пятница, 18 октября 2019 г.

Финансисты поделились BigData с мошенниками. МФК допустила утечку персональных данных миллиона граждан

Финансисты поделились BigData с мошенниками. МФК допустила утечку персональных данных миллиона граждан

Финансисты поделились BigData с мошенниками. МФК допустила утечку персональных данных миллиона граждан

     
466anci.jpgБанки приняли на вооружение тезис российских политиков и философов о том «что люди в России «это «новая нефть». В истории, в результате которой в открытом доступе оказалось более миллиона кредитных историй россиян, похоже не будет крайних, ответственных или, по крайней мере, извинений. Все в порядке вещей. Извиняться перед «нефтью» - это все равно, что извиняться перед котлетой, перед те, как её скушать
Хочется сказать люди, но нет, банки делают бизнес в диком поле без правил и ограничений. Профит решает всё, даже если его нет. Кому-то обещают сохранность персональных данных. А кому-то просто намекают, что не может быть о другому. Но, как оказалось, никому ничего не гарантировано.

Как сообщает газета «Коммерсантъ», утечка персональных данных произошла из-за ошибки на одном из серверов, который, предположительно, принадлежит микрофинансовой организации. Ошибку уже устранили, но злоумышленники могли успеть скачать базу. По данным издания, речь идет об организации «ГринМани», выдававшей онлайн-займы.

В документах, в частности, есть паспортные данные заемщиков, адреса, телефоны, а также информация о кредитах. Глава организации Андрей Луцык сообщил, что по поводу информации об утечке проводится проверка.

А теперь следите за руками. Как сообщает «Коммерсантъ», более миллиона кредитных историй россиян нашлись в открытом доступе. Можно и без подсказок догадаться, что в микрокредитной «ГринМани» нет столько клиентов.

Всем нам известны, письма-спамы на почту с заманчивым предложением получить кредит под низкий процент. Кто-то удаляет эти спамы не открывая, кто-то пробует выяснить обстоятельства, вспоминая сообщения о новых видах мошенничества, когда злоумышленники,  используя функцию подмены номера, звонят клиентам с номеров банков и предлагают экстренные услуги защиты. Мошенники, заметьте располагают полнейшей информацией о «клиентах которым звонят». Вот бы кто ответил на вопрос, где именно мошенники добывают о нас информацию. Впрочем, не интересно. Потому, что даже даже намеренная торговля персональными данными наказуема только мелкими штрафами. Все в логике принципов "новой нефти".  

Про рынок банковской информации, данных мобильных операторов и госорганов подробно написано в статье: «Анализ цен черного рынка на персональные данные и пробив».

К слову, случаи, когда продавцов персональных данных ловят и даже судят, есть. Правда, стоит отметить, что ловят, как правило, непосредственных исполнителей заказов, т.е. сотрудников организаций, имеющих доступ к информации в силу своих служебных обязанностей. А вот посредники, активно нанимающие таких неблагонадежных сотрудников банков, операторов связи, госорганов, а затем перепродающие данные граждан на черном рынке, зачастую остаются в тени и уходят от наказания.

