Статья кража личных данных

Кража информации сотрудниками по УК РФ

Содержание статьи

Сведения, которые относятся к определенному человеку, считаются личной информацией. Что делать, если совершена кража персональных данных, какая ответственность грозит преступнику, вы узнаете из нашей статьи.

Что делать, если у вас украли личные данные?

Личными данными человека являются:

  • его имя, фамилия и отчество;
  • дата и место рождения;
  • адрес регистрации;
  • доходы и имущественное положение;
  • семейное положение и социальный статус;
  • номер телефона и адрес электронной почты;
  • конфиденциальная информация о здоровье.

Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ (далее — Закон № 152-ФЗ) обязывает всех, кто работает с чужими данными, спрашивать разрешение на это. Так, например, гражданину предлагают подписать согласие:

  • при трудоустройстве;
  • при взятии в банке кредита;
  • при прохождении медицинского осмотра;
  • при открытой регистрации на сайте в сети интернет и т.д.

Обратите внимание!

Согласие на обработку личных сведений можно отозвать в любое время.

Ситуации, когда информацией о гражданине используются без его согласия, за редкими исключениями неправомерны и дают основание подозревать, что была совершена их кража. Закон нарушен, если:

  • обслуживающая жилищная компания размещает в открытом доступе список лиц, имеющих задолженности по квартплате, раскрывая в нем не только сумму долга по каждой квартире, но и фамилии, имена, отчества собственников жилья;
  • сведения о детях, доходах, наличии недвижимости и т.д. распространяются в интернете;
  • на личный номер сотового телефона звонят представители неизвестных фирм с рекламными предложениями, при этом называя имя и отчество абонента.

Как только выяснилось, что была совершена кража персональных данных, необходимо заявить об этом в официальные структуры, требовать поиска виновного и восстановления собственных прав.

Куда обращаться?

При краже и использовании ваших персональных данных обращаться следует в Роскомнадзор. Это можно сделать:

  • направив заявление в электронной форме;
  • направив заявление почтой;
  • на личном приеме у руководителя (его зама) местного Управления Роскомнадзора.

Непосредственно хищениями данная структура не занимается, но проводит проверки исполнения требований Закона № 152-ФЗ, в том числе в части использования личной информации сторонними лицами.

Заявление будет проверено, по его результатам возможна передача сведений в правоохранительные структуры. Если ответ Роскомнадзора заявителя не устроит, он может его обжаловать в вышестоящую структуру.

Обратиться с заявлением о нарушении своих прав в рамках Закона № 152-ФЗ можно и в прокуратуру. Будет организована проверка, в которой, возможно, обяжут участвовать и Роскомнадзор. При выявленных нарушениях материалы дела будут переданы в суд.

При нарушении тайны переписки, а значит, при краже личной информации, следует сразу обратиться в Следственный отдел.

Обратите внимание!

Максимальный срок рассмотрения обращений граждан государственными структурами может быть не более тридцати дней. В течение этого времени заявителю обязаны дать официальный ответ о принятом решении.

От выявленного преступника потерпевшая сторона вправе потребовать возмещения ущерба (в том числе морального вреда). Для этого самостоятельно потребуется обратиться с исковым заявлением в суд.

Статья за кражу личных данных

Статья 24 Закона № 152-ФЗ указывает, что те, кто нарушил его нормы, несут наказание. За кражу в России установлена уголовная ответственность.

В ситуациях, когда дело касается хищения персональных данных, применяются нормы ст. 137 УК РФ, содержащей санкции за нарушение неприкосновенности частной жизни. Когда кража происходит путем взлома электронной почты, вскрытия почтовых конвертов с личной перепиской и т.д., применяется ст. 138 УК РФ.

Неправомерные действия лиц могут не содержать состава уголовного преступления, однако нарушать требования Закона № 152-ФЗ. Такие ситуации дают возможность утечки чужой личной информации, а потому тоже наказываются, но в рамках административных мер. Ответственность за нарушение порядка сбора, хранения, использования, распространения сведений предусматривает ст. 13.11 КоАП РФ.

