Как интернет узнает ваши телефоны и адреса. Что не так с хранением персональных данных

В законе "О персональных данных", принятом в 2006 году, говорится, что это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". Проще говоря, это сведения, которые можно связать с человеком: ФИО, дата и место рождения, адрес, семейное положение, информация об образовании, доходах, состоянии здоровья, профессии. Написанное на банковской карте — тоже персональные данные. Даже то, что указано на личной странице в социальной сети, — это "общедоступные персональные данные".

Под подсчетам специалистов компании Data Leakage & Breach Intelligence (DLBI), предоставленным ТАСС, в 2022 году произошло около 300 утечек, включавших данные россиян. В них попали 99,8 млн уникальных адресов электронной почты, 109,7 млн уникальных телефонных номеров и иные сведения о клиентах "Яндекс.Еды", "Гемотеста", "Почты России", других крупных и мелких компаний.

"Изменился характер утекающих данных: в них значительно меньше критической информации, например востребованных мошенниками данных по банковским счетам, но увеличился объем персональных данных, которые выкладываются в открытый доступ. Причина этого — многочисленные атаки украинских "хактевистов" на российские ресурсы", — объясняет основатель DLBI Ашот Оганесян.

19 января начальник управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров сообщил, что с 1 сентября 2022 года, когда у операторов персональных данных появилась обязанность уведомлять об утечках уполномоченные органы, ведомство получило около 100 уведомлений. По словам Контемирова, в сравнении с прошлыми годами утечек стало больше.

В "Лаборатории Касперского" ожидают, что в 2023 году число утечек только увеличится, а злоумышленники будут собирать информацию о людях из различных источников во что-то вроде досье. Благодаря этому могут появиться более изощренные мошеннические схемы и атаки на бизнес. Впрочем, уже сейчас существуют сайты, где совмещены данные из разных баз. 

По-разному. Иногда злоумышленники используют уязвимости в инфраструктуре компаний или ошибки в настройках приложений, оборудования, облачных сервисов и т.п. Бывает, данные утекают потому, что сотрудники пользуются в работе сервисами и устройствами, которыми пользоваться не должны.

В других случаях применяются методы социальной инженерии, когда сотрудников вводят в заблуждение с помощью электронного письма или еще как-то. Например, ничего не заподозривший человек переходит по ссылке — на его устройство незаметно устанавливается вредоносная программа или он вводит данные, необходимые для доступа к информации.

Наконец, данные воруют сами работники: из-за затаенной обиды, ради наживы или по другой причине.

"Главной тенденцией можно назвать то, что снизилось число инсайдерских утечек и выросло число взломов. В прошлом году основным форматом стал взлом рабочих мест IT-специалистов с использованием password reuse (паролей пользователя от других сервисов), стилеров (программ, похищающих пароли) и социальной инженерии. Получив доступ к аккаунту сотрудника, обладающего широкими правами в корпоративной сети, хакеры копировали информацию с серверов баз данных или похищали резервные копии", — говорит Ашот Оганесян.

Иногда информация попадает в свободный доступ, и тогда кто угодно может получить сведения о человеке, зная адрес его или ее электронной почты, телефон, а иногда просто имя и фамилию.

В других случаях "утекшие" базы данных продаются в интернете. Покупают их с разными целями, например для того, чтобы заниматься телефонным мошенничеством. Также базы используют в сервисах "пробива", где можно купить досье на человека.

"В прошлом году значительная часть информации сразу же выкладывалась в открытый доступ, так как сами взломщики понимали ее невостребованность на черном рынке", — говорит Ашот Оганесян.

В зависимости от того, какие данные "утекли", можно вычислить место жительства, работы, примерно оценить уровень дохода, узнать о проблемах с законом и т.п. Также логины и пароли с одних сайтов и приложений можно использовать для того, чтобы получить доступ к аккаунтам в других.

Это не гарантирует сохранность данных. В разное время утечки происходили в ЦРУ, ФБР, Министерстве обороны США, Международном олимпийском комитете, Народном банке Китая, Facebook, Skype, Tinder, WhatsApp, YouTube.

Неуязвимых систем нет. Чтобы снизить риски, можно разве что следовать базовым правилам: использовать сложные пароли, подключить двухэтапную аутентификацию в своих аккаунтах в соцсетях и мессенджерах, не переходить по подозрительным ссылкам в письмах, не выкладывать в открытый доступ данные документов, никому не называть коды из SMS. Здесь мы писали подробно о том, как обезопасить свои данные. А здесь разбирали, как защитить аккаунты в соцсетях.

Но повлиять на то, как компании защищают свои базы с данными, пользователи не в состоянии.

За утечку персональных данных налагают штраф по статье 13.11 КоАП: на граждан — до 4 тыс. руб., на должностных лиц — до 20 тыс. руб., на индивидуальных предпринимателей — до 40 тыс. руб., на юридических лиц — до 100 тыс. руб. Но так бывает не всегда. Руководитель юридической компании "Дадашев и партнеры" Роман Дадашев объясняет: "Иногда можно точно сказать, что всплывшая клиентская база — из конкретной организации. [Но часто] сложно выявить технически, от кого произошла утечка: люди везде оставляют свои персональные данные, например в банках, где подписывают согласие на передачу. Разбираются в этом крайне редко".

По словам Романа Дадашева, уголовная ответственность наступает только при умышленном незаконном сборе персональных данных, то есть без согласия человека и без документов, регламентирующих процедуры, — и незаконные действия должны повлечь существенные негативные последствия. "Чаще это связано с личными данными. К коллегам обращались клиенты из-за того, что у них крали и распространяли изображения эротического характера. Как правило, об уголовном составе речь идет, когда к сбору и хранению добавляется вымогательство", — говорит он.

Также уголовная ответственность наступает, если утекшие персональные данные охранялись как коммерческая, налоговая или банковская тайна.

12 января 2023 года президент РФ Владимир Путин поручил правительству рассмотреть вопросы об усилении ответственности за незаконный оборот персональных данных и установлении оборотных штрафов за утечки. Ранее оборотные штрафы ввели в Европейском Союзе: суммы достигают €20 млн или 4% мировой выручки компании. По мнению Романа Дадашева, такие изменения принесли бы пользу и в России. "Сейчас штрафы для крупных компаний смешные. Заплатить штраф для них дешевле, чем нанять дополнительного сотрудника, который будет за это отвечать. Часто люди в организациях не понимают серьезность ситуации", — рассуждает он. 

"В большинстве случаев это именно так, хотя существует вероятность, что, заполняя анкету на очередном сайте, в банке или магазине, вы не прочитали согласие на обработку персональных данных, где было указано, что оператор имеет право делиться вашими данными с кем хочет и когда хочет", — говорит Ашот Оганесян.

Вы можете отозвать согласие на обработку персональных данных у любой компании. Правда, не факт, что у вас получится остановить звонки и SMS. Одна компания может передавать сведения о вас десяткам подрядчиков. К тому же оператор имеет право использовать их как минимум пока не закончился срок договора. Почитать об этом подробнее можно в нашем эксперименте (три редактора ТАСС разбирались, что компании делают с их данными).

Но если ваши данные незаконно передали и каким-то образом удалось это доказать, виновных накажут штрафами. Для оператора могут наступить и последствия гражданско-правового характера. Человек, который считает, что его права нарушены, может предъявить требования компенсации морального вреда, имущественного ущерба и убытков.