Как уже вчера сообщало Информационное Агентство Zakon.kz, при попытке продать базу пользователей с сотнями тысяч электронных адресов казахстанского сервиса коллективных покупок Chocolife.me, был задержан полицией Алматы бывший сотрудник этой компании Кайрат Муханов. Мы попросили дать оценку этой ситуации компетентных специалистов и ответить на вопросы:
1. — Прокомментируйте, пожалуйста, случай с Chocolife.me.
2. — Были ли в Казахстане еще факты незаконной продажи базы пользователей сервиса коллективных покупок?
3. — Можно ли взломать сайты участников рынка электронной коммерции, и зафиксированы ли в Казахстане подобные случаи?
4. — Как, на ваш взгляд, развиваются казахстанские интернет-проекты и в целом казахстанский рынок электронной коммерции? Имеют ли они надежную защиту?
5. — Получат ли, по вашему мнению, участники инцидента с Chocolife.me обвинительный приговор и послужит ли эта история уроком как для потенциальных киберпреступников, так и для всего ИТ-рынка?
6. – Имеются ли в Казахстане прецеденты привлечения к уголовной ответственности за распространение коммерческой информации?
7. – Один из наших пользователей предлагает принять закон по защите от незаконной передачи электронных адресов и номеров сотовых операторов. Актуален ли этот вопрос, есть ли в этом необходимость?
Воровство и использование на халяву чужого труда будут среди нас еще долго
Шавкат Сабиров, Президент Объединения юридических лиц «Интернет Ассоциация Казахстана»
1. С ростом уровня информатизации, развития коммуникаций и бизнеса в Интернете появились случаи воровства в сфере высоких технологий. Базы данных клиентов и, тем более в сотнях тысяч, стали представлять коммерческий интерес, прежде всего, для тех, кто занимается противоправным бизнесом – рассылкой спама. Подобные факты воровства с базами данных должны быть публичными, чтобы не было «последователей».
Незаконная продажа базы данных пользователей это всегда человеческий фактор. Нерадивый администратор или руководитель отдела захочет воспользоваться чужим трудом для наживы. Нужен комплекс мероприятий в любой компании, который бы обеспечивал защиту информационной системы не только от внешнего взлома, но и от персонала офиса. Необходимо прописывать в трудовых договорах пункты, обязывающие работников сохранять не только коммерческую тайну и интеллектуальную собственность компании. Доступ к информационной системе должен осуществляться по определенным правилам и маленькому кругу лиц. Воровство и использование на халяву чужого труда будет среди нас еще долго, нужно просто минимизировать этот процесс и тогда поставленные законом барьеры будут работать. Попытки продажи чужого труда и чужой собственности являются нарушением законодательства.
2. По-моему, в Казахстане такого еще не было. Казахстанский сегмент сети Интернет (Казнет) растет большими темпами. Персональные данные пользователей вызывают огромный интерес у хакеров, но не настолько, чтобы ради них идти на взлом информационных систем. Человеческий фактор будет присутствовать и будет всегда номер один в вопросах обеспечения безопасности.
3. Взломать можно. Для этого нужны желание и хорошие инвестиции. Хакеры обычно идут туда, где есть деньги, номера кредитных карт и процессинг. В Казахстане процессинг осуществляется крупнейшими банками и условия безопасности достаточно серьезные. И каждый из банков ставит защиту на первое место. А сами участники рынка электронной коммерции не хранят номера кредитных карт, а работают только с персональными данными каждого клиента. Но требования к организации и принятию мер по безопасной работе, конечно, нужны для всех.
4. В целом могу отметить активное развитие электронной коммерции в нашей стране. Появляются новые проекты, уже известные начинают развивать различные дополнительные сервисы. Активно растет и платежный мир в Казнете. Уже несколько систем электронных денег присутствует в Казахстане. Пока рынку электронной коммерции не хватает законодательного поля. Но и это поле уже активно обсуждается и в настоящее время уже разрабатывается законопроект по электронной торговле. С нашей точки зрения, должен быть отдельный закон об электронной торговле, так как это существует во многих странах мира. Электронная коммерция это новое поле для бизнеса и требует значительных изменений во многих законах Казахстана. Именно поэтому нужен отдельный закон, который бы охватил все сферы деятельности интернет-бизнеса.
Чтобы обеспечить надежную защиту интернет-бизнеса, нужно иметь базовые вещи, которые порой пренебрегаются. Например, как только пользователь входит в личный кабинет или заполняет «корзину» покупок, необходимо использовать только защищенный канал. По сути, точно так же как и интернет-банкинг. Но использование такого канала представляет собой большую нагрузку на оборудование. Многие владельцы даже крупных интернет-бизнесов избегают этого.