Вот далеко не полная подборка случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ ...
Февраль 2018
В суд направлено дело четверых жителей Пензы, арестованных за продажу персональных данных абонентов сотовых операторов. По данным следствия, в октябре 2016 года 26-летний житель Пензы и его 27-летний знакомый решили найти инсайдеров, имеющих доступ к двум операторам сотовой связи, которые за вознаграждение станут копировать персональные данные абонентов и сведения об их телефонных переговорах. Подельникам удалось договориться с двумя 20-летними девушками, работавшими в салонах операторов сотовой связи. В интернете на специализированных форумах было размещено объявление о продаже персональных данных абонентов и информации о звонках. С декабря 2016 по конец марта 2017 года было получено 17 заказов, каждый стоимостью от 500 до 4 000 рублей.
Март
Прокуратура Нижегородской области сообщает, что по версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД. В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска. Злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи служебной информации через интернет неопределенному кругу лиц. Эта преступная деятельность продолжалась более года. Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.
В Липецкой области на сотрудницу банка завели сразу три уголовных дела. Финансовый консультант местного офиса известного банка незаконно использовала персональные данные клиентов о счетах и вкладах. В ходе проверки выяснилось, что сотрудница банка использовала личные данные клиентов для хищения денег с их счетов и вкладов. Замечу только, что тут было хищение средств со счетов клиентов, а не торговля данными, видимо поэтому банк решился на подачу заявления в МВД. Других публичных случаев, когда банки официально расследуют незаконный доступ к информации клиентов, мне не известно.
Два бывших оперуполномоченных из Богородска (Нижегородская область) получили по 1,5 года лишения свободы условно за использование персональных данных из базы МВД. В ходе следствия установлены обстоятельства получения полицейскими 800 тысяч рублей от граждан из более чем 20 субъектов РФ. Большая часть переданных персональных данных связана с проверкой сведений о собственниках автомототранспортных средств.
Апрель
33-летний экс-следователь одного из московских райотделов полиции, уволившись по собственному желанию из правоохранительных органов, решил зарабатывать деньги на торговле данными о частных телефонных переговорах. Раздобыв поддельную печать Мещанского райсуда Москвы, за два года успел оформить порядка 300 липовых судебных решений о предоставлении данных детализации телефонных переговоров, а также информации о самих абонентах у основных операторов сотовой связи. Стоимость одного заказа на детализацию и данные об абоненте колебалась от 45 тыс. до 100 тыс. руб., при этом самому бывшему следователю доставалось 10–15 тыс. руб. Остальные деньги распределялись между посредниками, с которыми экс-следователь в основном общался с помощью мессенджеров.
В Саратове по результатам прокурорской проверки возбуждено уголовное дело в отношении должностного лица. Установлено, что с марта по декабрь 2016 года помощник оперативного дежурного управления внутренних дел по городу Саратову, имеющий доступ к сведениям о происшествиях и преступлениях, произошедших на территории города Саратова, систематически передавал сведения о фактах смерти граждан индивидуальному предпринимателю, который осуществлял деятельность в сфере ритуальных услуг.
Поймали бывшего начальника одного из подразделений Комитета по управлению городским имуществом и земельными ресурсами администрации Нижнего Новгорода. За взятку в 1,2 миллиона рублей 36-летний начальник управления согласился в течение года передавать любые сведения ограниченного доступа, в том числе персональные данные граждан, которые содержатся в информационных системах по учёту объектов недвижимости и земельных участков. В подтверждение своей готовности к «сотрудничеству» чиновник передал USB-носитель с частью запрошенных данных. В декабре суд приговорил бывшего начальника к лишению свободы на срок 8 лет с отбыванием в колонии строго режима, а также штрафу в размере 3,6 млн рублей, по статье за взяточничество. Кроме того, в течение 5 лет он не сможет занимать определенные должности.
Май
В Воронеже бывшую сотрудницу сотовой компании обвинили в незаконной слежке за телефонными звонками. Ей вменяют нарушение части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения). Следователи установили, что с 30 ноября 2017 года по 22 февраля 2018-го работница сотовой компании, находясь на рабочем месте, незаконно просматривала детализации телефонных соединений.
Июнь
В Мордовии сотрудники сотовых компаний, торговавшие персональными данными, получили условный срок. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева – 1 год 4 месяца. Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей. По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей. В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг — сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.
Сентябрь
Бывший замначальника отдела полиции №1 "Северное" ОМВД России по Нахимовскому району в Севастополе получил три года колонии за продажу данных о смерти людей сотрудникам ритуальной фирмы. Александр Барановский признан виновным в получении взяток от владельца ритуальной фирмы. Он в течение нескольких лет он передавал информацию о фактах смерти граждан и данные их родственников.
Октябрь
ФСБ задержала российского пограничника, который, вероятно, продал информацию о заграничных поездках Александра Петрова и Руслана Боширова, обвиненных в отравлении полковника ГРУ Сергея Скрипаля. Пограничник работал в Северо-Западном федеральном округе. Вместе с ним был задержан сотрудник одного из подразделений Федеральной налоговой службы (ФНС). Задержания проходили в рамках спецоперации по предотвращению утечек из закрытых баз данных. Кстати говоря, эта спецоперация довольно сильно подкосила черный рынок «госпробива» на какое-то время.
Ноябрь
В Калининграде задержали 25-летнего менеджера салона сотовой связи за продажу персональных данных клиента. К менеджеру обратился неизвестный мужчина, который попросил за вознаграждение предоставить данные на определенного абонента. Дело возбуждено по части 3 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание — лишение свободы на срок до пяти лет.
Суд Томска приговорил к трем годам условно бывшего участкового полиции, который за финансовое вознаграждение сообщал сотруднику ритуального бюро персональные данные умерших. "Установлено, что в период с 27 декабря 2017 года по 3 апреля 2018 года подсудимый, являясь участковым ОМВД России по Томскому району, получил взятку в виде денег на общую сумму 21 тысяча рублей за незаконное предоставление конфиденциальных сведений умерших лицу, действующему в интересах коммерческой организации, предоставляющей ритуальные услуги. Эти данные в дальнейшем использовались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг".
Декабрь
Следственное управление Следственного комитета по Новосибирской области возбудило уголовное дело о незаконной передаче сведений, составляющих коммерческую тайну, в отношении сотрудницы «Русской телефонной компании». 20 ноября прошлого года подозреваемая зашла в систему под своим рабочим логином и паролем и скопировала информацию, содержащую сведения о дате и времени соединений, номерах исходящих и входящих соединений абонента сотовой связи МТС, после чего передала эти данные третьим лицам. В отношении подозреваемой возбуждено уголовное дело по ч.2 ст.183 УК РФ (незаконная передача третьим лицам сведений, составляющих коммерческую тайну). Сотруднице грозит до трех лет лишения свободы.
Прокуратура Ленинского района Магнитогорска направила в суд уголовное дело в отношении бывшей начальницы городского управления пенсионного фонда, обвиняемой в получении взятки и злоупотреблении полномочиями. В 2017 году женщина передала сотруднику коммерческого банка персональные данные горожан, которые незаконно использовались в служебной деятельности кредитного учреждения. За это начальница пенсионного фонда получила взятку в размере 61,4 тыс. руб. Эти деньги были перечислены на банковский счет ее дочери под видом оказания материальной помощи от работодателя.
Домодедовский городской суд Московской области признал сотрудника полиции виновным в совершении коррупционных преступлений и приговорил к четырем годам шести месяцам лишения свободы. Кроме того, осужденный оштрафован на 600 тыс. руб. Суд установил, что полицейский на протяжении нескольких месяцев неоднократно получал взятки в размере до 15 тыс. руб. через посредника за предоставление бланков миграционных карт и персональных данных иностранцев из автоматизированной базы данных.
Январь 2019
В Муроме завершено расследование уголовного дела в отношении бывшего работника салона сотовой связи, которому предъявлено обвинение по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст. 183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну). В январе 2017 года, 23-летний бывший сотрудник салона сотовой связи неоднократно подделывал заявления от имени клиентов на получение сведений о соединениях, а при получении данных копировал их на сменный носитель. Он направил от имени клиентов 43 сервисных запроса на получение детализаций абонентов — часть запросов была удовлетворена. Такая активность насторожила сотрудников безопасности телефонной компании — работника вычислили, после чего он был уволен, а материалы были переданы в следственные органы. Уголовное дело с утвержденным обвинительным заключением направлено в суд. В соответствии с законом обвиняемому грозит до 5 лет лишения свободы.
В Перми бывшая сотрудница полиции обвиняется в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ) и мелком взяточничестве (ч. 1 ст. 291.2 УК РФ). В 2017 году она имела доступ к сведениям банков, которые содержали персональные данные клиентов. Без ведома самих граждан и соответствующих запросов компетентных органов она предоставляла эти данные директору коммерческой организации. За эти сведения бывшая сотрудница полиции получала вознаграждение — от 100 до 500 рублей. После того, как случаи взяточничества вскрылись, женщину уволили из органов внутренних дел. Уголовное дело завершено, материалы дела переданы в суд.
Сотрудник мобильного оператора «Мегафон» в Санкт-Петербурге был обвинен в совершении преступления, ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Суд установил, что подсудимый находился в должности инженера по разработке отчетности корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании. Он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам. С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.
Февраль
В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска. На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера. Кража была совершена 18 июля 2018 года. Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть. Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать. Тогда архив разделили на несколько частей и вновь отправили на почту. Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса. Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей. 26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ "Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности". Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.
В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах. В суде выяснили, что со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.
Суд в Новосибирске признал виновным руководителя ритуального агентства в даче взяток. 41-летнего мужчину приговорили к семи годам лишения свободы условно с испытательным сроком три года. Предприниматель давал взятки сотрудникам полиции, чтобы получить информацию о персональных данных умерших в Новосибирске, а именно их фамилию, имя, отчество, дату рождения и смерти, а также местонахождение.
Март
В Воронежской области суд рассмотрит дело 38-летней начальницы отдела ПАО СК «Росгострах», которая незаконно копировала базу данных клиентов в июле 2018 года. По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг. Для отправки данных самой себе она использовала корпоративную электронную почту. Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция – лишение свободы на 4 года.

Но, вернемся к теме спамов на почту. Иной получатель письма пойдет в банк за обещанным кредитом, но… не получит. Ему откажут, после заполнения кучи бумаг, потому что перекредитован, или вовсе без объяснения причин. Понятно, никто никому никаких кредитов давать не собирался. Тем более под низкий процент. Составляются банки информации.  Вопрос в том, кто заказал составление этих информационных баз? Кто оплачивает их составление. Что недешевое удовольствие.

