Тайное становится явным

МТС, как и положено, проводит внутреннее расследование инцидента, но пока что, насколько можно судить по публичным заявлениям представителей компании, источник утечки информации не выявлен. И, может быть, не будет выявлен никогда. В прессе уже появилась сомнительная версия, согласно которой возможными виновниками рассекречивания конфиденциальной информации объявлены спецслужбы ¹. Как известно, во время теракта на Дубровке МТС и «Билайн» были вынуждены отключить шифрование разговоров (помните открытый замочек на дисплее телефона?) и предоставить доступ к своим абонентским базам сотрудникам спецслужб. Один из них, как предполагается, и выкрал базу данных. Справедливости ради, нужно отметить, что в самой МТС эту версию всерьез не рассматривают. Как и в ФСБ: корреспондентам Газеты.ру представители ФСБ заявили, что не собираются проводить служебное расследование в связи с утечкой данных и все действия с базой данных МТС производились с санкции суда и в рамках закона ².

Еще одна версия - база была не украдена, а скомпилирована из старых баз, циркулирующих на рынке. В МТС еще не пришли к окончательным выводам, однако непохоже, что эта версия подтвердится. К слову, объем похищенной абонентской базы в МТС не уточняют, оговариваясь, правда, что он меньше, декларируемого хакерами.

Все остальные опубликованные на данный момент гипотетические предыстории появления компакт-диска с абонентской базой для МТС очень нехороши. Посудите сами, что еще могло привести к сегодняшней ситуации? Выбор не так уж велик: базу мог выкрасть либо недобросовестный сотрудник компании, обладающий к тому же высокими правами доступа к информации, либо хакеры, взломавшие корпоративную сеть МТС. И то и другое для МТС плохо, поскольку бросает тень на информационную безопасность вверенных компании данных. А вот торгующие на рынке сотрудники спецслужб - это хорошо, потому что, как известно, поведение российских спецслужб непредсказуемо и любой нормальный человек, поверив в полуофициальную версию о них, может испытывать к МТС только снисходительное сочувствие. С кем не бывает.

Бывает на самом деле со всеми. Дисками с БД абонентов мобильных сетей торговали и раньше. Однако прежние варианты были куда менее информативны и, по большому счету, не слишком актуальны. Потому, вероятно, и шум - хотя бояться особенно нечего. Любой здравомыслящий человек, которого волнуют вопросы собственной приватности, не будет оформлять договор с оператором мобильной связи на себя. Способов приобрести «левую» SIM-карту да еще и дешевле номинала - море (о механике и ценообразовании «неофициального» подключения мы еще расскажем на страницах журнала). Рынок «вторичных» SIM-карт тоже существует. В общем, те, кто хотел остаться инкогнито, так или иначе позаботились об этом самостоятельно - доверять таким структурам, как операторы мобильной связи, человек с минимальным уровнем здоровой, появившейся вместе с жизненным опытом паранойи не может в принципе.

Конкуренты МТС отнеслись к возникшей проблеме с пониманием и сочувствием. Речь идет о довольно редком, но понятном случае отраслевой солидарности: признавая, что факт утечки подобных данных возможен по причине нелояльности сотрудников или слабой защищенности корпоративной сети, конкуренты тем самым признают и собственную уязвимость. Между тем представители «Вымпелкома» и «Мегафона» вполне предсказуемо заявили, что их абонентам с такими проблемами встречаться не придется. Хотя, если считать основной версию про спецслужбы, никаких гарантий, что через пару недель на рынке не появится информация об абонентах того же «Билайна», быть не может. Как и МТС, «Билайн» открывал доступ к своей базе сотрудникам спецслужб и отключал режим шифрования разговоров.

Кстати, у «Вымпелкома» в свое время произошла подобная утечка - из компании «ушли» данные на 100 тысяч абонентов сети, работавшей в формате DAMPS. Сейчас, конечно, эта утечка уже неактуальна - DAMPS в Москве мертв.

Обыкновенные и необыкновенные подозреваемые

Странно, что многие СМИ считают главной версию о коррумпированных сотрудниках спецслужб, хотя в МТС отказываются признавать, что рассматривают такую возможность всерьез. Тем не менее, после прочтения любой заметки, посвященной утечке, остается ощущение причастности к происходящему современных чекистов. Причем я уверен, что ни о какой коррумпированности СМИ в данном случае и речи не идет - просто официальную информацию можно преподнести таким образом, что буквально она будет говорить одно, а между строк окажется совсем другое. Впрочем, возможно, что версия про спецслужбы не более чем плод нездорового воображения какого-то журналиста.

Теперь о спецслужбах. Скороспелая аналитика во многом построена на допущении, что государственные службы могут получить доступ к БД, только прислав в офис оперативников. Это, конечно, неправда. Операторы мобильной связи, насколько мне известно, обязаны отдавать (и отдают, куда они денутся) чуть ли не всю базу данных по абонентам, к примеру, в Госсвязьнадзор. И частично обслуживать СОРМ, куда эти же данные предоставляются по запросу.

