Бывший сотрудник компании Mitsubishi UFJ Securities подозревается в продаже
персональных данных более 49000 клиентов компании. Предполагается, что доступ к
базе данных осуществлялся через пароль и логин другого сотрудника компании.
Полицейский департамент г. Токио подозревает бывшего 44-х летнего сотрудника
Mitsubishi в использовании прав своего коллеги для получения доступа к
конфиденциальным данным клиентов. До увольнения в начале апреля подозреваемый
занимал должность заместителя главы отдела информационных технологий в компании,
ведущей операции с ценными бумагами «Chiyoda Ward», Токио.
Полиция планирует начать расследование этого дела после того, как компания
подаст иск против бывшего сотрудника на предмет нарушения закона о
несанкционированном доступе. По данным компании, восемь сотрудников отдела,
включая заместителя руководителя, имели право доступа к базе данных компании.
По предварительной информации, заместитель руководителя отдела информационных
технологий якобы раздобыл логин и пароль доступа к базе, принадлежащие другому
сотруднику. Используя эту информацию, он несколько раз нелегально проникал в
базу данных в период между 26 января и 4 февраля и извлек оттуда персональные
данные клиентов. Предполагается, что подозреваемый нелегально скопировал данные
на 1,486,651 клиентов и записал их на CD-R. Затем, в середине февраля он, якобы,
разослал с помощью электронной почты данные 49159 клиентов своим знакомым
скупщикам персональной информации, за которые получил 328,000 йен.
В середине марта брокерская компания начала собственное расследование после
того, как стали поступать жалобы от клиентов. Поскольку подозреваемый признался
в содеянном, компания совместно с городским департаментом полиции готовит
документы для подачи иска в суд.
В настоящее время следователи установили, что заместитель руководителя уже
вернул диск компании, и будет достаточно сложно предъявить обвинения бывшему
сотруднику в воровстве, поскольку сама брокерская компания ничего не потеряла.
Однако местным законодательством запрещается использование чужих прав доступа
или персональных данных без соответствующего разрешения. Нарушившие данный закон
подвергаются наказанию в виде лишения свободы сроком на один год или штрафу в
500000 йен.
Аналитик компании InfoWatch Николай Федотов: «Трудно комментировать правовую
часть новости, поскольку после тройного перевода (японский-английский-русский)
все юридические термины «затёрты» до полной неузнаваемости. Но техническая часть
инцидента, в принципе, ясна. Внутренний злоумышленник довольно часто использует
для доступа не свой собственный аккаунт, который у него есть, а аккаунт соседа
или начальника. Потому что в этом случае чуть труднее доказать его преступление.
Особенно если на предприятии нет полноценной DLP-системы, а просто логируется
доступ при помощи штатных средств СУБД или веб-сервера.
В моей практике был подобный случай неправомерного доступа к корпоративной БД
с целью хищения денег. Было очевидно, что злоумышленником являлся кто-то из
работников. Внутреннее расследование тогда так и не смогло установить, кто
именно. Поэтому виновного попросту назначили, сфальсифицировав доказательства
против него. Статья 272 УК, приговор, срок. Вывод для пользователей: свой пароль
надо пуще беречь от «своих», а «чужие» ему не так уж и страшны».