В лучшей форме на эти волнующие вопросы отвечает публикация Андрея Захарова в "РБК". Журналист напоминает, как  конце февраля 2018 россияне увлеклись приложением GetContact — сервисом для проверки незнакомых телефонных номеров. Чтобы получить доступ к услуге, нужно разрешить доступ к своим контактам. Приложение быстро превратилось в сетевое развлечение — посмотреть, под каким именем ты записан в телефонах друзей и знакомых, потом выложить забавный скриншот со своими именами в соцсетях.

К середине марта турецкая Teknasyon, создатель GetContact и партнер сотового оператора Turkcell, собрала по всему миру более 3,5 млрд номеров с именами владельцев, указано на сайте приложения. Согласно пользовательскому соглашению эти данные разработчики могли использовать в маркетинговых целях или передавать третьим лицам (1 марта из документа исключили такую возможность).

История с Cambridge Analytica и всплеск популярности GetContact породили множество инструкций и заметок о том, как избежать передачи посторонним личных данных. Но бурно растущий рынок торговли пользовательской информацией устроен так, что не делиться этими данными почти невозможно.

«Все почему-то любят говорить о слежке, которую ведут спецслужбы, хотя им, грубо говоря, надо найти сотню террористов среди 7 млрд людей, остальные им неинтересны. Зато они интересны другим организациям, которые хотят на них заработать», — описал принцип этого рынка владелец крупной российской платформы по продаже автоматизированной рекламы.

Журнал РБК изучил российский рынок сбора и торговли личными данными, вычислил его крупнейших участников и попытался оценить его объем, пройдя по всем этапам и способам коммерческой слежки.

В интернете: сookies

«Интернет — это как зеркальный пол, а пользователи ходят по нему в ботинках и оставляют за собой следы в любом случае», — говорит сопредседатель отраслевого комитета по Big Data IAB Russia Дмитрий Егоров.

В 2017 году почти 80% всех сайтов мирового интернета были оборудованы счетчиками, виджетами и другими устройствами, собирающими информацию о действиях юзеров, на каждом десятом ресурсе их работает более десяти одновременно, следует из отчета немецкой Ghostery. Основной продукт Ghostery — расширение для браузера по обнаружению этих устройств, которые устанавливают поисковые системы, социальные сети, рекламные агентства или сервисы статистики. Россия вместе с США и Великобританией — в лидерах по числу скрытых датчиков интернет-поведения.

Например, на начало марта 2018 года на Avito.ru работали шесть уникальных трекеров, на HH.ru — семь, на Gismeteo — девять, трекеры были в личных кабинетах нескольких крупных банков, в картотеке арбитражных судов, на страницах министерств и силовых ведомств. Самым популярным «жучком», получающим информацию о поведении пользователей, в Рунете является сервис веб-аналитики «Яндекс.Метрика»: по данным Ghostery, он работает на 52% всех сайтов. На втором месте — трекеры Mail.Ru Group (42%), на третьем — счетчик посетителей Liveinternet (почти 40%).


Через трекеры третьим лицам утекает информация о cookies — данных о поведении юзера на сайте, зашедшего через определенный браузер. Если бы каждый пользователь посещал интернет только с одного устройства, число cookies было бы равно количеству активной аудитории Всемирной паутины. В реальности один человек выходит в Сеть с телефона, планшета, ноутбука, рабочего компьютера, а иногда еще и комбинирует браузеры. В итоге к осени 2017 года в Рунете насчитывалось около 1,8 млрд cookies, следует из данных Mediascope. Столько же cookies видит «Яндекс», сказали журналу РБК в пресс-службе компании.

Для создания картины, более или менее релевантной всему населению страны, необязательно быть ИT-гигантом. Российские DMP-компании (от англ. data management platform — платформы по сбору, сегментации и продаже пользовательских данных) аккумулируют не менее нескольких сотен миллионов cookies. Например, Aidata видит 1,1 млрд, а DCA через свой счетчик Openstat получает 600 млн cookies, рассказали журналу РБК собеседники в компаниях. «Мы видим весь интернет», — говорит глава DCA Александр Зверев.

До 2016 года на рынке первичных данных о пользовательском поведении в Сети был также широко представлен clickstream (буквально «поток кликов») — данные о поведении юзеров, которые продавали интернет-провайдеры. Для этого посредник устанавливал на стороне оператора оборудование, которое автоматически передавало информацию — всю, кроме конфиденциального https-трафика. Но в конце 2015 года управление Роскомнадзора по ЦФО оштрафовало МГТС, «Сумму Телеком» и принадлежащее «Ростелекому» ПАО «Центральный телеграф», усмотрев в этой практике нарушение закона «О связи» (данные арбитражных судов). После этого массовая продажа clickstream прекратилась, хотя он все еще представлен на рынке, рассказали журналу РБК два собеседника в отрасли. В МГТС сообщили, что больше не продают clickstream, в «Сумме Телеком» и «Центральном телеграфе» не ответили на запросы журнала РБК.

Таким образом, игроки рынка аккумулируют колоссальную информацию о поле, возрасте, семейном статусе, профессиональных интересах, потребительских привычках и желаниях всех россиян, постоянно подчеркивая, что используют только обезличенные персональные данные. Интернет-следы служат основой для построения аудиторных сегментов — многоуровневых портретов групп населения, используемых для рекламы, скоринга или поиска сотрудников.

Как из cookies создать портрет человека

В рамках работы над статьей корреспондент журнала РБК купил на одной из барахолок Москвы базу пользователей портала Freelance.ru на 2015 год. Из нее были извлечены 27, 5 тыс. e-mail сервиса «Яндекс.Почта», которые затем были загружены в рекламную платформу «Яндекс.Аудитории». Через два часа сервис выдал результат: построен портрет 70% людей из списка, 62% — мужчины, большинство — из Москвы и Санкт-Петербурга, покупки совершают в основном в интернете, любят путешествовать и заниматься спортом, только 4% пользуются планшетами.

Разрозненные cookies приводятся к единому идентификатору в результате так называемого мэтчинга (от англ. matching, сопоставление), рассказывает директор компании Aidata Евгений Жданов. Проще всего гигантам вроде Google, «Яндекса» или Mail.Ru Group: если пользователь залогинен в их почтовом сервисе, все его поведение привязывается к этому общему знаменателю, рассказывает топ-менеджер одной из DMP-компаний. Гиганты объединяют cookies не только вокруг почты: рекламные площадки «Яндекс.Аудитории» и myTarget от Mail.Ru Group принимают для построения аудиторных сегментов также телефонные номера и ID мобильных устройств, следует из внутреннего интерфейса систем.

