
 
 
 
1
 
2
 
3
 
4
 
5
 
6
 
7
 
8
 
9
 
10
 
11
 
12
 
13
 
14
 
15
 
16
 
17
 
18
 
19
 
20
 
21
 
22
 
23
 
24
 
25
 
26
 
27
 
28
 
29
 
30
 
31
 
21.02.2019
Антонина Шишанова провела вебинар по защите интеллектуальных прав дизайнера
07.02.2019
Юридическую сессию в рамках Телемед Форума в технопарке «Сколково» вновь провели эксперты «Качкин и Партнеры»
01.02.2019
Экспертиза Бюро в области IP / IT впервые отмечена международным рейтингом WTR1000
30.11.2018
Екатерина Смирнова представила Бюро на IT-форуме в рамках Петербургского Международного Инновационного Форума
27.11.2018
Екатерина Смирнова разъяснила правовой статус и риски Интернет-платформ при оказании телемедицинских услуг на конференции «ИТ в здравоохранении: итоги 2018 года»
23.11.2018
Проблемы обработки персональных данных в блокчейн-проектах обсудил Андрей Алексейчук на конференции CryptoEvent в рамках Russian Internet Week
09.11.2018
Правовые аспекты взаимодействия медицинских организаций и провайдеров иных информационных систем представила Екатерина Смирнова на конференции IT&Med в Москве
16.10.2018
Эксперты «Качкин и Партнеры» рассказали начинающим предпринимателям о защите интеллектуальной собственности, лицензировании и патентовании
01.10.2018
Екатерина Смирнова включена в состав рабочей группы по методическому обеспечению программы «Умный Санкт-Петербург»
27.09.2018
Особенности правовой охраны программного обеспечения, созданного с использованием искусственного интеллекта, рассмотрела Екатерина Смирнова на форуме «Петербургский диалог»

Страницы

Регфорум, 11.03.2019
«Реформы авторского права»
Интерфакс, 26.02.2019
«ОБЗОР: криптовалюте приоткрыли путь в российское законодательство»
Habr, 23.02.2019
«Как защититься от брендовых троллей»
Агентство Бизнес Новостей, 20.02.2019
«Иск депутата Максима Резника — нет перспектив без нескольких компонентов»
Регфорум, 19.02.2019
«Танец как объект авторского права»
Адвокатская газета, 18.02.2019
«Депутаты предложили штрафовать чиновников за оскорбление избирателей»
Регфорум, 11.02.2019
«О тонкостях перехода произведений в общественное достояние»
Адвокатская газета, 30.01.2019
«Юристы-эксперты в сфере IT раскритиковали законопроект о блокировке ЦБ сайтов финансовых пирамид»
MarketMedia, 29.01.2019
«Если вы собираете персональные данные»
Адвокатская газета, 24.01.2019
«Правительство частично поддержало поправки об ответственности за «фейковые» новости и оскорбление власти в сети»

Страницы

22.02.2019
Утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных: что ожидает операторов
28.06.2018
Вступают в силу правила хранения пользовательской информации в исполнение «закона Яровой»
25.05.2018
Компании могут перестать быть «петербургскими»
02.04.2018
За репутацию предлагают блокировать
20.03.2018
Блокировка мессенджера Telegram все больше становится реальностью
12.07.2017
Новые налоговые льготы в сфере интеллектуальной собственности
03.04.2017
Правительство РФ установило дополнительные требования к «отечественному» программному обеспечению
30.03.2017
Режиссеры получат эксклюзивные права на живое исполнение своих спектаклей
13.02.2017
Новая ответственность за неисполнение обязанности заблокировать сайт
28.06.2016
Предоставление субсидий из федерального бюджета в целях компенсации расходов на зарубежное патентование российских разработок

