Течет и вменяется: в Сеть попали еще 76 млн записей о клиентах
Вероятная утечка персональных сведений о россиянах от оператора фискальных данных "Дримкас", по-видимому, оказалась более серьезной, чем предполагалось.
Ранее "Известия" сообщали, что 9 сентября в Сети появилось 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах. Однако, как сообщили в компании по кибербезопасности DeviceLock, еще 8 августа в общем доступе оказались 76 млн строк с различными данными. В "Дримкас" факт этой утечки подтверждать отказались. В ФНС подчеркнули, что появившиеся в Сети данные — не с контрольно-кассовой техники, таким образом, вся ответственность за случившееся лежит на "Дримкас". Налоговая всё равно проводит проверку компании.
Серия вторая
С серверов оператора фискальных данных "Дримкас" в общей сложности, вероятно, утекло более 90 млн записей с различными данными о юридических и физических лицах. Ресурс ОФД с 76 млн строчек информации, по-видимому, с 8 августа семь дней находился в открытом доступе, сообщили "Известиям" в DeviceLock. 9 сентября на три дня стали доступны журналы с более 14 млн записей, писали "Известия" ранее.
Среди попавших в Сеть сведений — полные реквизиты фискальных чеков (есть в распоряжении "Известий"), включая порядковый номер, дату и время, ФИО продавца, количество товара, его название и цену. Например, 1 августа 2019-го покупатель с квитанцией номер 44793 купил три упаковки чипсов со вкусом зеленого лука за 31 рубль за штуку и пачку сигарет за 102 рубля. Оператор работал в смену с номером 360. Общая сумма —195 рублей, включая 6% НДС по упрощенному налогообложению. В другом чеке от 30 июля 2019-го видно, что сигареты куплены за 107 рублей в "Магазине у клена", расположенном в городе Новоалтайске.
В пресс-службе ФНС "Известиям" сообщили, что попавшая в открытый доступ информация с серверов передавалась в рамках отдельной коммерческой услуги "Дримкас кабинет", которая не подлежит регулированию и защите в рамках законодательства о контрольно-кассовой технике.
— Защищенный канал связи, по которому идет обмен данными с ФНС, не затронут. Мы проводим проверку ОФД "Дримкас" в части передаваемых сведений в рамках коммерческих сервисов. По закону операторы несут ответственность за сохранность полученной ими информации. По результатам проверки будут приняты соответствующие меры, — говорится в сообщении пресс-службы ФНС.
В "Дримкас" не ответили на вопрос "Известий", каким образом в онлайне оказалась доступная компании информация, однако уточнили, что конфиденциальность фискальных данных на сервере ОФД не нарушена и разглашения персональных сведений не происходило. Ранее в компании заявляли, что в начале сентября серверы были атакованы и контур защиты на одном из них пострадал, но проблема уже устранена.
— Проводится дополнительный аудит и модернизация системы безопасности, — сообщал "Известиям" гендиректор "Дримкас" Павел Толстоносов.
Согласно ФЗ № 54 "О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации" фискальные данные — это сведения о расчетах, включая информацию об организации или индивидуальном предпринимателе и о применяемой контрольно-кассовой технике.
Человеческий фактор
Опрошенные "Известиями" юристы подтвердили, что утекшая информация — фискальная. Фамилия, имя и отчество кассира — персональные данные, поскольку они прямо относятся к физическому лицу и позволяют его определить, пояснила партнер коллегии адвокатов Pen&Paper Екатерина Тягай. Если указанные данные содержатся в чеке, то они фискальные, указал адвокат, руководитель налоговой практики юридической компании BMS Law Firm Денис Зайцев.
За слив персональных данных в Сеть предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность — лишение свободы на срок до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.
Утечки такого рода связаны с некорректной политикой безопасности. Если процесс настроен, то организация производит контроль внутренних и внешних периметров, отметил бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. По его словам, серверы попадают в открытый доступ, когда компании не очень внимательно относятся к мониторингу, а самое главное — к политике конфигурирования своих систем.
Так как результаты работы технических средств анализируют вручную, то, скорее всего, причиной утечки стал человеческий фактор, предположил технический директор "Киви" Кирилл Ермаков. Для зрелых компаний свойственно наличие строгих бизнес-процессов управления собственными серверами и программным обеспечением. И политика доступа к ресурсам извне упрощенно звучит как "запрещено всё, что не разрешено", подчеркнул эксперт.
— Возможно, в данном случае имела место ошибка конфигурирования сервера администраторами системы. Или же, к примеру, ошибка настройки межсетевого экрана, — предположил Кирилл Ермаков.
Ранее "Известия" сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.