Независимым игрокам рынка для построения сегментов приходится либо мэтчить одинаковые cookies, либо использовать связки «cookies плюс e-mail» или «cookies плюс телефон», которые в основном поставляют интернет-магазины, рассказывают собеседники в DMP-компаниях. В итоге получается подробный портрет человека, основанный на его интернет-поведении. Для примера: в список примерных аудиторных сегментов (таксономию) старейшего игрока российского рынка данных DCA входят такие характеристики, как возраст и пол человека, наличие детей (нет, планирует, ждет), намерение купить автомобиль (новый или подержанный), состояние здоровья (интересуется симптомами болезней, ищет информацию о лекарствах, недавно посещал лечебное заведение), предпочтения в покупках (важны бренд, цена или качество), напитках (пиво, вино, вода, сок), досуге (театрал, ходит в кино, клубы), еде (вегетарианец, гурман, адепт здорового питания) и даже «цели»: благотворитель, карьерист, получает образование. В DCA подчеркивают, что это не максимально возможное описание человека, а лишь примеры для конкретных заказчиков.

Cookies дают не только возможность создать портрет человека для показа ему рекламы. С лета 2017 года московская компания Reffection оказывает услугу под названием «ретаргетинг в звонок». На сайте заказчика устанавливается невидимый код, собирающий информацию обо всех посетителях, потом Reffection через свою платформу данных мэтчит cookies с номерами телефонов реальных людей, рассказал журналу РБК исполнительный директор компании Шариф Одинаев. Затем оператор звонит «пойманному» клиенту и в случае его согласия связывает с отделом продаж заказчика, среди которых есть крупные московские застройщики и автодилеры. Поставщиками связки «cookies плюс телефон» выступают агрегаторы купонов и скидок, говорит Одинаев.

«Ретаргетинг в звонок» — пример того, как онлайн-активность человека догоняет его в офлайне. Есть и обратная история: наши действия в «реальном» мире фиксируются, а затем монетизируются в интернете.

На улице, в торговом центре, в метро

«Охотный Ряд» — 734 тыс. человек, «Авиапарк» — 665 тыс., «Мега Химки» — 602 тыс., «Европейский» — 1,3 млн, «Галерея» — 900 тыс., «Мега Дыбенко» — 440 тыс. Это списки постоянных посетителей московских и петербургских торговых центров, загруженные компанией «НПО «Аналитика» в платформу myTarget для открутки рекламы в интернете. «Аналитика» — одна из нескольких компаний на рынке, которые «ловят» людей в торговых центрах, автосалонах, кафе.

Сенсоры компании предназначены для сбора и систематизации информации о смартфонах посетителей торговых центров, говорит директор «Аналитики» Михаил Могилевский. Сейчас они установлены примерно в 260 ТЦ по всей стране, в том числе в 135 торговых комплексах столицы. Датчики «ловят» физический адрес (mac-адрес) телефонов с включенной функцией поиска сети Wi-Fi, и этот адрес становится идентификатором владельца телефона. Для таргетированной рекламы собранные mac-адреса стали использовать в конце 2016 года, говорит Могилевский, уверяя, что передача mac идет в хэшированном (шифрованном) виде.

Сейчас у мобильных устройств есть защита от такой слежки: по умолчанию они выдают рандомные, то есть случайные mac-адреса. Но обойти ее несложно, объясняет топ-менеджер крупного рекламного агентства. Wi-Fi-роутер, собирающий mac, постоянно меняет названия, мимикрируя под самые распространенные — default, FreeWiFi или MT_FREE. Попадая в зону действия такой сети, телефон может «узнать» ее и отдать свой физический адрес, рассказал журналу РБК руководитель одной из компаний этого рынка.


Функция поиска Wi-Fi включена примерно на 70% всех телефонов, из этой группы в 70% случаев удается установить настоящий mac-адрес, говорит директор фирмы HotWiFi Дмитрий Степаненко (портфельный стартап Фонда развития интернет-инициатив (ФРИИ). HotWiFi начинал с услуги по обеспечению доступа к Wi-Fi для малого и среднего бизнеса, компания уже оборудовала по стране более 3 тыс. точек, в основном в кафе и ресторанах, рассказывает Степаненко. Для получения доступа к Wi-Fi пользователь авторизуется через телефон и соцсети, эта информация остается у владельца точки, в том числе для дальнейшего таргетирования рекламы в интернете. Например, HotWiFi помогла сети «Додо Пицца» собрать информацию о 200 тыс. клиентов.

Компания «Максимателеком», оператор бесплатного Wi-Fi в метро Москвы и Санкт-Петербурга, в наземном транспорте столицы и нескольких аэропортах, также собирает информацию о пользователях, но в отличие от коллег по рынку не загружает их в сторонние рекламные площадки, вроде myTarget. «Уникальное богатство, которое мы сами монетизируем», — говорил об этих данных «Деловому Петербургу» совладелец компании Алеко Крихели.

Иногда ловля клиентов больше напоминает охоту. «Максимателеком» установила в кофейне «Капучинка» у станции метро «Автозаводская» свои сенсоры и затем поймала телефонные идентификаторы всех, кто проходил мимо, указано в презентации компании. Из них был выделен список тех, кто постоянно подключается к Wi-Fi на этой станции, то есть либо живет, либо работает рядом, и они видели рекламу «Капучинки» при заходе в сеть «Максимателеком». Отследив вместе с заказчиком их дальнейшие передвижения, оператор установил: привлеченные клиенты сразу стали постоянными, совершив три покупки в течение трех недель, указано в презентации, посвященной этому кейсу.

Для того чтобы установить, дошел ли человек до магазина после просмотра таргетированной рекламы, необязательно расставлять хитрые сети из роутеров. Эффективнее продолжать слежку на кассе магазина.

На кассе

Тинькофф Банк первым из банков официально предложил заработать на своих клиентах, вспоминает руководитель крупного рекламного агентства. В 2013 году была запущен сервис «Тинькофф Таргет», через который ресторан или магазин может персонализировать предложения о кешбэке на основе анкетных данных клиента (возраст, пол, наличие автомобиля и т.д.), транзакционной информации и геопозиции. С системой работают несколько сотен активных партнеров, вся аналитика происходит внутри банка, заявил журналу РБК руководитель отдела развития программ лояльности банка Максим Филигаров.

Полноценные сторонние рекламные кампании на своих пользователях первым стал строить Сбербанк. В 2015-м он купил контрольный пакет Segmento, одной из старейших в России платформ по автоматизированной закупке рекламы в интернете на основе данных о пользователе. Segmento получает от Сбербанка cookies клиентов, пользовавшихся онлайн-услугами банка, затем мэтчит их с существующими аудиторными сегментами для показа таргетированных предложений. E-mail и телефоны не используются, подчеркивает директор компании Роман Нестер.

Самое главное — используя данные банка, Segmento может связать онлайн-активность человека с его действиями в офлайне. По такой схеме Segmento провела рекламную кампанию «Макдональдс»: получив данные о нескольких миллионах человек, посещавших фастфуд-рестораны и плативших картой Сбербанка, Segmento прокрутила им в интернете ролики нового сэндвича CreekMac. А затем еще и проанализировала, кто из видевших рекламу попробовал новинку. Таким же образом компания использовала информацию банка в рекламной кампании сети «Снежная королева» и туши от L’Oreal, следует из презентации компании. В 2017 году у Segmento было около 300 корпоративных клиентов, рекламные кампании которых были построены на сочетании онлайн-данных с обезличенными данными банка, говорит Нестер.