За незаконный сбор личной информации о частной жизни человека преступник может понести наказание в виде:

  • штрафа в размере до двухсот тысяч рублей;
  • штрафа в размере своей зарплаты (иного дохода) за период до восемнадцати месяцев;
  • обязательных работ от ста двадцати до ста восьмидесяти часов;
  • исправительных работ до одного года;
  • ареста до четырех месяцев;
  • лишения свободы до двух лет с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до трех лет.

Если чужая частная информация собиралась преступником с использованием своего служебного положения, к нему может быть применено наказание в виде:

  • штрафа в размере от ста тысяч до трехсот тысяч рублей;
  • штрафа в размере его зарплаты (иного дохода) за период от одного года до двух лет;
  • лишения права занимать определенные должности (заниматься определенной деятельностью) от двух до пяти лет;
  • ареста от четырех до шести месяцев;
  • лишения свободы от одного года до четырех лет с лишением права занимать определенные должности (заниматься определенной деятельностью) до пяти лет.

Получение чужих персональных данных путем нарушения тайны переписки может быть наказано:

  • штрафом в размере до восьмидесяти тысяч рублей;
  • штрафом в размере зарплаты (иного дохода) виновного за период до шести месяцев;
  • обязательными работами до трехсот шестидесяти часов;
  • исправительными работами до одного года.

Если преступник использовал при этом свое служебное положение, он понесет наказание в виде:

  • штрафа в размере от ста тысяч до трехсот тысяч рублей;
  • штрафа в размере своей зарплаты (иного дохода) за период от одного года до двух лет;
  • лишения права занимать определенные должности (заниматься определенной деятельностью) от двух до пяти лет;
  • обязательных работ до четырехсот восьмидесяти часов;
  • принудительных работ до четырех лет;
  • ареста до четырех месяцев;
  • лишения свободы до четырех лет.

Нарушение порядка сбора, хранения, использования, распространения персональных данных влечет предупреждение либо наложение административного штрафа:

  • на граждан — в размере от трехсот до пятисот рублей;
  • на должностных лиц — от пятисот до одной тысячи рублей;
  • на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Как не стать жертвой кражи персональных данных?

Чтобы не стать жертвой воров, следует придерживаться некоторых правил:

  • никому не отдавать свой паспорт, иные документы, удостоверяющие личность;
  • не пересылать простыми почтовыми отправлениями важные документы, информацию;
  • чаще менять пароли к ящику электронной почты;
  • хранить важную информацию не в интернете или на домашнем компьютере, а, например, на флешке, диске.

Кража персональных данных может происходить разным образом, но доказать преступное деяние вполне возможно. Каждая ситуация требует юридического анализа, который позволит разобраться, что сделать, чтобы найти и наказать преступника. По любому вопросу вы можете проконсультироваться у наших опытных юристов по указанным номерам телефонов или через сайт. Адвокаты объяснят порядок действий и оценят перспективу дела.

Кража личных данных по интернету

что можно предпринять,если угрожают по интернету опубликованием личной инф (фото),добытой скрыто,без моего согласия плюс есть опасения что человек намерен пойти дальше,возможно взлом почты,банк-онлайн,кража личных файлов с компьютера,преследование.

п.с. контакт с подозреваевым человеком происходил только по интернету

04 Сентября 2014, 04:43 Ирина, г. Иркутск

Ответы юристов (3)

Если лицо под данным предлогом требует имущество, то можно обратиться с заявлением в полицию по факту вымогательства.

Статья 163. Вымогательство[Уголовный кодекс РФ] [Глава 21] [Статья 163]

1. Вымогательство, то есть требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под угрозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких, —

наказывается ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет с ограничением свободы на срок до двух лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.

2. Вымогательство, совершенное:

а) группой лиц по предварительному сговору;

в) с применением насилия;

г) в крупном размере, —

наказывается лишением свободы на срок до семи лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.

3. Вымогательство, совершенное:

а) организованной группой;

б) в целях получения имущества в особо крупном размере;

в) с причинением тяжкого вреда здоровью потерпевшего, —

наказывается лишением свободы на срок от семи до пятнадцати лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.

Если же это просто угрозы распространения информации то писать заявление по следующей статье.