Итак, у нас есть как минимум еще одна организация, откуда могла произойти утечка, - Госсвязьнадзор. Ситуация довольно странная, потому что ни мои информаторы, ни представители МТС и Госсвязьнадзора не смогли сказать корреспондентам «Газеты.Ру», какой нормативный акт требует от оператора связи предоставлять информацию о подключенных абонентах. Тем не менее, вряд ли найдется оператор, который этого не делает.

Впрочем, в «Положении о государственном надзоре за связью и информатизацией в Российской Федерации» (№380 от 28 апреля 2000 года) есть замечательная по своей неконкретности и оттого универсальная ремарка:

9. Органы государственного надзора за связью и информатизацией в Российской Федерации в пределах своих полномочий имеют право:

а) запрашивать у организаций и физических лиц, осуществляющих деятельность в области связи и информатизации, необходимые сведения и материалы по вопросам, связанным с выполнением задач, возложенных на них ³…

Похожие фрагменты можно обнаружить также в Законе о Связи и Постановлении правительства #30 от 15.01.1993 г. Вероятно, существуют и нормативные акты, определяющие, какие именно данные о клиентах должны собирать операторы, однако их, к сожалению, найти не удалось.

Человеческий фактор

Как известно, самое слабое место у нас - люди (потому и гвозди такие плохие). Кто мог иметь доступ к базе данных в самой МТС? Сразу оговорюсь, что рассуждения об этом построены на откровениях инсайдера другого оператора мобильной связи, который, как и МТС, в качестве биллинговой системы использует российскую разработку CBOSS (www.cboss.ru).

Кто в компании может иметь доступ к базе данных? С учетом специфики обслуживания биллинговой системы, конечно, первыми под подозрения попадают сами администраторы CBOSS (не путать с системными администраторами) и инженеры CBOSS . Теоретически в CBOSS можно настроить удаленное администрирование, но вряд ли в МТС пошли на такой риск - с учетом размаха компании дешевле оплачивать круглосуточное дежурство инженеров, чем позволять им (а возможно, и кому-то еще) администрировать БД удаленно. В отдельных случаях доступ к БД получают работники компании-разработчика CBOSS. Так, например, CBOSS DSS зачастую администрируется московскими специалистами (по договоренности с оператором-клиентом). Впрочем, как нам сказали в CBOSS, в последнее время в МТС не проводилось работ, подразумевающий высокий уровень доступа сотрудников CBOSS к базе данных.

Кроме того, доступ к базе данных (хоть и весьма ограниченный) имеют, конечно, дилеры, у которых установлен удаленный клиент. Но это так, для ровного счета, - выкачать информацию из БД они не могут.

Все остальные версии - условно назовем их «хакерскими», потому что они предполагают несанкционированное вторжение в локальную сеть оператора - еще более фантастичны. Ведь трудозатраты - а мы ведь исходим из того, что трудовой коллектив оператора мобильной связи составлен из профессионалов - слишком велики, а риск провала слишком высок. Договориться с конкретным человеком и проще и дешевле.

Собственно, механика выхода таких баз на рынок известна давно, и, в частности, известно, что взлом сетей извне применяется только в крайних случаях - как правило, сами базы данных «сдают» свои же. Хакеры в этом процессе если и участвуют, то уже на следующих этапах - например, взламывая защищенные от копирования базы конкурентов с целью последующего тиражирования.

В пользу версий, допускающих наличие «паршивой овцы», говорит и обещание компилятора скандальной базы регулярно высылать покупателям обновления. Для предоставления подобных гарантий нужен надежный канал получения информации, и, опираясь на разовый взлом, таких обещаний не дашь. Разумеется, это все при условии, что компилятор попросту не наврал.

В общем, более или менее похожих на правду версий всего две. Утечка БД произошла либо по вине сотрудников МТС, либо по вине госчиновников, имеющих доступ к этой информации. Второе, на мой взгляд, вероятнее.

Заключение

Впрочем, самый главный вопрос - не «кто виноват», а «что делать». В МТС пытаются оценить ущерб, причиненный абонентам, и возможные средства его минимизации. Нужно ли тем менять свои номера? Думается, что, пока гром не грянет, волноваться по этому поводу большинству абонентов не стоит - в конце концов, в базе данных не только номера мобильников, но и паспорта, адреса и тому подобная информация, которую так просто не сменишь. И публикация персональных данных в таком объеме - штука гораздо более неприятная, чем обнародование номера мобильного телефона.
Застрахованы ли от подобных неприятностей абоненты других операторов? Несмотря на браваду в заявлениях конкурентов МТС никаких реальных гарантий того, что это не случится с их базами, они дать не могут. Потому что гарант один - государство. А государство у нас сами знаете какое. Всем государствам государство.

P.S. Любопытные, но экономные читатели могут проверить качество новой базы данных в онлайне (baza-rus.narod.ru/BAZAMTC.htm). Справка по номеру стоит всего 0,2 WM. Проверить работоспособность мы, к сожалению не успели. Не исключено, что это не более чем очередной сайт мошенников.