Сбербанк может сотрудничать с Segmento на условиях, при которых аналитика происходит на стороне финансовой организации, подчеркивают в компании. Остальные банки, если и монетизируют свои данные, то делают это на «полупубличной основе», говорит топ-менеджер крупного рекламного холдинга. «Неформально на этом рынке работают многие банки и платежные системы», — подтверждает директор крупного игрока по монетизации офлайн-данных.

Из ретейлеров на рынок данных официально вышла X5 Retail Group, в конце 2017 года объявив о сотрудничестве с платформой myTarget. Пользователи платформы Mail.Ru Group уже могут таргетировать рекламу на тех, кто покупал определенные продукты и, например, предъявлял карту лояльности. Среди доступных сегментов: владельцы посудомоечных машин (280 тыс. человек) или покупатели премиальных сигарет (1,4 млн). Корреспондент журнала РБК зарегистрировался в myTarget и отправил заявку на построение сегмента «покупатели кефира в Москве». Менеджер X5 Retail Group в ответе подтвердил готовность построить такую аудиторию. В самом холдинге X5 сообщили, что уже доступно более 1 тыс. сегментов, за последние полгода было проведено более 20 рекламных кампаний с их использованием.

Другой способ связать онлайн-таргетирование с офлайн-покупками — работа с операторами фискальных данных, которые начали активно выходить на рынок в середине 2017 года, рассказали журналу РБК топ-менеджеры нескольких рекламных агентств. В соответствии с законом такие операторы отвечают за передачу данных о покупках в ФНС и вправе монетизировать обезличенные данные. В чистом виде они представляют собой список покупок в конкретном городе, районе, магазине без привязки к конкретному клиенту. Но связать фискальные данные с человеком можно через карту лояльности, активация которой происходит с использованием мобильного телефона, говорит топ-менеджер крупной DMP-компании.

В обозримом будущем к процессу идентификации должны подключиться посредники, отслеживающие транзакции, например банки и платежные системы, добавляет Евгений Жданов. Еще одним посредником является сотовый оператор: оплатив покупку картой, клиент получает СМС от банка — в нем есть время, сумма и место покупки, что позволяет без труда смэтчить эти данные с чеком.

Телефон сам по себе является идеальным устройством для слежки: человек всегда носит его с собой, используя все чаще и для все большего количества задач.

В телефоне

Сообщение было получено вне рамок рабочего времени, «отвлекло от необходимых дел, вызвало беспокойство, раздражение, привело к формированию негативных ощущений и эмоций и дискомфортному состоянию в целом». Так описал свои моральные страдания от рекламного СМС новосибирский юрист Александр Жданов, подавая в 2016 году иск в местный суд. Эмоциональные подробности и отсутствие согласия абонента впечатлили судью, и она постановила заплатить Жданову за мучения 10 тыс. руб.

Мобильные операторы очень осторожно выходят на рынок данных из-за жестких требований закона «О связи», рассказали журналу РБК топ-менеджеры DMP-компаний. Даже на привычном рынке СМС-рекламы они исторически работают через сторонние технологические платформы, которые в первую очередь специализируются на нейтральном СМС-информировании клиентов банков или интернет-сервисов — о снятии денег или коде для восстановления пароля. Рекламные СМС для них — второстепенная услуга, рассказал журналу РБК руководитель одной из таких компаний.

Но сами платформы также не являются конечными заказчиками рассылки. В 2017 году УФАС по Москве и УФАС по Свердловской области потратили полгода, чтобы установить цепочку, по которой житель Екатеринбурга получил СМС с рекламой местного автоцентра. Схема похожа на сказку про репку: автоцентр заключил контракт с ООО «Моби-Сервис Урал», та — с компанией Instam, последняя — с родственной ей платформой «Крафт Телеком», у которой, в свою очередь, были заключены договоры с операторами связи. Из-за отсутствия согласия абонента нарушителем была признана «Крафт Телеком» (штраф — 250 тыс. руб.), следует из решения антимонопольной службы.

Адресная база для рекламной рассылки формируется двумя способами, говорит управляющий директор в регионе СНГ платформы Infobip Петр Якубович. Первый — клиент сам загружает в платформу телефоны, на которые нужно отправить сообщение. В этом случае получать согласие адресата должен заказчик, предварительной проверки не ведется, добавляет Якубович. Второй способ — список получателей формируется на основании баз сотовых операторов.


Рассылка по базе ведется тем абонентам, у которых в договоре есть пункт о согласии получать рекламные сообщения от операторов. Сейчас таких примерно 80% от общей базы, утверждает Якубович. Список получателей рекламных сообщений формируется на основании «таргетов». К примеру, у «МегаФона» их 11, указано в коммерческом предложении оператора: возраст и пол, средний размер счета за мобильную связь, операционная система телефона, интересы в интернете, конкретные адреса. Количество клиентов этой услуги растет на 20% ежемесячно, рассказали в пресс-службе оператора.

Например, компания Infobip для рекламы фитнес-центра таргетировала сообщения на мужчин и женщин в возрасте от 25 до 44 лет, проживающих или работающих в радиусе 5 км от местоположения заказчика (презентация компании). А дочерняя структура «Ростелекома» в конце 2016 года заказала через сайт госуслуг СМС-рассылку с рекламой своих офисов продаж в нескольких городах Урала абонентам МТС. В техническом задании указано: адресаты рассылки должны жить или работать в 3 км от офисов, обозначен их пол, возраст, образование, а также приведен перечень поисковых запросов в мобильном интернете — «перевести деньги», «если у банка отозвали лицензию, что будет с кредитом», «затопили соседи, как получить деньги» и даже «укус клеща страховка».

Иногда вводятся дополнительные, еще более конфиденциальные таргеты. В 2015 году московская технологическая платформа Instam отправила 250 тыс. MMS с рекламой сети ювелирных салонов, один из критериев при определении выборки — исходящие звонки в загсы и компании по организации свадеб. В своей презентации Instam предлагает также выбрать такие офлайн-атрибуты, как количество «нотификаций», то есть сообщений от служб такси или спортивных организаций.

В Instam не ответили на запрос журнала РБК, идет ли речь об информационных СМС, но сразу три игрока на рынке данных рассказали, что ряд технологических платформ по рассылке коротких сообщений предоставляет услугу по аналитике платежеспособности клиента на основе получаемых им СМС. Но используются такие сервисы не в рекламе, а в скоринге — второй по популярности сфере применения пользовательских данных. На нее, по мнению руководителя удостоверяющего сервиса IDX Светланы Беловой, приходится 30% потенциальных покупателей информации о гражданах.

