Все на продажу
Для современных преступников кража иных коммерческих бумаг в нужное для заказчика время может быть намного выгоднее похищения, к примеру, коллекции бриллиантов. Неудивительно, что во всех цивилизованных странах любая информация внутреннего пользования, на продаже которой можно заработать, хранится за семью печатями. Утечка сведений из корпоративных баз данных в серьезных зарубежных фирмах карается увольнением всех, кто имел доступ к ней. Вот почему продажа закрытой информации на СD-дисках на Западе - нонсенс. В то время как у нас вполне сложивший бизнес. В России по федеральному Закону "Об информации, информатизации и защите информации" "...Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу". Тем не менее различные базы данных для внутреннего пользования из таких организаций, как ГАИ, БТИ, Москомзем, Таможенный комитет, МГТС и других организаций продаются в розницу там же, где торгуют музыкальными и другими компакт-дисками.
Торговцы секретными материалами предлагают свой товар по электронной почте, рассылая список нелегальной продукции по всем найденным адресам. Средняя цена базы данных вместе с установкой 2600 рублей.
На днях украдут базу данных таможни
Одно из таких посланий информационных пиратов, где перечислялись базы данных по личному автотранспорту, жилью и внешнеэкономической деятельности и расценки на них, прислал в "Российскую газету" наш читатель. Возмущенный наглостью продавцов, которые осмелились открыто предлагать людям ворованную информацию, он просил нас разобраться, почему мошенникам удается выходить сухими из воды.
Не у каждой обворованной организации есть документы, подтверждающие, что украденная информация составляет коммерческую тайну.
Притворившись заинтересованным покупателем подпольной ведомственной информации, звоню тем, кто ее, собственно, предлагает. "Пират" на другом конце провода оказался очень вежливым и подробно описал товар. Даже предупредил, что деньги "за услуги" возьмет только после установки компакт-диска. Заметив, что в ходе разговора я проявляла внимание к последним информационным данным из Таможенного комитета, подпольный бизнесмен дружески посоветовал подождать недельку-другую и взять самую новую версию. По секрету "консультант" добавил, что ее должны подвезти со дня на день.
Напоследок я поинтересовалась, есть ли гарантия, что база полная и свежая.
- Ну где же мы вам гарантии-то достанем, это нереально. Зато можем прислать курьера, чтобы он запустил демо-версию: не понравится - откажетесь.
Куда смотрит милиция
Совершенно очевидно, что на распространение и тиражирование скопированных данных у фирмы нет никаких официальных прав. Так что привлечь к ответственности нелегалов легко: по тому же контактному телефону с продавцами конфиденциальной информации могут связаться и сотрудники правоохранительных органов. Резонно спросить: куда же смотрит, к примеру, УБЭП?
- Туда, куда надо, - рассказывает пресс-секретарь УБЭП ГУВД г. Москвы Филипп Золотницкий. - Наблюдение за деятельностью этих мошенников ведется постоянно. Но задержать их не так легко, как кажется. Торговец базами данных ответственности за утечку информации из той или иной организации не несет. Его можно только оштрафовать за реализацию нелицензированного товара и конфисковать этот самый товар. Но чтобы аналогичная продукция снова не появилась в продаже, надо раскрыть всю цепочку аферистов. Это долгий процесс: продавец зачастую плохо знает даже хозяина торговой точки, не говоря уже о личности человека, через которого непосредственно происходит утечка информации из фирмы. А поиск высокотехнологичных преступников не совсем наш профиль.
Вопросами информационных грабежей более детально занимаются высоколобые интеллектуалы в Управлении "К". Но и они пока не в силах остановить пиратов:
- Косвенных улик недостаточно, чтобы доказать, что конкретный человек, который имеет доступ к определенному сегменту базы данных, использовал полученную информацию не для служебного пользования, - рассказывает пресс-секретарь Управления "К" МВД РФ Анатолий Платонов. - Нужны свидетельские показания, подтверждающие, что эта информация использовалась не по назначению, нужна помощь внутренней службы безопасности, чтобы вычислить недобросовестного сотрудника. Были случаи, когда доступом к базе данных пользовались посторонние лица. Но прежде чем предъявить обвинение тому или иному человеку, необходимо документальное подтверждение, что нелегально скопированная база данных, которая ушла на рынок, действительно составляет коммерческую или государственную тайну. Не у каждой обворованной организации есть документы, подтверждающие, что украденная информация составляет коммерческую тайну.