Статья 137. Нарушение неприкосновенности частной жизни

[Уголовный кодекс РФ] [Глава 19] [Статья 137]1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
2. Те же деяния, совершенные лицом с использованием своего служебного положения, — наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
3. Незаконное распространение в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях информации, указывающей на личность несовершеннолетнего потерпевшего, не достигшего шестнадцатилетнего возраста, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий, повлекшее причинение вреда здоровью несовершеннолетнего, или психическое расстройство несовершеннолетнего, или иные тяжкие последствия, — наказывается штрафом в размере от ста пятидесяти тысяч до трехсот пятидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от восемнадцати месяцев до трех лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от трех до пяти лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.

Уточнение клиента

Спасибо за ответ! А можно ли под наблюдение того человека,пока ничего не совершил?

Ответственность за разглашение персональных данных

Каждый гражданин хочет, чтобы его личная жизнь была в безопасности, секреты оставались скрытыми от окружающих, а его личные данные и сведения из документов надежно защищены. И государство предоставляет для этого весьма обширный набор законов, который гарантирует конфиденциальность и защиту личности.

К сожалению, такие законы нарушаются достаточно часто. При этом нарушаются они как гражданами, так и различными организациями, в том числе и государственными. В этой статье мы расскажем об ответственности, которую накладывает разглашение персональных данных, а так же расскажем о том, когда оглашение личной информации является административным преступлением, а когда – уголовным.

Общие понятия

Начать стоит с самого понятия «Персональные данные». С юридической точки зрения персональными данными являются любые сведения из документов гражданина, которые не подлежат огласки, а так же вся информация, которая должна храниться в секрете в соответствии с определенными нормативами и законами. При этом под понятие персональных данных зачастую подводят различные личные сведения о человеке, его секретную и не предназначенную для разглашения огласку. Именно из – за этого может возникнуть путаница в определении ответственности и определении самого правонарушения. Так что мы рассмотрим разглашение личной информации и как административное, и как уголовное правонарушение.

Административная ответственность

Начнем с более точного определения персональных данных, а именно с данных из документов и сведений о личности, не предназначенных огласке и защищенных различными нормами законодательства. Это могут быть паспортные данные, личные идентификаторы гражданина, а так же более персональные сведения, например об имеющихся у него болезнях (защищены врачебной тайной). За распространение таких сведений уголовная ответственность не предусмотрена, так как работа с ними регулируется не уголовным, а гражданским кодексом. И именно поэтому за наказание отвечает Кодекс об Административных Правонарушениях, а именно статья 13.11.

Статья 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных» защищает любые сведения, нераспространение которых гарантировано законодательством, состоит из 7 частей и достаточно подробно описывает все возможные виды наказания:

  • Часть первая. Рассматривает запрос и обработку персональных данных в тех случаях, когда она не требуется по закону. Грозит предупреждением, наложением штрафа от 1000 до 3000 рублей для граждан, от 5000 до 10000 для должностных лиц и от 30000 до 50000 для юридических лиц;
  • Часть вторая. Рассматривает сбор и обработку персональных данных без письменного согласия их владельца в тех случаях, когда оно необходимо. Наказанием послужит штраф от 3000 до 5000 рублей для граждан, от 10000 до 20000 для должностных лиц и от 15000 до 70000 для организаций;
  • Часть третья. Невыполнение оператором, выполняющим обработку персональных данных, правил и норм по их опубликованию или обеспечению доступа. Наказывается штрафом от 700 до 1700 рублей для физических лиц, от 3000 до 6000 для должностных и от 15000 до 30000 для организаций;
  • Часть четвертая. Рассматривает нарушения в работе оператора, касающиеся его обязанностей по предоставлению персональных данных или информации об их обработке субъекту. Наказывается штрафом от 1000 до 2000 рублей для физических лиц, от 4000 до 6000 для должностных лиц и от 20000 до 40000 для юридических лиц;
  • Часть пятая. Рассматривает любое нарушение сроков в обработке, хранении, передаче, уничтожении персональных данных. Наказанием за такой проступок послужат штрафы от 1000 до 2000 рублей для физических лиц, от 4000 до 6000 для должностных лиц и от 25000 до 40000 для юридических лиц;
  • Часть шестая. Рассматривает нарушения, которые привели к распространению персональных данных случайно или умышленно, а так же ошибки при обеспечении безопасности персональных сведений и закрытой информации. Наказываются подобные деяния штрафом до 2000 рублей для физических лиц, до 10000 для должностных лиц и до 50000 рублей – для организаций.
  • Часть седьмая. Рассматривает нарушения законов о персональных данных, которые были замечены за сотрудниками муниципальных или государственных органов власти. Наказываются подобные нарушения штрафами до 6000 рублей.