Не только реклама: скоринг

В 2016 году Сбербанк провел эксперимент по использованию внешних пользовательских данных для оценки заемщиков. К пилотному проекту привлекли солидный пул поставщиков: сотовых операторов, Mail.Ru Group, технологического оператора по рассылке СМС компанию MFMS и ООО «Дабл Дата», которая специализируется на сборе информации из соцсетей и с общедоступных сайтов. Не у всех был высокий процент нахождения нужного клиента, но вместе они давали точную оценку его реального дохода, рассказывал на отраслевой конференции начальник отдела моделей оценки рисков розничных клиентов Сбербанка (репортаж с мероприятия опубликован в журнале «Директор информационной службы»).

Сбербанк выбрал для своего пилотного проекта все существующие на рынке варианты. Мобильные операторы выходили на рынок скоринга постепенно: «МегаФон» — примерно с 2014 года, МТС — с 2016-го, писал отраслевой портал Futurebanking.ru. Tele2 стал работать в этом сегменте в начале 2017-го и уже сотрудничает не только с банками, но и со страховщиками, рассказали журналу РБК в пресс-службе компании.

Весь анализ происходит на стороне оператора путем выставления так называемых скоринговых баллов. В октябре 2017 года банк «Российский капитал» заключил с «МегаФоном» контракт на предоставление справочных услуг по проверке благонадежности заемщика, следует из материалов сайта госзакупок. Согласно техзаданию, получив от заказчика номер телефона, оператор отвечает на вопросы: количество блокировок номера и их длительность, размер ежемесячных начислений, использование роуминга, частота смены телефонного устройства, район основной нагрузки на аппарат абонента в ночное и дневное время (то есть место работы и жительства). Оператор не выдает со своей стороны конкретные данные: в техническом задании заранее прописаны числовые диапазоны или варианты ответов, каждый из которых соответствует определенному баллу. Например, ежемесячный платеж от 500 руб. до 1 тыс. — это балл 3, а более 3 тыс. — 5.

Используется для оценки заемщиков и информация о поведении в интернете. DCA поставляла для «Хоум Кредита» и Альфа-банка поведенческую информацию о клиентах в интернете, аналогичная услуга есть и у CleverDATA, следует из презентаций компаний. Работает на этом рынке и Mail.Ru Group: в 2016 году холдинг заключил контракт с Почта Банком на «информационные услуги» по оценке платежеспособности клиентов, указано на сайте госзакупок. В 2017-м Mail.Ru Group подписала договор со Сбербанком стоимостью свыше полумиллиарда рублей, но какая-либо документация на портале госзакупок отсутствует. В Сбербанке сообщили, что холдинг «оказывает услуги по анализу данных», их результаты «используются для лучшего понимания потребностей клиента». В Mail.Ru Group добавили, что этот анализ осуществляется «с использованием математических моделей, построенных с помощью методов машинного обучения».

Наконец, банки работают с компаниями, специализирующимися на сборе и систематизации информации из соцсетей без установки трекеров (data mining): у крупнейшего представителя этого сегмента, компании «Дабл Дата», — 24 партнера из числа крупнейших финансовых организаций, рассказал директор компании Максим Гинжук. Скоринг — не единственное применение технологии data mining, собранные роботами данные также используются для построения клиентских портретов и даже для надзора за детьми.

Не только реклама: HR, маркетинг, медицина

Осенью 2017-го московская компания Social Data Hub, специализирующаяся на сборе информации из соцсетей, запустила сервис «Родительская опека»: всего за 150 руб. в месяц можно получать предупреждение, не начал ли ваш ребенок писать посты экстремистского содержания или не вступил ли в группы с запрещенным контентом. Сервис вызвал бурное обсуждение в соцсетях, но по состоянию на февраль 2018-го у него уже было около 30 тыс. клиентов, рассказал журналу РБК основатель Social Data Hub Артур Хачуян.

Компании активно используют пользовательские данные в маркетинге и сфере HR, говорит директор CleverDATA Денис Афанасьев. К примеру, его DMP помогала набирать продавцов для крупного ретейлера, указано в презентации компании. Сначала заказчик, имя которого не разглашается, проставил оценки 3200 действующим сотрудникам. После этого CleverDATA через свои алгоритмы построила их портреты, используя информацию из социальных сетей, от платежных систем и операторов по рассылке СМС. Полученные портреты накладывали на соискателей, обогащая информацию о них по тем же принципам, а затем получали «прогноз успешности продавца».


Около 60% компаний приходят к «Дабл Дата» за построением портрета своей аудитории, который потом используется, например, при создании новых продуктов, рассказал журналу РБК ее директор Максим Гинжук. Результат анализа похож на отчет по итогам традиционного устного опроса, но только формируется на основе данных о миллионах реальных покупателей и содержит тысячи показателей, говорит он. Среди заказчиков услуги — ретейлеры, телекоммуникационные компании, автодилеры, фарм-компании, заключает Гинжук.

Основанная выходцами из «МегаФона» компания oneFactor использует для маркетингового анализа данные мобильного трафика. Например, на основе информации о распределении нагрузки телефонов на сеть oneFactor сделала предложения для крупной фастфуд-сети по предпочтительным локациям новых торговых точек. Сейчас такие услуги занимают треть в выручке компании, говорит ее директор Роман Постников. Исторический партнер компании — «МегаФон», но oneFactor использует данные и других сотовых операторов, утверждает он.

В США пользовательские данные активно используются в медицине, в частности при составлении анамнеза, говорит Афанасьев: интернет скажет о предпочтениях и привычках пациента больше, чем он сам. В России этот сегмент рынка еще не развивается, добавляет он. «Ко мне несколько раз приходили ребята, предлагали монетизировать данные об анализах, но как?» — вспоминает топ-менеджер рекламной платформы. Страховые компании уже используют пользовательские данные для оценки реального состояния здоровья клиента: Social Data Hub готовит для них отчеты на основании информации из соцсетей, например, не увлекается ли клиент, пришедший за медстраховкой, экстремальными видами спорта.

Сфера применения пользовательских данных все время расширяется, но на рынке данных при этом происходит «отрицательная динамика», говорит директор Segmento Роман Нестер — рынок консолидируется вокруг площадок, которые собирают информацию, но не делятся ею. «Данные — квазивалюта XXI века», — объясняет такой подход Постников.


Кто владеет данными

Ни глобальные ИT-гиганты, вроде Google или Facebook, ни «Яндекс» и Mail.Ru Group не продают свои данные. Сотовые операторы, банки, ретейлеры тоже не выставляют на рынок информацию о своих пользователях. Все заинтересованы в том, чтобы использовать одну и ту же клиентскую базу на своей стороне для решения конкретной задачи заказчика, а не продавать сырую информацию, объясняет Светлана Белова.

В итоге поставщиками данных становятся те, для кого они вторичный ресурс, говорят участники рынка: интернет-магазины, владельцы счетчиков посещений, геоинформационные сервисы, службы по установке кнопок «поделиться в соцсетях» — все, кто ведет сбор cookies. Их основные покупатели — независимые DMP-компании, которые занимаются анализом данных и передачей аудиторных сегментов клиентам для открутки рекламы, скоринга или HR.