Страницы

09.01.2019
Обзор значимых изменений законодательства РФ в ИТ-сфере за 4 квартал 2018 года
скачать (pdf, 552kb)
01.10.2018
Обзор значимых изменений законодательства РФ в ИТ-сфере за 3 квартал 2018 года
скачать (pdf, 559kb)
04.07.2018
Новое в регулировании: приняты масштабные поправки в законодательство о ГЧП
скачать (pdf, 163kb)
03.07.2018
Обзор значимых изменений законодательства РФ в ИТ-сфере за 2 квартал 2018 года
скачать (pdf, 565kb)
23.08.2017
Новое в регулировании: принят закон «О безопасности критической информационной инфраструктуры РФ»
скачать (pdf, 140kb)
15.02.2017
Новое в регулировании: ужесточение ответственности за обработку персональных данных
скачать (pdf, 99kb)
20.07.2016
Новое в регулировании: новые правила для проектировщиков и архитекторов
скачать (pdf, 115kb)
03.07.2015
Новое в регулировании: импортозамещение программного обеспечения
скачать (pdf, 78kb)
26.03.2014
Законодательство: поправки в четвертую часть Гражданского кодекса, касающиеся интеллектуальных прав и прав на средства индивидуализации
скачать (pdf, 669kb)
28.07.2011
Новое в регулировании: юридические лица и предприниматели должны сообщать о своих электронных кошельках
скачать (pdf, 838kb)
Защита прав архитектурной мастерской на проект новой сцены Малого Драматического Театра – Театра Европы
Защита прав крупной IT-компании BIA Technologies на служебные объекты интеллектуальной собственности
Юридическая поддержка клиента, крупной международной сети ресторанов быстрого питания Domino’s Pizza в России, в судебном споре в сфере киберсквоттинга
Судебная защита авторских прав на программное обеспечение в деле по иску компании «Кодекс»
Юридическая поддержка деятельности российской Интернет-платформы «Единый медицинский портал», работающей в области телемедицины
Защита авторских прав клиента в споре с рок-группой «Сплин»
Проведение юридической оценки рисков в связи со сделкой по приобретению ИТ-компании
Юридическая поддержка крупной аргентинской компанией Explosivos Tecnológicos Argentinos при заключениии лицензионного договора о предоставлении права использования полезной модели
Проверка юридической чистоты сделки по приобретению международного разработчика программ для ЭВМ
Правовая поддержка крупного российского интернет-сервиса kudago.com по продвижению мероприятий в процессе регистрации товарных знаков

Страницы

30.01.2019
Журнал телемедицины и электронного здравоохранения № 3 2018
14.09.2018
Юрист компании N 09 2018
02.07.2018
Арбитражная практика для юристов № 7 2018, 02.07.2018
01.06.2018
Интеллектуальная собственность. Промышленная собственность N 06, 01.06.2018
17.05.2018
Журнал Суда по интеллектуальным правам, 17.05.2018
08.05.2018
Legal Insight N 04 (70), 07.05.2017
12.04.2018
Digital Report, 11.04.2018
01.03.2018
Интеллектуальная собственность. Промышленная собственность N 03, 01.03.2018
31.01.2018
Право в сфере Интернета: сборник статей
06.02.2017
Альманах «Архитектурные сезоны» 2017

Страницы

17.02.2016
Персональные данные – ключевые вопросы
26.05.2015
Объемы контрафакта и способы противодействия ему
26.10.2018
О новом законопроекте об обработке Big Data
04.09.2018
Законно ли требовать от Яндекса удалить пиратские видео?
31.07.2018
Громкий спор В Контакте-Дабл выходит на новый виток…
28.06.2017
Интернет-Апокалипсис сегодня
28.06.2017
Обзор дел в сфере интеллектуальной собственности за первую половину 2017 года
20.03.2017
Как наказать нарушителя, укравшего контент в интернете
21.02.2017
Доведет ли оскорбительное мнение до суда? // Комментарий к пункту 20 Обзора практики ВС РФ от 16.02.2017 г.
14.12.2016
Долгожданное Постановление КС РФ от 13.12.2016 о возможности снижения размера компенсации за нарушение интеллектуальных прав. Разбираемся что к чему
20.07.2016
Что изменит закон Яровой в практике интернет-бизнеса
15.07.2016
Какая ответственность предусмотрена за несохранение сообщений интернет-пользователей? // уязвимость в «пакете Яровой»

Страницы

DP.ru, 15.12.2018

«Data-базы на продажу. Кто торгует нашими данными, и сколько на этом зарабатывает»

Екатерина Смирнова, руководитель практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры», подчеркивает, что право на конфиденциальность персональных данных является важнейшим правом субъекта персональных данных, и за нарушение правил обработки персональных данных предусмотрена административная ответственность.

Если вам начали часто названивать с предложениями взять кредит в сомнительном учреждении, попробовать косметические процедуры по акции и т.п., то есть повод задуматься, а не оказались ли ваши данные проданы в третьи руки.

