О чем речь? Утечка персональных данных – один из главных рисков сегодняшнего дня. Мошенники, получив доступ к базе, могут нанести вред не только отдельно взятому гражданину, но и целой компании.
Как защититься? Необходимо выстроить систему кибербезопасности: контролировать использование съемных носителей, процесс отправки и получения файлов. Любой гражданин также может обезопасить себя от подобных рисков, следуя простым правилам серфинга в Интернете.
В этой статье:
Понятие утечки персональных данных
Утечка персональных данных — это ситуация, при которой произошел несанкционированный доступ к личной информации людей, которая может включать в себя имена, адреса, номера телефонов, адреса электронной почты, банковские данные и другие конфиденциальные сведения.
Различные организации для идентификации конкретного человека могут запрашивать персональные данные, которые им необходимы для определенных целей. Согласно Федеральному закону «О персональных данных», все виды персональных данных делятся на несколько категорий:
- Общие персональные данные — основные сведения о человеке, такие как имя, фамилия, отчество, адрес регистрации, образование, место работы и контактные данные.
- Специальные персональные данные — информация о национальности и гражданстве, политических убеждениях, вероисповедании, философских взглядах, состоянии физического и психического здоровья, семейном положении, наличии судимостей.
- Биометрические персональные данные — информация о физиологических параметрах человека: фотографии, дактилоскопические данные, почерк, анализ ДНК, группа крови, рост, вес, цвет глаз и другие.
- Иные персональные данные — все остальные данные, например, зарплата, членство в клубе, стаж и прочие.
Когда человек регистрируется на различных сайтах и предоставляет свои данные, эта информация не становится общедоступной. Сайты должны получить согласие пользователя на хранение и обработку этих данных.
К сожалению, это согласие не отменяет угрозы утечки персональных данных. С этой проблемой могут столкнуться как обычные люди, так и крупные компании, государственные организации. Любой человек или организация, владеющие персональными данными других людей, могут допустить их утечку при ненадежной защите от взлома и других опасностях.
Риски и причины утечки персональных данных
Утечка персональных данных может иметь серьезные последствия. Если данные были украдены с целью продвижения товаров или услуг, то вас могут беспокоить надоедливая реклама по почте, телефону и в социальных сетях, нежелательные звонки и другие подобные действия. Но в случае, если личной информацией завладели злоумышленники или киберпреступники, их цели более серьезные:
- Организация сбора средств на пожертвование или лечение, просьба о помощи от вашего имени. Мошенники взламывают ваши аккаунты в социальных сетях и мессенджерах, получают доступ к списку контактов, вашим фотографиям, перепискам, данным о состоянии здоровья, общаются от вашего имени.
- Оформление кредитов или снятие средств с ваших банковских карт. Мошенники пытаются получить доступ к личному кабинету вашего банка, к данным вашей банковской карточки, к информации о ваших накоплениях и счетах.
- Мошенничество с недвижимостью. Данные об объектах недвижимости и их владельцах дают аферистам возможность проводить незаконные сделки.
- Вымогательства и угрозы. Аферисты могут создать профиль в социальных сетях или на сайтах знакомств с использованием ваших фотографий и данных и от вашего имени вымогать деньги у пользователей; получив доступ к фотографиям и перепискам, мошенники могут шантажировать пользователей тем, что у них имеется компрометирующая информация, вымогать деньги за то, чтобы ее не опубликовали или не разослали друзьям и родственникам.
Главная причина утечки персональных данных — наша собственная доверчивость и невнимательность. Чаще всего мы сами предоставляем мошенникам информацию, которой они могут воспользоваться.
Оставляя номер телефона в социальных сетях, в комментариях под постами или сообщая данные банковской карты людям, которые представляются сотрудниками службы безопасности банка, мы допускаем ошибки, которые могут привести к нежелательным последствиям.
Поэтому необходимо настороженно относиться к тому, кто и по какой причине требует предоставить определенную информацию, обращать внимание на ссылки, по которым вас просят перейти, и адреса электронной почты тех, кто убеждает вас передать какие-либо сведения. Адекватно оценивайте личность, с которой вы общаетесь по телефону или в социальной сети, и саму ситуацию, из-за которой у вас запрашивают данные.
Иногда мошенникам даже не нужно вступать с вами в контакт или взламывать ваши странички. Им достаточно внимательно изучить информацию, которую вы сами о себе размещаете.
Многие пользователи настолько активно делятся личными сведениями, что по их профилям можно легко определить дату рождения, которая часто используется при создании паролей, имена членов семьи, количество детей, ссылки на социальные сети родителей, увлечения, доходы, место нахождения, место работы и учебы и даже время, когда они будут отсутствовать дома (фото загранпаспортов, посадочных талонов на самолет, фото из путешествий, сторис). Даже если вы ограничили доступ к вашей страничке «только для друзей», будьте внимательны при добавлении очередного «друга».
Перед заполнением профиля или публикацией новости о своей жизни помните, что любая информация, попавшая Сеть, становится доступной для всех.