И действительно парадокс получается: с одной стороны, есть вполне официальное наказание за хищение закрытой информации. В соответствии со статьей 183 УК, "Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений, наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо лишением свободы на срок до двух лет. А крупный ущерб, вызванный информационным воровством, карается "штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы, или иного дохода осужденного за период от двух до пяти месяцев, либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда, или в размере заработной платы, или иного дохода осужденного за период до одного месяца".
С другой стороны, прежде чем ловить за руку "чужих среди своих", надо еще собрать доказательства, что человек украл не просто информацию, а коммерческую тайну. Официально под коммерческой тайной подразумеваются "сведения, не являющиеся государственной тайной, связанные с производством, технологией, управлением, финансовой и другой деятельностью хозяйствующего субъекта, утечка которых может нанести ущерб его интересам". Но на деле возникает путаница. Во-первых, потому, что нет нормативного документа, где бы ясно были прописаны разница между безобидными базами данных, которые содержат прикладную информацию, и особо ценными для фирмы или организации. А во-вторых, далеко не все фирмы включают в контракт с сотрудниками грозные пункты, в которых сообщается, какое именно наказание понесет сотрудник в случае нелегального распространения информации.
Сверху видно все
Есть в этом деле и еще один камень преткновения под названием "интеллектуальная собственность". Когда в трудовом контракте или уставе компании нет четко прописанных норм и правил, очерчивающих права и обязанности служащих, то разработчики тех или иных программ и документов считают, что они вправе распоряжаться ими по собственному желанию. Тогда как по закону любой интеллектуальный продукт, производимый в организации, не может использоваться сотрудниками с нарушением интересов организации.
Получается так, что сегодня спасением закрытой информации должны заниматься те фирмы и ведомства, откуда происходит утечка.
И, что характерно, они занимаются. В государственных организациях, не говоря уже о коммерческих, есть системы защиты информации, которые фиксируют пользователей и блокируют доступ к закрытой информации тех, у кого нет специального ключа-пароля. Но все равно воруют.
- Качество защитных систем здесь ни при чем, - горячится генеральный директор ОКБ Юрий Гусаров, чья фирма устанавливала информационную защиту для многих серьезных организаций, в том числе и Таможенного комитета. - Мы отдаем в руки заказчику своего рода оружие, им можно воспользоваться во благо, а можно во вред. Все зависит от людей, которые работают на фирме, если им выгодно, чтобы информация просачивалась, то никакая система блокировки не поможет.
Но сваливать всю вину на корыстолюбие сотрудников не стоит. Добыть коммерческую тайну с экрана монитора можно и на расстоянии. Для этого не требуется каких-либо сверхсложных систем перехвата информации. Может быть использован обыкновенный телевизионный приемник со специальной аппаратурой.
- Подобные устройства были изобретены более двадцати лет назад, - рассказывает инженер одного из конструкторских бюро Виталий Смагин. - А потому внутренней защиты информации недостаточно. Системный блок и монитор должны быть обшиты экранами и защитными стеклами, кабели - в особой броне.
А тем временем пираты посмеиваются над этими техническими мерами предосторожности:
- Как бы информацию ни защищали, базы данных будут утекать, пока на них есть спрос, - рассказывает один из продавцов пиратских дисков на Горбушке. - Низкооплачиваемые служащие всегда готовы заработать на документах, к которым имеют доступ. Более того, сотрудники многих государственных учреждений сами звонят и предлагают данные, предназначенные исключительно для внутреннего пользования. Другое дело коммерческие тайны крупных фирм, за которой охотятся конкуренты. Их на компьютерных носителях не держат и на рынках кому попало не продают. Они утекают по индивидуальным маршрутам.