По версии отраслевого объединения IAB Russia, выпустившего в 2016 году первый обзор рынка, в России пять основных DMP-компаний: Aidata, CleverDATA ИT-холдинга «Ланит», DCA культуролога и девелопера Александра Долгина, российское подразделение французской Weborama и AmberData, входящая в Национальную медиа группу. Но совокупная доля этих и других независимых игроков на рынке не превышает 5–10%, говорят директор по маркетинговым технологиям группы компаний OMD OM Сергей Ефимов и руководитель платформы Hybrid Дмитрий Чеклов.

При этом крупные держатели данных только наращивают свои возможности, выстраивая сотрудничество по принципу общего акционера. Так, Mail.Ru Group обменивается обезличенными данными с «МегаФоном», рассказали журналу РБК два игрока рынка и подтвердил участник последней телеконференции холдинга для инвесторов, посвященной выходу отчетности по МСФО за 2017 год. «Ничего не отдают, только обогащают свои сегменты», — пересказал он слова представителей холдинга. В «МегаФоне» и Mail.Ru Group не прокомментировали эту информацию. («МегаФон», основным акционером которого является USM Group Алишера Усманова и его партнеров, владеет 15,2% Mail.Ru Group.)

Другой пример потенциально сильного конгломерата — Segmento. В конце 2016 года партнером Сбербанка в компании стал венчурный фонд АФК «Система», которая является основным владельцем МТС. Пока «Система» не монетизирует свои данные через Segmento, но такая возможность остается открытой, говорит Роман Нестер. Пилотные продукты по проектам МТС могут быть представлены уже в 2018 году, добавил президент Sistema VC Алексей Катков.

Оценить объем рынка пользовательских данных крайне сложно, говорят все собеседники журнала РБК — очень многие сделки по продаже и покупке такой информации не афишируются. Реклама является наиболее прозрачной сферой применения информации о людях, но опрошенные игроки считают, что в оборот этого сегмента нельзя включать рекламные доходы таких компаний, как «Яндекс», Mail.Ru Group и Google. «Через свои платформы они предоставляют бесплатный доступ к своим данным», — поясняет основатель платформы Auditorius Геннадий Нагорнов.

Такого же мнения придерживаются в самих ИT-гигантах. Отдельного «рынка данных» в Mail.Ru Group не видят, «есть рынок рекламы на данных», подчеркивает первый замдиректора холдинга Дмитрий Сергеев. «Яндекс» не закладывает стоимость данных в стоимость контракта, заявили в пресс-службе компании.

В этих условиях остается только оборот маленьких независимых игроков. В 2016 году выручка поставщиков данных на рынок интернет-рекламы составила лишь 180 млн руб., подсчитали ранее в IAB Russia. По мнению Нагорнова, емкость этого рынка не превышает 200 млн руб., примерно та же оценка у Ефимова. Глава лаборатории данных Dentsu Aegis Network Russia Михаил Шкляев называет цифры в 300–400 млн руб.

Еще более приблизительными получаются денежные оценки других сфер. Объем скоринговых и маркетинговых услуг в 2017 году достиг 3 млрд руб., полагает Шкляев. Отдельно скоринговый рынок мог вырасти до 1 млрд руб., говорит исполнительный директор Skolkovo Ventures Дмитрий Щиголев. Наконец, по мнению управляющего партнера «TMT Консалтинг» Константина Анкилова, операторы связи заработали в 2017 году на Big Data менее 1 млрд руб.

Потенциал рынка выглядит гораздо серьезнее. В перспективе пяти-семи лет объем маркетинговых услуг на основе точных знаний о гражданах составит около $500 млн, рынок скоринга вырастет до 5 млрд руб., заказы государственного сектора в этой сфере могут составить $500 млн, подсчитали ранее в Skolkovo Ventures. В IDX потенциал рынка оценили в 30 млрд руб. — если бы у нас был правильный или хотя бы сравнимый с европейским правовой ландшафт, отметила директор компании Светлана Белова. Пока же рынок фактически работает в серой юридической зоне, заключать прозрачные сделки и делать точные подсчеты затруднительно.

Законно ли все это

Все компании, работающие на этом рынке, при любом удобном случае подчеркивают, что работа с персональными данным ведется в «обезличенном» и «безопасном» виде. Но в Роскомнадзоре не признают термина «обезличенные персональные данные» по отношению к сookies, информации о перемещениях гражданина на основе геолокации, данных о поведении на страницах интернет-магазинов.

Эту информацию следует рассматривать как «пользовательские данные», косвенно относящиеся к человеку, объяснил позицию ведомства начальник управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров. А хэширование — основа основ при передаче данных от поставщика к DMP-компании — не может считаться способом «обезличивания» информации, так как относится к криптографическим средствам защиты информации, добавил он.

В Роскомнадзоре подчеркивают, что согласие пользователя на обработку его данных можно получать в любой форме, в том числе просто включив такой пункт в пользовательское соглашение сайта (если иное не предусмотрено законом). Нельзя лишь нарушать принцип целеполагания, продолжает Контемиров: персональные данные должны использоваться для тех целей, для которых собраны.

Правда, последний принцип не соблюдается постоянно: проданные интернет-магазинами cookies применяются, например, для скоринга. Российское законодательство в области персональных данных зачастую сложно соблюдать в том виде, в котором его трактует Роскомнадзор, замечает старший менеджер по оказанию юридических услуг Deloitte CIS Александр Тюльканов. Собрав и истолковав все законы и подзаконные акты, можно отладить систему работы компании на этом рынке, но в итоге «казуистика» может закончиться конфликтом с регулятором, уверен управляющий партнер петербургского офиса Dentons Виктор Наумов. «Все это шито белыми нитками, и Роскомнадзор может прихлопнуть кого угодно», — заключает Белова.

В Роскомнадзоре, однако, обещают не проводить широкомасштабные проверки в данной сфере. Задача ведомства — просвещать и предостерегать, и ситуация меняется: игроки рынка настроены на то, чтобы работать в существующем правовом поле, уверен Контемиров. Последнее громкое решение ведомства — запрет собирать информацию со всех соцсетей, Avito.ru и Auto.ru, полученный «Национальным бюро кредитных историй» в 2016 году.

В конце 2017 года правительство России утвердило план модернизации нормативной базы в рамках программы «Цифровая экономика». По плану к маю 2018-го должен быть готов законопроект по регулированию доступа к общедоступным данным, к августу — об уточнении порядка обезличивания данных и получения согласия пользователей. Окончательное принятие документов отнесено на декабрь 2018-го и май 2019-го соответственно.

Подготовкой предложений занимаются структуры, указанные в правительственном документе в качестве соисполнителей: ФРИИ и центр компетенций фонда «Сколково». В феврале рабочие группы ФРИИ и «Сколково» даже собирались вместе, чтобы скоординировать работу. Внести изменения в закон «О персональных данных» намерен и Медиа-коммуникационный союз, который разрабатывает документ под названием «Информационный кодекс».