На специализированных форумах и просто при обычном поиске в интернете можно наткнуться на массу объявлений по покупке и продаже баз данных клиентов различных организаций — чаще всего это банки и госучреждения, встречаются также базы телефонных и интернет-компаний, финансовых учреждений и небольших частных фирм. "ДП" рассказывает о том, как продают личную информацию людей, кто ее покупает и сколько это стоит, а также почему от этого до сих пор практически невозможно защититься.

Побочный продукт

Чаще всего в такие базы входят ФИО клиента, его номер телефона и e-mail. Иногда также туда может входить какая-то более подробная информация, например данные о том, на какие цели человек брал кредит в банке, на какую сумму, кем он работает и т.п. Если в руках злоумышленников оказываются данные госучреждения, то туда уже могут входить и более серьезные сведения: фрагменты серии и номеров документов, данные о водительских правах и т.д.

Специалисты в области киберзащиты отмечают, что очень часто базы данных клиентов оказываются у злоумышленников как побочный продукт. Например, основной целью киберпреступника было получение денег или взлом какой-либо системы, но при этом в его руках оказывается еще и информация с данными людей. В таком случае их также выставляют на продажу.

"Базы данных могут попадать в руки злоумышленников самыми разными путями. Это может быть использование вредоносного программного обеспечения или целевая атака на компанию, оплошность или умысел сотрудников, ошибки при конфигурировании систем защиты, настройки серверов и т.д., приводящие к тому, что данные оказываются в свободном доступе. Бывает и так, например, что интернет-магазин прекращает существовать, а база данных его клиентов попадает в третьи руки", — рассказывает Александр Вураско, представитель компании Dr. Web.

По словам замруководителя лаборатории компьютерной криминалистики Group-IB Сергея Никитина, ущерб российской финансовой сферы из-за атак киберпреступников за вторую половину 2017-го и первую половину 2018 года составил 2,96 млрд рублей.

"В России в результате кибератак ежемесячно теряют деньги один-два банка, ущерб от одного успешного хищения составляет в среднем $2 млн. Не исключено, что, проникнув в сеть, злоумышленники могут копировать различные документы, базы данных, письма — такое случалось, и эти данные им были нужны для подготовки дальнейших атак или перепродажи", — указывает он.

Представитель Dr. Web Александр Вураско считает, что защититься от утечек достаточно сложно. Лучший способ — это дозирование предоставляемых о себе сведений. Например, использование отдельного номера телефона, адреса электронной почты и банковской карты для заказа в интернет-магазинах. В любом случае, передавая такие данные третьим лицам, вы фактически доверяете им безопасность этих данных, но вот проконтролировать то, как они будут использованы, вы не можете.

Также бывает, что среди правдоподобной информации встречается и ложная. Поэтому зачастую продавцы стараются уверить клиентов в "первоклассном качестве" и "самых свежих сведениях".

"Базы данных, с которыми мне приходилось сталкиваться в сети, выглядят правдоподобно. Нередко они бывают достаточно старыми, но попадаются и свежие образцы. Оценить процент ложной информации не представляется возможным, но в сети, в том числе и в Даркнете, встречаются мошенники, размещающие объявления о продаже таких баз и получающие предоплату от покупателей, ничего им не предоставляя взамен. Эта схема удобна тем, что жертва, скорее всего, не будет обращаться в полицию", — подтверждает Александр Вураско.

Новогодние скидки для клиентов

Каналы распространения таких данных тоже варьируются от обычных форумов сетевых мошенников до торговых площадок в Даркнете.

"Покупают их те, кто знает, как их использовать для достижения конкретных целей. Спамеры, люди, желающие атаковать организацию или ее клиентов, те, кто занимается поиском людей в сети, анализом их коммуникаций и т.д. Можно придумать массу сценариев", — считает представитель Dr. Web.

Стоимость покупки такой базы также вариативна. Во многом она зависит от того, чья это база (данные банков и крупных организаций стоят гораздо дороже), насколько сложно было ее заполучить, насколько она свежая и уникальная.

В ходе изучения предложений по продаже "ДП" находил и расценки по 3-4 тыс. рублей (с учетом "новогодних скидок", без скидок средняя цена составляет уже 8-10 тыс. рублей), так и по 30 тыс. и 60 тыс. рублей.