Уголовная ответственность

Уголовная ответственность наступает в том случае, если были разглашены личные данные человека, которые создали угрозу его частной жизни, затронули его безопасность или предоставили для общего доступа сведения, которые не подлежат огласке и охраняются законами РФ. За подобные деяния отвечает статья 137 Уголовного Кодекса, именуемая «нарушение неприкосновенности частной жизни», которая состоит из трех частей:

Часть первая статьи 137 УК РФ. Рассматривает незаконный сбор сведений о личной жизни гражданина, распространение этой информации, а так же распространение личных и семейных тайн гражданина посредством выступлений либо произведений для массовой демонстрации. Наказывается:

  • Штрафом до 200 000 рублей;
  • Штрафом в размере дохода виновного за полтора года;
  • Обязательными работами до 360 часов;
  • Исправительными работами сроком до года;
  • Принудительными работами на 2 года;
  • Четырьмя месяцами ареста;
  • Двумя годами лишения свободы.

Часть вторая статьи 137 УК РФ. Рассматривает все то же преступление но с той оговоркой, что информация была получена или распространена с помощью служебного положения виновного. Наказывается следующими способами:

  • 100 000 – 300 000 рублей штрафа;
  • 4 года принудительных работ;
  • 6 месяцев ареста;
  • До 4 лет лишения свободы;
  • Лишение права заниматься определенным видом деятельности, дающим полномочия, на срок до 5 лет.

Часть третья статьи 137 УК РФ. Она так же рассматривает распространение сведений публичным путем, но затрагивает только те данные, которые касаются преступлений, совершенных по отношению к несовершеннолетнему или совершенных путем причинения значительных физических или моральных страданий. То есть эта часть рассматривает распространение любых сведений, касающихся значительных преступлений и их влияния на личность потерпевшего. Наказанием будут выступать:

  • Штраф от 150 000 до 300 000 рублей;
  • Штраф в размере заработка виновного за период до 3х лет;
  • До 5 лет принудительных работ;
  • До 6 месяцев ареста;
  • До 5 лет лишения свободы;
  • Запрет на ведение деятельности, дающей определенные полномочия, на срок до 6 лет.

Что еще можно требовать?

Многих граждан, чьи персональные данные или личные сведения были разглашены, совсем не устраивает стандартное наказание, которое может быть назначено за разглашение. В связи с этим пострадавший имеет полное право подать на обидчика в суд, потребовав у него выплаты компенсации. При этом требовать можно исключительно компенсацию за моральный ущерб, так как при разглашении сведений физического вреда не наступает.

Компенсация за моральный ущерб – понятие достаточно сложное. Это денежное взыскание, которое пострадавший может требовать за причиненные ему страдания и неудобства, вызванные разглашением его персональных данных или личных сведений. Потребовать её можно как во время разбирательства, подав ходатайство, так и с помощью отдельного самостоятельного иска. При этом размер её определяете вы сами, но он может быть уменьшен как по требованию суда, так и по просьбе ответчика. Если вы хотите подавать требования о выплате компенсаций за моральный ущерб, то полезным будет помощь юриста – только он сможет установить точный размер и подготовить бумаги.

Адвокат по уголовным делам. Опыт работы в данном направлении с 2006 года.

Статья 362. Хищение, присвоение, требование компьютерной информации или завладение ею путем мошенничества либо злоупотребление служебным положением

1. Хищение, присвоение, требование компьютерной

информации или завладение ею путем мошенничества

либо злоупотребления должностным лицом своим служебным положением наказываются штрафом от пятидесяти до двухсот не

облагаемых налогом минимумов доходов граждан или

исправительными работами на срок до двух лет.

свободы на тот же срок.

3. Действия, предусмотренные частями первой или

второй настоящей статьи, если они причинили существенный вред, наказываются лишением свободы на срок от двух до

1. Объектом данного преступления является право собственности на компьютерную информацию ее владельца

Под информацией следует понимать документированные или публично объявленные сведения о событиях и

явлениях, которые происходят в обществе, государстве и

окружающей природной среде (ст. 1 Закона Украины -Об

информации- от 02.10.92 г., далее — Закон).