Обновление законодательства необходимо, чтобы вывести торговлю данными из серой зоны, говорит замдиректора ФРИИ Сергей Алимбеков. Сейчас не так важно, какая именно концепция будет принята, — рынку необходимо любое регулирование, отвечающее на основные вопросы его игроков, считает Евгений Жданов.

По мнению собственника компании DCA Александра Долгина, время для нормотворчества еще не наступило: «Невозможно прописать нормы по отношению к тому, что находится в динамичном изменении. Большие данные быстро меняются, и пока непонятно, от чего нужно защищаться».

Большие игроки рынка данных должны сами регулировать свою работу через СРО, говорит Дмитрий Сергеев из Mail.Ru Group. Идея создания Ассоциации больших данных обсуждается крупными компаниями с 2017 года, сейчас идут «внутренние консультации», отмечают в Mail.Ru Group. В «Яндексе», чьи представители принимают участие в рабочих группах, предлагают ввести «кодекс добросовестных практик» для компаний рынка данных и выступают за «системную просветительскую работу, которая закрепит в сознании разных людей базовые понятия безопасного поведения в новой среде».

Сохранить конфиденциальность уже невозможно, считает глава одной из компаний, занимающихся data mining. «Я стараюсь не оставлять лишних следов в Сети, пиццу заказываю в соседний дом, не регистрируюсь в GetContact. У меня есть телефон на случай, условно говоря, атомной войны, его знают 50 моих друзей, и на него все равно звонят спамеры».

Теперь вернемся к публикации «Коммерсантъ». Независимый исследователь по кибербезопасности, руководитель проекта Security Discovery Боб Дяченко сообщает в своем Twitter об обнаруженном сервере онлайн-кредитора, на котором находились кредитные истории более миллиона россиян, полученные из бюро кредитных историй (БКИ) «Эквифакс», а также c данными сотовых операторов.
Господин Дяченко пояснил “Ъ”, что обнаружил открытую СУБД MongoDB 10 октября, но она была проиндексирована специализированными поисковиками вроде Shodan или BinaryEdge еще 28 августа. Владелец сервера не реагировал на попытки с ним связаться.
Господин Дяченко сообщил о проблеме в БКИ, после чего база данных была закрыта. Поскольку поисковики проиндексировали ее давно, то шансы, что ее кто-либо успел скачать, по его мнению, высокие. “Ъ” изучил информацию, которая потенциально могла оказаться в руках злоумышленников.
Название базы данных отсылает к микрофинансовой компании «ГринМани», выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования. База данных содержит 29 коллекций (директорий).
В базе есть данные нескольких сторонних сервисов для оценки заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов. Обратите внимание, основной объем утекшей информации приходится на кредитные истории, хранящиеся в коллекции «Эквифакс»,— свыше 1 млн записей (более 52,5 Гб).

Иными словами, вы пришли в солидный банк за ипотечным кредитом, заполнили кучу бумаг, в которых обозначили все обстоятельства касаемо своей личности, а завтра все эти данные можно будет увидеть на «любой помойке». О том, что это за данные уточняет «Коммерсантъ»: «В частности, в них содержатся полные паспортные данные и другие документы заемщика, адрес регистрации и фактического места жительства, номера телефонов, а также информация о кредитах и скоринговом балле. Похожие данные содержатся и в коллекции ОКБ, но записей в ней намного меньше — около 130 тыс. (825 Мб). Сотовые операторы привлекались, судя по всему, лишь для проверки телефонного номера». МФК «ГринМани», по данным «Эксперт РА», по итогам первого полугодия 2019 года занимала 13-е место по общему размеру портфеля микрозаймов. Однако 12 сентября ЦБ исключил ее из реестра МФО за многочисленные нарушения, связанные как с отношениями с заемщиками, так и с предоставлением недостоверной отчетности регулятору. Одна из причин — «осуществление взимания вознаграждения за услугу по предоставлению сведений в бюро кредитных историй, оказывая которую общество действовало исключительно в собственных интересах».

Гендиректор «ГринМани» Андрей Луцык заявил “Ъ”, что проводится проверка для выяснения «всей информации по данному случаю». «Компания соблюдает все требования по хранению и обработке персональных данных, предусмотренные законодательством,— заявил господин Луцык.— До окончания проверки преждевременно говорить о том, что произошла какая-либо утечка». В «Эквифакс» заверили, что оттуда данные не утекали, но не стали уточнять, предпримут ли они какие-либо действия.

В ОКБ подтвердили, что «ГринМани» была одним из их клиентов с 2015 года по сентябрь 2019-го. По словам представителя ОКБ, все запросы в адрес ОКБ делались этой МФК в период до отзыва лицензии в полном соответствии с законодательством и при наличии действующего согласия заемщика. Последний запрос датирован маем 2019 года. В ЦБ заявили, что требования к обеспечению защиты информации для некредитных финансовых организаций уже установлены положением №684-П.

Несмотря на то что сервер, на котором располагалась в свободном доступе MongoDB, был тестовым, скорее всего, он содержал копию реальной базы, предназначенную для разработчиков, считает основатель DeviceLock Ашот Оганесян. По его словам, уже бывали аналогичные случаи с другими МФО.

«Даже банки часто относятся к своим обязанностям халатно, и МФО от них не отстают,— считает гендиректор Zecurion Алексей Раевский.— Пока ответственность за утечки не усилят, мы будем получать такие печальные новости».

Итак, круг замкнулся. Все решили, что «мальчика не было». Утечки тоже не было, потому что все необходимые меры безопасности приняты. Сказанному верить без сомнений, в противном случае будет вызвана полиция, или еще вернее, признают распространителем экстремизма. А чего церемониться то. Радоваться должны, что им могут выдать кредит под грабительский процент. А нарушать «порядок и устои государства» недопустительно». Так что господа «новая нефть» улыбаемся и машем. А на преступные посягательства «честных мошенников», которых не защищают закон и полиция реагируем радостно и смиренно. Ибо в смирении сила «новой нефти».

P|s

Минэкономики планирует провести в 2020 году эксперимент, в рамках которого некоторые банки начнут оказывать часть госуслуг, сообщают «Известия» со ссылкой на проект постановления правительства. В нем будет участвовать шесть организаций: Сбербанк, ВТБ, Россельхозбанк, Газпромбанк, Тинькофф-банк и Связь-банк. Эксперимент пройдет в пяти регионах — в Московской, Астраханской и Кировской областях, республике Башкортостан и в Санкт-Петербурге.
Получить госуслуги можно будет как в отделениях банка, так и онлайн. Тинькофф-банк, у которого нет отделений, будет оказывать услуги через мобильное приложение либо через представителей, которые будут выезжать к клиентам. Банки, в частности, будут заниматься выплатой пенсий, материнского капитала, регистрацией и снятием с учета страхователей, приемом налоговых деклараций, оформлением ИП и т. д.

Игорь Панарин

Комментариев нет:

Отправить комментарий