На одном из сайтов, который предлагает купить подобные базы, также предлагается скачать демоверсию файлов. "ДП" ознакомился с примером такой базы, которая представляла собой данные вкладчиков банка ВТБ24 с 2013 по 2015 год. В базе помимо ФИО клиентов, номеров их мобильных и домашних телефонов также были указаны город проживания (в некоторых случаях вплоть до станции метро либо городского района), пол, возраст, дата открытия вклада и дата его последнего пополнения, сумма открытого счета и мобильный оператор, у которого зарегистрирован номер владельца.

Корреспондент "ДП" позвонил наугад 10 людям из демоверсии базы, из них три номера оказались отключены, остальные клиенты взяли трубку. Все из них подтвердили, что их ФИО совпадают с данными из базы. Один человек отказался рассказывать, являлся ли он клиентом банка с 2013 по 2015 год. Двое сказали, что не помнят точно, но, возможно, являлись клиентами и имели там счет. Еще один человек ответил категорически отрицательно на вопрос о том, открывал ли он счет в конкретном банке. Остальные три человека подтвердили, что являлись вкладчиками в указанные годы.

Как продаются базы данных, и кто их сливает

Некоторые продавцы на специальных хакерских форумах вместе с объявлением о продаже сразу оставляют контакты для связи в Telegram или через Xabber (довольно популярный среди пользователей Даркнета мессенджер). Также довольно часто встречается просьба переводить оплату через гарант сделок — то есть сторонний сервис или человека-посредника, который принимает участие в процедуре покупки и продажи в интернете. Гарант получает товар и деньги, убеждается в качестве товара и наличии нужной суммы, а после передает деньги продавцу и товар покупателю. За это он получает процент от сделки. По словам главы агентства "Рустелеком" Юрия Брюквина, операция по таким сделкам проводится через биткоин-кошелек. Наибольший процент переводов проходит через криптовалюту, но тем не менее часто используются и обычные анонимные кошельки, поддерживающие настоящую валюту.

"Самый большой канал распространения баз на продажу, конечно же, приходится на Дарквеб, где по этому направлению сформировался отдельный рынок, на котором есть даже свои авторитетные персоны и продавцы. Рынок этот огромный, а доходы продавцов достигают миллиардов рублей", — рассказал Брюквин.

В прошлом году "Рустелеком" подробно занимался темой изучения Дарквеба. В результате исследования удалось выяснить, что также существует услуга добычи базы клиентов на заказ. Сами базы монетизируются двумя способами — через шантаж организации, а также через так называемые лиды — особый вид уникальной информации, которая чаще всего содержит какие-либо финансовые данные (сумма счета, его номер и т.п.).

Корреспондент "ДП" связался с несколькими продавцами баз. Лишь двое из них согласились поговорить с изданием на условиях анонимности.

Например, один из продавцов, который предлагал приобрести базу с личными данными директоров туристических компаний России и СНГ за 16 тыс. рублей (по рублю за контакт), рассказал, что в среднем покупатели данных появляются регулярно раз в неделю.

"Чаще всего в продажу поступают контактные данные руководящих лиц. Клиентами в основном являются представители небольших бизнесов, которые используют информацию для работы в своей сфере. При этом источников сливов данных и заинтересованных лиц довольно много. Каждый ищет базу под свои нужды, поэтому вряд ли можно говорить о высокой конкуренции среди покупателей и продавцов", — рассказал он.

Среднюю сумму сделок и объем месячной выручки за продажу информации он сообщать не стал.

Еще один человек, предлагавший купить на форуме базу клиентов крупнейшего украинского ПриватБанка, представился обычным контактным звеном, который принимает покупателей, а затем отсылает их к "селу" (продавцу). При этом прямых продаж у него никогда не было, поэтому о расценках он сообщить не может.

"У меня много баз. У ПриватБанка на 700 тыс. клиентов и есть на 3 млн клиентов. Я всего-навсего посредник, есть люди, которые добывают данные", — рассказал он.

Более подробные сведения он сообщать отказался.

"В России базы данных клиентов часто "утекают" в результате действий инсайдеров, то есть самих операторов данных. В первую очередь речь идет о людях, которые работают с данными, — администраторы баз данных, операционисты. Из-за низкой оплаты труда этих людей злоумышленники могут подкупить их для кражи данных. Базу клиентов могут слить те, кто имеет к ней доступ, например менеджеры по продажам или ИТ-специалисты. В нашей практике были случаи расследования сговора внутри компании, когда уходящая целым составом команда ИТ-специалистов продавала данные о бывшем работодателе киберпреступникам", — рассказал "ДП" Сергей Никитин из Group-IB.