Думаю, до конца уже этого года мы получим закон об электронной торговле, где как раз и будут предъявляться минимальные требования к участникам рынка.
5. Сейчас в интернет-сообществе как раз идет обсуждение этого вопроса. Мне кажется, что это не вопрос «посадки». В нашем случае достаточно обойтись денежным штрафом. И история послужит обязательным уроком для тех, кто только думает о таком виде противозаконной деятельности.
6. Прецеденты привлечения к ответственности не только уголовной, но и административной есть и уже достаточно. Желающих поживиться на коммерческой информации много и называется это промышленным шпионажем. На слуху много таких фактов и это не является новостью для Казахстана. Многие случаи и факты распространения коммерческой информации остаются вне поля внимания общественности, т.к. это и удар по репутации тех, у кого эту информацию украли. Доводятся ли все факты до суда, мне неизвестно, но обычно в таких случаях разбирательства заканчиваются мирным путем.
7. Этот вопрос и многие другие уже рассмотрены в Законе РК «О доступе к информации». Закон предполагает защиту наших с вами данных и меры ответственности правонарушителей. Номера сотовых телефонов тоже ведь является коммерческой информацией провайдера связи. И каждый из провайдеров принимает все меры по защите информации. Вопрос защиты персональных данных уже решается существующим законодательством и продолжает изменяться в соответствии с требованиями сегодняшнего дня. Поэтому назвать этот вопрос актуальным не получается.
Вдвойне опаснее, когда мошенник находится среди твоих сотрудников — ущерб от этого более значительный…
Константин Горожанкин, генеральный менеджер Processing.kz
1. На прошлой неделе лидеры рынка электронной коммерции Казахстана в рамках АКИБ (Ассоциация интернет бизнеса и мобильной коммерции) приняли решение двигаться в сторону максимальной прозрачности. В тот момент речь шла о клиентах и оборотах компаний.
Эта ситуация несколько другого порядка, но к ней применимы те же принципы — Чоколайф и Тикетон решили придать ситуацию огласке, чтобы подать сигнал рынку и пресечь впредь подобные попытки незаконных продаж баз данных. Это нормальная практика, например, для банковской сферы, где я проработал более 10 лет. Единственное, обычно до решения суда не называются так явно фамилии подозреваемых.
2. Случаи, уверен, были, но они не предавались огласке. Были случаи и взлома баз конкурентов самими купонаторами.
3. Конечно, можно. Взломать в принципе можно все, что угодно, но вдвойне опаснее, когда мошенник находится среди твоих сотрудников — ущерб от таких случаев, как правило, более значительный.
4. С точки зрения числа игроков рынка e-commercе и потребителей этих услуг, продолжается активный, незатухающий уже третий год, рост. Растут объемы и обороты более чем в два раза в год. В отношении защиты: защищать можно деньги, базу данных клиентов, базу данных товаров с ценами и сам код.
Деньги участников рынка электронной коммерции защищают банки и платежные сервисы, обычно они соответствуют международным стандартам безопасности (в частности, PCI DSS) и тут можно не беспокоиться. Базы данных клиентов (как покупателей, так и поставщиков) — самый ценный контент, за ним охотятся и извне, и надо опасаться внутренних «врагов». Совет магазинам тут только один — сертифицируйтесь, не надо придумывать велосипед. Давно есть отработанные на более развитых рынках стандарты безопасности, придерживаясь которых вы будете намного более защищены. Код самого магазина обычно не казахстанского исполнения и его защита лежит на стороне вендоров программного обеспечения.
5. Я не судья и тем более, не видел материалов дела, поэтому до вынесения решения поостерегся бы делать заключения. Тем более, не стоит забывать, в какой стране мы живем. Например, я в своей практике стараюсь там, где это возможно, прописать английское право при рассмотрении спорных ситуаций. Думаю, по этой же причине и появился этот пресс-релиз — еще неизвестно как закончится сам процесс, но шум уже есть и потенциальные злоумышленники, по крайней мере, теперь знают, что и в Казахстане есть «Управление К» ;-)
6. Конечно. В среде e-commerce это, пожалуй, первый случай, но в других отраслях такое случается (банки, телекомкомпании и пр.)
7. Эти моменты прописаны в «Законе о Связи», в Уголовном и Процессуальном кодексах. Возможно, их стоит более явно указать в готовившемся сейчас законе об электронной коммерции.
Торгын Нурсеитова