Как интернет узнает ваши телефоны и адреса. Что не так с хранением персональных данных

В законе "О персональных данных", принятом в 2006 году, объясняется, что это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". 

Проще: к ним относятся все данные, указанные в ваших документах: ФИО, дата и место рождения, адрес, семейное положение, данные об образовании, состоянии здоровья и профессии. Данные, написанные на вашей банковской карте, — тоже. И даже то, что открыто указано в вашем профиле в любой соцсети, — для них есть уточняющий термин "общедоступные персональные данные".

Речь о том, что киберпреступники крадут базы с персональными данными, пользуясь уязвимостями в защите.

За девять месяцев 2020 года в мире утекло 9,93 млрд записей персональных данных (в том числе платежных), из них 96,5 млн — в России. Стало ли утечек больше или меньше? Во всем мире зарегистрировано немного меньше (на 7,4% ) утечек, чем за аналогичный период прошлого года. Но в России утечек, наоборот, немного больше — на 5,6%, по данным аналитического центра InfoWatch. Какие-либо персональные данные сотрудников и финансовые документы в 2020 году утекали из 91% российских компаний, по данных "СерчИнформ".

При этом киберпреступность в целом — куда относится не только кража баз данных у компаний, но и все остальное (как получение данных россиян на фишинговых сайтах, к примеру), во время пандемии выросла. Об этом сообщил один из основателей "Лаборатории Касперского" Евгений Касперский. "До COVID-19 мы фиксировали порядка 350 тыс. новых массовых кибератак в день, но сейчас мы выявляем порядка 400 тыс. Активность киберпреступников возросла примерно на 20–25% во время пандемии COVID-19", — рассказал он.

По-разному.

За данными охотятся хакеры — они могут использовать программы-вымогатели и взламывать корпоративную почту. Но информация может стать общедоступной случайно, по халатности или по злому умыслу сотрудника.

Исследователи безопасности — те, кто ищет уязвимости в системах защиты, — почти каждый день сообщают о незащищенных облачных серверах.

"Зачастую технические специалисты забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы", — говорится в отчете InfoWatch.

Обычно эти базы продают в даркнете ("темный", нелегальный интернет — это часть интернета, работающая по своим протоколам и алгоритмам для достижения максимальной анонимности). 

Чтобы вы понимали, о каких суммах идет речь: в 2018 году на одном из форумов за 8 биткойнов (цена одного биткойна сейчас — 418,1 тыс. рублей) продавали сведения о 70 млн пользователей Telegram.

В прошлом году цена незаконно добытых персональных данных и счетах клиентов российских банков на черном рынке выросла на 20%. Так, банковская выписка за месяц в 2020 году в среднем стоит 9250 рублей вместо 7667 рублей годом ранее. Выписка по счету или карте физлица в Сбербанке предлагается по цене от 12 тыс. до 15 тыс. рублей за один месяц или от 30 тыс. до 35 тыс. рублей за полгода. Информацией могут воспользоваться мошенники, которые хотят получить доступ к деньгам на счетах.

Это не поможет. В разное время от утечек данных пострадали ЦРУ, ФБР, министерства обороны США, Великобритании, Международный олимпийский комитет, Народный банк Китая, говорится в отчете InfoWatch.

Сообщалось о компрометации данных пользователей BitTorrent, GitHub, Skype, Tinder, WhatsApp, YouTube. В России утечки происходили у многих банков, мобильных операторов.

Неуязвимых систем нет. Все, что вы можете сделать для своей безопасности, — это выполнять правила кибергигиены. Здесь можно почитать о том, как часто менять пароли, где их хранить, чего нельзя разрешать приложениям. Повлиять на то, как компании защищают свои базы с данными, не во власти пользователей.

Для компаний, которые допустили утечку, есть штрафы.

Если российская компания допустила утечку в результате хакерской атаки, на нее могут наложить административный штраф в соответствии со ст. 13.11 КОАП "Нарушение законодательства РФ в области персональных данных".

"Размеры штрафов — от 4 тыс. до 10 тыс. рублей для должностных лиц, от 10 тыс. до 20 тыс. рублей для индивидуальных предпринимателей, от 25 тыс. до 50 тыс. рублей для юридических лиц, — разъясняет Ашот Оганесян, основатель компании DeviceLock. — Но на практике в России контролируется скорее формальная сторона — наличие регламентов и прочих документов, и если они в порядке, компании ничего не грозит в случае утечки".

Наказание для российских и европейских компаний различается. Но есть тенденция: во всем мире требования к охране персональных данных становятся строже.

"С мая 2018 года в Евросоюзе действует жесткий регламент обработки персональных данных (GDPR), — продолжает Оганесян. — Там и требования к защите данных сформулированы однозначно, и штрафы — до 4% общемировой выручки компании. GDPR только начинает действовать — ведомства, ответственные за его соблюдение, набираются опыта, приводится в соответствие местное законодательство — до совершенства новой норме еще далеко".

Для хакеров предусмотрены санкции в Уголовном кодексе РФ.

"Если персональные данные, входящие в базу, охранялись как коммерческая тайна и были похищены продавцами левых баз данных, то они должны отвечать по ст. 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну", — добавляет Станислав Мачихин, начальник юридического департамента SearchInform. Максимальное наказание — лишение свободы на срок до семи лет.

"И не стоит забывать про ст. 137 УК РФ, которая запрещает незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия", — уточняет Мачихин.

Не обязательно базу с вашими контактами купили на черном рынке. Ее могли и легально взять у компании, где вы обслуживаетесь. Подписывая стандартный договор с банком, фитнес-клубом или мобильным оператором, вы могли разрешить передавать ваши контакты третьим лицам.

Вы, кстати, можете отозвать согласие на обработку персональных данных у любой компании. Правда, не факт, что у вас получится остановить звонки и SMS. Одна компания может передавать сведения о вас не только двум-трем партнерам, а десяткам подрядчиков. К тому же оператор имеет право использовать их минимум, пока не закончился срок договора. Почитать об этом подробнее можно в нашем эксперименте (три редактора ТАСС разбирались, что компании делают с их данными).

Но в случае, если ваши данные незаконно передали и вы каким-то образом смогли установить этот факт, виновных накажут штрафами по ст. 13.14 КоАП РФ. Штрафы — до 50 тыс. рублей для юрлиц. А если клиентскую базу продали менеджеры, им грозит штраф до 5 тыс. рублей.

"Для оператора могут наступить и последствия гражданско-правового характера, — говорит Олег Черкасов, ведущий юрист Европейской юридической службы. — Человек, который считает, что его права нарушены, может предъявить требования компенсации морального вреда, имущественного ущерба и убытков".