Информация является объектом права собственности

граждан, организаций (юридических лиц) и государства.

Информация может быть объектом права собственности,

как в полном объеме, так и объектом лишь владения, пользования или распоряжения (ст. 38 Закона).

Предметом же рассматриваемого преступления является компьютерная информация.

Компьютерная информация — это информация, предназначенная для использования в ЭВМ или управления

нею, находящаяся в ЭВМ или на машинных носителях, а

также передаваемая по телекоммуникационным каналам

в форме, доступной восприятию ЭВМ.

Особенность компьютерной информации — в ее относительно простых пересылке, преобразовании, размножении;

при изъятии информации она легко сохраняется в первоисточнике, доступ к одному и тому же источнику информации могут одновременно иметь несколько пользователей.

Компьютерная информация в виде программ для ЭВМ,

баз данных является объектом авторского права (ст. 4

Закона Украины -Об авторском праве и смежных правах- от 23.12.93).

К особенностям компьютерной информации как к предмету рассматриваемого преступления следует отнести:

— компьютерную информацию, как предмет преступления, ответственность за которое предусмотрена

настоящей статьей, всегда являющуюся интеллектуальной собственностью;

— компьютерную информацию, как предмет, не обладающий натуральными физическими свойствами;

— компьютерную информацию, которая содержится на машинном носителе, в компьютере, в компьютерной сети.

— хищение компьютерной информации;

— присвоение компьютерной информации;

— требование компьютерной информации;

— завладение компьютерной информацией путем

— путем злоупотребления служебным положением.

Под хищением компьютерной информации следует понимать ее противоправное изъятие (как тайное, так и открытое) из законного владения.

Присвоение компьютерной информации — это совершение действий, которые выражаются в изъятии, обособлении вверенной виновному информации, обращении ее в

свою пользу либо в пользу других лиц путем установления над ней незаконного владения.

Требование компьютерной информации заключается в

предъявлении собственнику данной информации или иному законному владельцу заведомо незаконного требования передать ему (или иным лицам) информацию, право

на пользование информацией либо совершить в их пользу

иные действия, направленные на противоправное завладение информацией, и при этом все действия, как правило,

Завладение компьютерной информацией путем мошенничества заключается в противоправном завладении информацией либо в приобретении права на информацию

путем обмана потерпевшего или злоупотребления его доверием.

Под использованием служебного положения здесь понимается использование возможности доступа к компьютерной информации, возникшее в результате выполняемой работы, или влияние по службе на лиц, имеющих такой доступ.

Преступление считается оконченным, за исключением

требования, с момента фактического получения виновным

компьютерной информации или права на нее.

Следует учитывать, что при требовании компьютерной

информации преступление считается оконченным с момента предъявления незаконных требований, соединенных

с угрозами насилия, независимо от достижения виновным

3. Субъективная сторона данного преступления характеризуется в форме прямого умысла.

4. Субъектом данного преступления может быть вменяемое физическое лицо, достигшее 16-летнего возраста.

В данном случае субъект может быть как общим, так специальным.

5. Квалифицирующими признаками данного преступления (ч. 2) является совершение преступления повторно

или по предварительному сговору группой лиц (см. комментарий к ч. 2 ст. 361).

Квалифицирующим признаком по ч. 3 является совершение преступления, если оно причинило существенный вред (см. комментарий к ч. 2 ст. 362)

Какая ответственность существует за кражу персональных данных?

1 ответ на вопрос от юристов 9111.ru

Статья 137. Нарушение неприкосновенности частной жизни

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации —

(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

(см. текст в предыдущей редакции)

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

(см. текст в предыдущей редакции)

2. Те же деяния, совершенные лицом с использованием своего служебного положения, —

наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

(в ред. Федеральных законов от 08.12.2003 N 162-ФЗ, от 22.12.2008 N 272-ФЗ, от 07.03.2011 N 26-ФЗ, от 07.12.2011 N 420-ФЗ)

Кража персональных данных у «Новой почты». Чем это может грозить

Опубликовано 9 февраля 2018

Во вторник, 6 февраля, в украинском медиапространстве начала активно распространяться информация об утечке в Даркнет базы данных крупнейшего частного почтового оператора страны — «Новой почты». Разбираемся в скандале вокруг слива баз данных почтового оператора.

