На фоне недавней утечки персональных данных пользователей сервиса Яндекс.Еда многих граждан интересует судьба их личных данных – после того, как они попадают в базы того или иного сервиса. Как и из-за чего происходят утечки персональной информации? Пользователям каких сервисов это угрожает особенно серьезно?
Можно выделить три основные причины утечек данных: деятельность недобросовестных сотрудников, имеющих доступ к персональным данным, социальная инженерия и взлом информационной системы организации или сервиса.
В первом случае сотрудник каким-то способом копирует базу данных (переносит на внешний носитель, пересылает файл по почте или просто фотографирует на телефон), чтобы потом продать ее конкретному заказчику или выставить как лот на теневом форуме. Черный рынок персональной информации, конечно, существует – это многочисленные ресурсы даркнета, в основном форумы, где можно приобрести базу данных, заказать взлом аккаунта или «мобильный пробив». Однако, как показывает практика, исполнители таких услуг далеко не всегда гарантируют качество своей работы. Например, слитые базы данных чаще всего оказываются неактуальными.
Во втором случае пользователь после определенных обманных манипуляций (уговор, угрозы, фишинг) сам предоставляет злоумышленнику личные данные – например, номер, пин-код, CVV-код банковской карты. Не стоит забывать и о том, что многие, не задумываясь о последствиях, просто оставляют информацию о себе (дату рождения, телефон, фото водительских прав и другие) в открытом доступе в соцсетях.
Реже всего встречаются инциденты, когда злоумышленник проникает в информационный периметр организации и получает доступ к базам данных. Реже они происходят потому, что крупные организации дорожат репутацией и используют эшелонированную защиту от взломов. Эксперты говорят о том, что сейчас наибольшая угроза масштабных утечек исходит от иностранных развлекательных сервисов. Но по регулярной судебной практике, известной нам по публикациям, чаще всего «сливаются» данные операторов связи.
Сейчас очень много случаев задержания и осуждения лиц, связанных с незаконной торговлей персональными данными или «мобильным пробивом». Чаще всего это недобросовестные сотрудники операторов связи и сотрудники правоохранительных органов из разных регионов страны. К сожалению, данных о задержании заказчиков таких услуг гораздо меньше.
Существует несколько способов обнаружить свои данные в свободном доступе – агрегаторы утечек, собственные сервисы пользовательских экосистем вроде aboutme.google.com, поисковые системы и прочее. Но нет сервиса, который может предоставить человеку информацию обо всех ресурсах, где могут оказаться его данные. Поэтому лучшим способом обезопасить себя от взлома является соблюдение правил цифровой гигиены: в том числе регулярная смена паролей (в электронной почте, банковских приложениях, в соцсетях и других важных ресурсах) и удаление своих персональных данных с тех ресурсов, которые пользователю уже не нужны. Если же пользователь просто обнаружил публикацию на каком-то сервисе сведений о себе (например, фото своего паспорта или водительского удостоверения), необходимо обратиться в службу поддержки этого сервиса.
Каждый раз, когда пользователь заключает договор на оказание услуг (от заказа SIM-карты до регистрации на вебинаре), он соглашается на обработку своих персональных данных. Согласие он может принять как явным образом (специальное заявление или галочка в анкете), так и косвенно (это может быть прописано в договоре на оказание услуг). Обработку персональных данных регулирует 152-ФЗ «О персональных данных». Причем под обработкой в данном случае понимается не только сбор и классификация, но и любые другие действия с данными – например, все способы хранения и передача третьим лицам.
Соответственно, если гражданин перестает пользоваться услугами определенного сервиса, банка или оператора связи, он может подать в эту организацию отзыв согласия на обработку персональных данных. Как правило, это делается путем подачи заявления в организацию в свободной форме, причем обоснование своему требованию пользователь указывать не обязан. Разумеется, это стоит делать в отношении организаций, которые пользователю не нужны. Это оградит его от телефонного спама, а также уменьшит риск попадания данных в списки утечек.
Инструкция по подаче отзыва согласия на обработку персональных данных:
1. Определить организацию-оператора персональных данных, данные из которой необходимо удалить. Это может быть банк, оператор связи или любая другая организация. Зачастую такие компании сами выдают себя, рассылая спам-сообщения или совершая обзвоны.
2. Передать заявление-отзыв в эту организацию – лично, письмом по почте или в электронной форме. В каждой организации порядок подачи заявления может быть своим. Разумеется, наиболее надежным вариантом является подача заявления лично, но если это невозможно (например, в интернет-магазине, офис которой расположен в другом городе), организация обязана предоставить пользователю другой вариант. После подачи необходимо получить от оператора подтверждение приема заявления.
3. Согласно 152-ФЗ, оператор персональных данных обязан отреагировать на заявление пользователя и удалить персональные данные в течение 30 дней с момента регистрации заявления, либо обосновать дальнейшее использование этой информации. Право на использование персданных даже после отзыва согласия на это имеют при определенных обстоятельствах такие организации, как банки – например, в рамках противодействия отмыванию средств.
Заявление-отзыв подается в свободной форме, однако нужно соблюдать стандартные требования к оформлению заявлений:
Комментирует Ирина Зиновкина, директор по консалтингу ГК InfoWatch:
«Сам по себе процесс предотвращения утечек это комплекс мер, который состоит как из технических средств защиты, так и из организационных. Если говорить о технических инструментах, то это, в первую очередь, внедрение DLP-системы. Внедрение средств данного класса необходимо для мониторинга информационных потоков в организации (например, отправляемой из периметра компании электронной почты, загружаемых с рабочих компьютеров в сеть Интернет документов и так далее), в том числе, для оповещения работника службы безопасности о возможной утечке, либо о предотвращении таковой. Кроме того, современные DLP-системы стремятся к использованию искусственного интеллекта для предиктивной аналитики, тем самым предотвращая утечки еще до момента попытки их совершения. Однако стоит понимать, что процесс защиты от утечек не может быть эффективным без выстраивания остальных процессов защиты информации: так, например, нет смысла защищать информацию от утечки, если доступ к ней внутри организации имеет неограниченный круг лиц – для управления учетными записями и права пользователей необходимо внедрить решение класса IDM. В целом, необходимость внедрения и список технических средств защиты информации зависит от самой организации, ее масштаба, целей и задач.
Если говорить об организационных мерах обеспечения защиты от утечек, то целесообразно выполнить анализ информационных потоков и артефактов, генерируемых в рамках каждого из бизнес-процессов, и выделить наиболее критичные области, оценить и ранжировать сопутствующие риски, выстроить процессы обращения с информацией ограниченного доступа, мониторинга и контроля информационных потоков, а также реагирования на выявляемые с помощью системы мониторинга и контроля инциденты».
InfoWatch: что делать, если в компании произошла утечка данных:
Полезные ссылки для тех, кто заботится о цифровой гигиене:
– Пять советов, как обеспечить свою безопасность в Интернете
– Еще шесть простых советов по безопасности в Интернете
– Можно ли отсудить деньги у сервиса за утечку персональных данных
– Как сохранить данные на случай блокировки соцсетей
– Обзор лучших платных и бесплатных VPN