Ваши персональные данные могут оказаться под угрозой не только из-за ваших собственных ошибок, но и в результате действий киберпреступников или сотрудников компаний, которым вы передаете эти сведения.
Чтобы защитить свои данные, перед тем как вводить их на стороннем сайте, удостоверьтесь, что ресурс не является фишинговым. Также важно проверить, берет ли компания на себя ответственность за защиту ваших данных. Эту информацию можно найти в разделе «Политика конфиденциальности».
Прежде чем передавать данные, внимательно изучите порядок и цели их обработки. Старайтесь предоставлять как можно меньше информации о себе. Если вы прекращаете взаимодействие с компанией, удалите свою учетную запись.
Социальные сети и облачные хранилища, такие как Dropbox, также могут быть ненадежными. Если мошенник получит доступ к вашей социальной или файлообменной сети, он сможет увидеть ваши переписки и сохраненные файлы. Поэтому не следует отправлять или публиковать на этих платформах персональные данные и фотографии своих документов, а также конфиденциальную информацию, которую в случае утечки можно использовать в мошеннических целях.
Получить доступ к вашим перепискам могут не только мошенники, но и сами создатели этих мессенджеров. Для обеспечения конфиденциальности разработчики придумывают новые способы защиты ваших данных, например, сквозное шифрование, при котором доступ к сообщениям, звонкам, изображениям имеют только участники переписки.
Такая технология применяется в мессенджере WhatsApp без необходимости в специальной настройке. Мессенджеры Telegram и Facebook используют функцию секретного чата. Такой чат создается вручную с выбором конкретного пользователя. Никто не сможет получить доступ к содержанию ваших переписок даже в зашифрованном виде.
Все наши действия в Интернете отслеживаются, а приложения, которые мы устанавливаем на свои мобильные устройства, часто запрашивают больше разрешений, чем необходимо. Они получают доступ к данным других приложений и следят за нашими действиями внутри них. Эту информацию могут использовать маркетологи для показа рекламы целевой аудитории или злоумышленники.
В качестве профилактики рекомендуется время от времени очищать кэш и cookie браузера. Нельзя необдуманно предоставлять все права приложениям и расширениям для браузера. Задумывайтесь над тем, для чего приложение запрашивает то или иное разрешение. Периодически перепроверяйте настройки конфиденциальности.
Наши смартфоны хранят множество личных данных: фотографии, заметки, сохраненные пароли и коды для входа в приложения. Конечно, лучше не оставлять телефон без присмотра, как и другие документы. Не храните конфиденциальную информацию на мобильном устройстве, защитите телефон надежным паролем и отключите отображение содержимого уведомлений.
Возможно ли отследить, кто из сотрудников слил персональные данные
Возможность отследить, кто из сотрудников допустил утечку персональных данных, зависит от конкретной ситуации и имеющихся мер защиты.
Если компания использует DLP-системы (технологию контроля утечек информации), то это позволяет противодействовать утечке данных, выявлять инсайдеров и недобросовестных сотрудников. В случае, если меры направлены только на защиту операционных систем и программного обеспечения, необходимо проводить анализ логов событий безопасности журналов серверов, рабочих станций и сетевых устройств.
Персональные данные могут быть украдены различными способами: от простого копирования информации на USB-флеш-накопитель до более серьезных атак. Случаи утечки персональных данных часто обусловлены отсутствием должного контроля, что приводит к следующим последствиям:
- утечка данных через USB-порты (перехват данных с устройств, подключенных к соседним USB-портам);
- утечка данных через учетные записи бывшими сотрудниками;
- случайная или намеренная утечка данных через сотрудников с избыточными правами доступа к конфиденциальной информации;
- утечка данных через фотографии на мобильном телефоне.
Злоумышленники, которые хотят получить доступ к информации определенной организации, могут попытаться устроиться туда на работу. Такие случаи редки, но это не отменяет необходимости тщательно проверять всех новых сотрудников. Судебная практика показывает, что в большинстве случаев данные крадут сами сотрудники фирмы. Они продают информацию о компании и ее клиентах.
Продажа личных данных обычно происходит в даркнете через специальные форумы или маркетплейсы. Злоумышленники предлагают продать персональные данные клиентов или пробить нужную информацию (подобные утечки чаще происходят в государственных структурах и банках). Поэтому важно отслеживать и анализировать случаи слива данных и регулярно проверять форумы с такими запросами.
Способы защиты от утечки персональных данных
К сожалению, клиенты не могут контролировать уровень защиты персональных данных в компаниях и полностью обезопасить себя от возможной утечки, так как главной причиной потери сведений является человеческий фактор. Сотрудники либо могут случайно передать свои учетные данные мошенникам на фишинговых сайтах, после чего злоумышленники получают доступ к базе данных клиентов, либо сами продавать данные компании, желая заработать на этом деньги.
Что делать, чтобы минимизировать риск утечки персональных данных? Есть несколько важных правил:
- Не публикуйте и не отправляйте никому в Интернете фотографии банковской карты и ее полные реквизиты. Для перевода денег достаточно номера карты или телефона.