Как пишет портал Delo.ua, все украинские СМИ, разместившие об этом информацию, ссылались на пост в Facebook Егора Папышева, позиционирующего себя консультантом по кибербезопасности. «Сегодня обнаружен факт продажи неустановленными лицами базы данных клиентов «Новая почта».

Как таковых баз две: первая содержит информацию порядка полумиллиона человек с персональными данными в разбивке ФИО/телефон/город/серия и номер паспорта/email. Вторая — 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон)», — написал Папышев на своей странице.

Скрин базы данных, выложенный Папышевым

По словам консультанта он связался с продавцом этой базы и попросил его прислать значения записей из базы, предоставив ему несколько номеров телефонов для идентификации. «Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом. Ответ пришел меньше, чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную, в связи с недавним замужеством, фамилию одной из них)», — утверждает консультант.

По его оценкам, данные в базе предоставлены за 2016-2017 год. Кроме того, позднее он добавил, что существуют и другие признаки, что речь идет о базе именно «Новой почты», однако не раскрывал подробностей этого.

Еще позднее Папышев обновил свою запись, добавив, что передал все необходимые данные Департаменту киберполиции Национальной полиции Украины, однако к моменту публикации материала там не подтвердили получение документации.

Позже в комментариях к записи Папышева появилась информация о том, что около недели назад на одного из сотрудников почтового оператора завели уже уголовное дело по этому вопросу. Источники Delo.UA в компании также рассказали о том, что ранее внутри компании появилось сообщение о необходимости «принять меры безопасности в обращении с информацией в связи с крупной утечкой баз данных». По данным источников, в данном деле замешаны двое людей, оба из Харькова. Один из них передал пароль от базы данных, а второй занимался копированием и распространением информации. Их данные уже переданы правоохранителям, и они готовятся предстать перед судом.

Официально компания утечку базы данных не признает.

«Что касается случая, о котором сегодня появилась информация в соцсети, то база на скриншоте в посте может принадлежать любому другому украинскому предприятию, она не содержит никаких признаков того, что это данные «Новой почты», — комментирует директор по информационным технологиям компании Александр Евстратов. Он также утверждает, что обнародованная таблица содержит данные, которые отсутствуют в текущей базе «Новой почты» и в целом называет информацию в ней нерелевантной. Евстратов также добавляет, что сейчас в компании внедряется новая ИТ-программа, в которой особое внимание уделяется информационной безопасности и механизмам защиты данных.

Ответ сотрудников «Новой почты» одному из пользователей Facebook

Как считает операционный директор компании в сфере кибербезопасности 10Guards Виталий Якушев, технически утечка базы данных могла произойти двумя способами. «Вариантов всего может быть два: либо удаленная атака, либо инсайдерская, ответить сможет только цифровая криминалистика (forensic)», — отмечает он. При этом добавив, что избежать взлома в наше время практически невозможно, можно усложнить реализацию взлома и стоимость атаки, а также снизить ущерб после взлома.

По словам Якушева, персональные данные всегда были «лакомым кусочком» для киберпреступников и легко монетизировались даже в странах, где не предусмотрено жесткое наказание за утечку персональных данных. «Вступление в силу санкций Генерального регламента по защите персональных данных Европейского Союза (GDPR) принесет киберзлоумышленникам новый вариант монетизации — вымогательство денег после взлома: выкупите у нас вашу базу с персональными данными или мы ее опубликуем, а вы заплатите огромный штраф (4% от годового оборота или 10-20 млн евро)», — рассказывает эксперт.

А был ли мальчик?

В то же время визионер проекта Cioneer Андрей Погорелый, проанализировав скриншот выставленной в сеть базы данных, высказал мнение, что это вброс и попытка отвлечь общество от чего-то более важного. «Сделано крайне непрофессионально, значит сильно торопились», — отметил он и привел некоторые аргументы.

