Намерение российских властей присвоить каждому гражданину страны личный номер связано с объединением нескольких баз данных в одну единственную, где будут храниться все сведения о человеке. Построение подобных централизованных систем национального масштаба приводит к концентрации конфиденциальных данных в центральном хранилище.

Эти данные представляют несомненный интерес как для злоумышленников, так и для конкурентов.

Только техническими средствами безопасность этих данных не обеспечить. Необходимы жесткие организационно-оперативные меры для полноценной защиты критичной информации. Есть и не менее важный технический аспект защиты такого рода информации.

Не секрет, что обеспечению безопасности массивов данных, или попросту говоря баз данных, в России уделяется пока не слишком много внимания, несмотря на то, что технологии, использующие в своей основе различные базы данных, становятся все более распространенными.

Конфиденциальность

Когда речь идет о легальных пользователях этих массивов информации — вопросов не возникает. Но когда информацией пользуются посторонние — это уже проблема.

Как утверждают представители разработчика защищенных бизнес-систем, компании «Информзащита», личную информацию о миллионах людей сегодня можно купить меньше чем за 1000 рублей.

Эта информация накапливается о нас повсеместно. Это и телефонные базы данных МГТС, базы данных ГИБДД, информация пенсионного фонда, информация о прописке и данные ОВИРов.

Деятельность компаний можно отследить по государственному реестру предприятий, данным Госкомстата, базам данных по банковским переводам.

Утечка или кража этих данных — явление далеко не единичное. На руках у торговцев мы постоянно встречаем все более свежие данные. Базы данных своих абонентов ведут сотовые операторы, но и эта информация тоже легкодоступна.

«И бог бы с ним, ваш телефон может быть известен всем — вы не звезда, и толпа поклонников не будет докучать вам по ночам. Но если после небольшого ДТП к вам будут приставать с угрозами и требованиями вернуть деньги немедленно, вы задумаетесь о конфиденциальности своих персональных данных», — говорит эксперт по информационной безопасности директор по управлению проектами компании «Информзащита» Дмитрий Шепелявый.

Утечки

Как же эта информация становится доступна всем? Ведь любая компания, любое министерство или ведомство тщательно защищает свои базы данных, а производители этих баз уверяют, что их продукты имеют встроенные механизмы защиты?

«Основными причинами утечки информации из баз данных являются излишние привилегии пользователей и уязвимости программного обеспечения, — утверждает Дмитрий Шепелявый. — Причинами уязвимостей программного обеспечения также чаще всего является погоня за скоростью выпуска программных продуктов. Рынок требует от продукта все больших функций, и, как правило, первой жертвой увеличения скорости разработки является качество и безопасность».

«Борьба с этими угрозами заключается в тщательной отладке программного обеспечения, полноценном использовании имеющихся в базах данных защитных механизмов, а также в аккуратной настройке дополнительных средств защиты информации, таких как межсетевые экраны и системы обнаружения вторжений», — говорит генеральный директор компании «Информзащита» Владимир Гайкович.

Вопросы возможных негативных последствий централизации критичной информации и потенциальные угрозы от утечки такой информации все еще обсуждаются, однако многие конфиденциальные данные по-прежнему не защищены.

Михаил Михин

для bbcrussian.com, Москва

27 октября 2004 г., 10:38 GMT 14:38 MCK

Би-би-си