- Включите двухфакторную аутентификацию во всех сервисах и социальных сетях. Это такой метод идентификации пользователя, при котором для входа нужно двумя разными способами подтвердить свою личность.
- Регулярно меняйте пароль. Рекомендуется делать это не реже одного раза в год, а лучше — каждые три месяца. Чем сложнее пароль, тем выше уровень защиты. Не используйте простые комбинации вроде «12345» или «qwerty». Как и банковские данные, пароли следует держать в секрете. Никому и никогда не сообщайте ваши пароли и храните их в надежном месте.
- Не храните файлы с отсканированными документами в социальных сетях. Даже если вы ограничили доступ к этим файлам, вашу личную страницу могут взломать. Лучше использовать специальные приложения для безопасного хранения фотографий.
- Совершайте онлайн-покупки только на надежных сайтах. Ориентируйтесь на значок замочка в браузере: если он закрыт, значит, сайт использует защищенное подключение. Перед оплатой убедитесь, что сайт не является фишинговым и не копирует сайты интернет-сервисов или банка.
- Внимательно изучайте правила обработки персональных данных, прежде чем нажать на галочку согласия.
Какова ответственность за утечку персональных данных
Рассмотрим, какие существуют законы об ответственности за утечку персональных данных и чем грозит нарушение этих законов.
Федеральный закон № 152 «О персональных данных» обязывает организации обеспечивать надлежащее хранение, обработку и защиту персональных данных (ПД). Поэтому ответственность за утечку информации полностью ложится на компанию.
В зависимости от обстоятельств, при нарушении правил обработки персональных данных законодательство предусматривает следующие виды ответственности:
- Дисциплинарная ответственность. Если в случае проверки выясняется, что виновником утечки персональных данных является сотрудник, согласно статьям 81, 90 и 192 Трудового кодекса РФ, руководитель организации может применить наказание в виде выговора, штрафа или увольнения.
- Гражданско-правовая ответственность. Статья 15 Гражданского кодекса РФ предусматривает наказание за утечку персональных данных в виде штрафа или возмещения убытков в случае серьезных последствий.
- Административная ответственность. В статье 13.11 Кодекса об административных правонарушениях РФ говорится о штрафах за различные нарушения при работе с персональными данными.
- Уголовная ответственность. В соответствии со статьей 137 Уголовного кодекса РФ за утечку персональных данных в компании может наступить уголовная ответственность. За сбор и распространение сведений, которые касаются личной и семейной жизни, предусмотрены крупные штрафы, принудительные работы или арест. Такое же наказание последует за незаконный захват секретных данных, их изменение или удаление. Меры наказания регулируются в статье 272 Уголовного кодекса РФ.
Часто задаваемые вопросы об утечке персональных данных
Какова статистика утечек персональных данных в банковской сфере?
Утечки данных в банковской сфере происходят не так часто. На них приходится лишь около 10–15 % всех случаев. Финансовый сектор считается одной из самых защищенных областей экономики. Банки отслеживают информацию об утечках, поэтому если данные клиента оказываются скомпрометированными, предпринимаются меры по перевыпуску карт, блокировке или переоформлению счетов. Это же касается и данных, которые обманутые клиенты передают мошенникам через фишинговые сайты.
Как украденные персональные данные используют хакеры?
Персональные данные могут быть использованы злоумышленниками для получения выгоды от лица жертвы. Например, они могут украсть деньги с кредитной карты или взять заем на имя жертвы. Также злоумышленники могут захватить учетные записи в различных социальных сетях, использовать данные для фишинговых атак.
Кроме того, они способны вымогать у жертвы деньги или продавать персональные данные другим преступникам в даркнете. Эти площадки недоступны для общего пользования, поэтому не всегда удается быстро обнаружить утечку персональных данных в компании. В результате организации теряют время: они не успевают подготовиться к возможным утечкам, наказать виновных и усилить меры безопасности.
Какова статистика утечек персональных данных в России?
Проблема утечки персональных данных активно набирает обороты, и Россия не исключение. По информации аналитической компании InfoWatch, за первое полугодие в стране произошла утечка 305 баз данных, что почти на 50 % больше, чем за аналогичный период 2021 года. Объем украденной информации увеличился в 16 раз и достиг более 187 млн записей.
По количеству утечек Россия занимает второе место в мире, уступая только США. В мае и начале июня в даркнете было обнаружено рекордное количество баз данных российских компаний — более 50, что более чем в два раза превышает показатели прошлых месяцев.
В 2022 году произошли крупные утечки данных клиентов таких компаний, как СДЭК, «Яндекс Еда», «Деливери Клаб», GeekBrains, «Ростелеком», «Гемотест», «Теле 2».
Помните, что в случае утечки вы — лишь один из множества пострадавших. Это серьезная проблема, но, скорее всего, ее можно решить. Особенно если вы не публичная персона. Важно быстро принять меры, оценить актуальность информации и предотвратить возможные негативные последствия.