На международной сцене, по данным компании, хакерские атаки регулярно совершаются на сети отелей, представителей ретейла, авиакомпании, онлайн-сервисы, в результате которых происходит копирование баз данных клиентов. Причем жертвами становятся весьма крупные и известные компании, такие как Uber, British Airways, Marriott.

По словам Юрия Брюквина, покупателями баз часто являются финансовые брокеры или представители финансовых организаций, которые хотят привлечь к себе клиентов конкурентов.

"Получая такую базу, вы уже сразу знаете, что предложить человеку. Например, кредит на более выгодных условиях, чем у него есть сейчас", — объяснил он.

"Банк не виноват"

Банки и компании используют самые разные способы защиты, указывает Вураско. Это и антивирусные решения, затрудняющие проведение атак на банки, и DLP-системы, предназначенные для защиты от утечек информации, и автоматизированные антифрод-продукты, нацеленные на предотвращение мошеннических операций. Конкретная конфигурация системы информационной безопасности и поставщики применяемых решений могут сильно варьироваться от организации к организации. Здесь немаловажную роль играют и такие факторы, как бюджет на безопасность, количество сотрудников, особенности инфраструктуры и т.д. Сергей Никитин к этому списку добавляет также обучение сотрудников цифровой гигиене и мероприятия по повышению корпоративной культуры. Но, даже несмотря на наличие огромного количества высококлассных и защитных антивирусных решений, защититься все же от всех атак и утечек невозможно.

"Нужно понимать, что чаще всего банки не виноваты в утечке данных клиентов. Проблема в дырявой защите различных платежных систем. Существует огромное количество интернет-магазинов, которые создают сайты "на коленке" и совсем не заботятся о сохранности данных пользователей. Злоумышленникам ничего не стоит получить к ним доступ. Затем такая информация коллекционируется от сайта к сайту и сортируется по банкам. Так создается база", — объясняет Юрий Брюквин.

При этом, если банк или какое-либо учреждение, несмотря на все меры защиты, допустит утечку, никто не снимет с него ответственности по закону.

"Данные о клиентах зачастую являются информацией, которая позволяет идентифицировать физических лиц. На лице, которое собирает, хранит или иным образом обрабатывает такие данные, лежит обязанность соблюдать установленные законом о персональных данных требования к такой обработке, в частности соблюдать режим конфиденциальности, получать согласие обладателя персональных данных на передачу данных третьим лицам. Право на конфиденциальность персональных данных является важнейшим правом субъекта персональных данных. За нарушение правил обработки персональных данных предусмотрена административная ответственность", — объяснила юрист Екатерина Смирнова, руководитель практики по интеллектуальной собственности и информационным технологиям компании "Качкин и партнеры".

Кстати, самые яркие скандалы уходящего года были как раз во многом связаны с утечкой баз данных или использованием их третьими лицами. Например, громкий случай произошел весной этого года, когда выяснилось, что базы данных Facebook использовала компания Cambridge Analytica для анализа политических предпочтений пользователей и использования их в президентских выборах.

"Вопрос использования данных был подробно рассмотрен в нашумевшем споре между администрацией социальной сети "ВКонтакте" и обществом с ограниченной ответственностью "ДАБЛ". "ВКонтакте" обратилось в суд с иском к "ДАБЛ" о запрете использования данных пользователей в социальной сети. "ДАБЛ" обрабатывало открытые данные пользователей социальной сети и использовало их для оценки кредитоспособности пользователей как потенциальных заемщиков. Как в первой, так и в апелляционной инстанции суд признал, что социальная сеть "ВКонтакте" содержит в себе базу данных, право на которую может охраняться в соответствии со ст. 1260 ГК РФ. Сейчас дело направлено на новое рассмотрение", — рассказала Екатерина Смирнова.

Также юрист указала, что даже в случае ликвидации компании никто не снимет законную ответственность за утечку информации. По закону до завершения ликвидации руководство компании обязано уничтожить и обезличить базы данных клиентов. Если такую процедуру не осуществят, то теоретически к ответственности могут привлечь ликвидатора компании.

Карашаш Ногаева

Материал опубликован на сайте газеты «Деловой Петербург» 15.12.2018