1. У Юриев Владимировичей совпадает фамилия и не совпадает электронная почта и телефон

2. 4 Игоря Евгеньевича с одинаковой фамилией кажется много для списка из 22 человек

3. У Александра Сергеевича фамилия тоже одинаковая (но только на русском и украинском языке), а номера телефонов разные 4. Номера телефонов в Украине не начинаются на цифру +380 12…, а этих номеров несколько, значит ошибка оператора исключена

5. Длина поля «телефон» в справочнике разная

6. Паспорта с серией МТ в Украине не выдавались

По мнению руководителя практики корпоративной безопасности бизнеса юркомпании «Dictum» Евгения Мирошникова, по имеющимся скриншотам нельзя однозначно идентифицировать, что база данных принадлежит «Новой почте». «Наличие в списке почтовых адресов с доменом [at]novaposhta.com.ua может свидетельствовать о потенциальной связи баз и «Новой почты», — отмечает Мирошников. И добавляет, что основным фактором в пользу этой версии можно назвать реакцию пресс-службы компании, которая не отрицала, что база данных принадлежит «Новой почты», а указала на ее нерелевантность.

Отвечая на вопрос о том, мог ли быть взлом внешним фактором или внутренним, эксперт склоняется в пользу последнего. «С большой долей вероятности этот слив является последствием корпоративной коррупции или желания навредить компании, чувствуя свою безнаказанность, со стороны обиженного сотрудника», — считает Мирошников.

Помимо прочего, в сети указывают на то, что стоимость этой базы данных — несмотря на объем — сравнительно невысока, что делает ее привлекательным объектом для разнообразных спамеров. Эксперты отмечают, что, несмотря на слив части базы с номерами паспортов, вряд ли другие организации, кроме рассылочных агентств, заинтересуются эти документом.

Dura lex sed lex

Что касается юридического аспекта данного дела, то, если информация об утечке персональных данных подтвердится, эксперты считают, что уголовного дела избежать не удастся. «Я бы порекомендовал «Новой почте» внутреннее расследование и даже заказать экспертизу, чтобы понять, было ли вмешательство извне или изнутри», — сообщил Delo.UA партнер юридической компании ESQUIRES, адвокат Афанасий Карлин. В случае если речь идет о внешнем взломе, компания должна будет обратиться с заявлением в киберполицию и нести ответственность за данное преступление будут хакеры.

При этом, если будет установлено, что такой взлом стал возможен по причине недостаточной защиты информационных систем в компании, санкции могут ждать и ее.

Если же окажется, что виноватым в утечке информации признают сотрудника «Новой почты», возможны два варианта развития уголовного дела. Если утечка произошла по халатности сотрудника, то к нему применима статья 363 Уголовного кодекса, предусматривающая наказание за нарушение правил защиты информации. За такое предусмотрен штраф от 500 до 1 тыс. необлагаемых минимумов доходов и может грозить срок до 3 лет лишения свободы. Если же будет установлено, что действия были совершены преднамеренно, то это будет караться сроком лишения свободы до 3 лет.

Кроме того, в суд на компанию могут подать и сами пользователи, которые обнаружат, например, увеличение спама на свои средства коммуникации.

Как отметил партнер компании Sensum Дмитрий Боднарчук, в таком случае возможно применение статьи 182, которая работает как обвинения частного порядка. «То есть пока вы лично не напишите заявление о совершении преступления, расследовать его не будут», — отметил юрист. Эта статья применяется за незаконный сбор, хранение, использование или распространение конфиденциальной информации о лице. Санкция этой статьи предусматривает наказание: штраф до 50 необлагаемых минимумов доходов граждан или исправительные работы на срок до двух лет, или арест на срок до шести месяцев, или ограничение свободы на срок до трех лет.

При этом, как добавляет старший юрист Sayenko Kharenko Олег Климчук, украинское законодательство не содержит значительных штрафов, привязанных к обороту компании подобно европейскому GDPR. «Нет также обязанности информировать регулятора (Уполномоченного Верховной Рады Украины по правам человека) о факте утечки данных», — подчеркивает Климчук.

Хоть утечки базы данных в нынешнее время нередки, столь крупных инцидентов за последние годы в медиапространстве не наблюдалось, что так или иначе скажется на репутации «Новой почты». Впрочем, если слив базы все же окажется фейком, останется вопрос — кто же запустил такую информационную кампанию против почтовика.