Персональные данные под защитой: что важно знать о хранении личной информации

Как следует из федерального закона №152-ФЗ, персональными данными (ПДн) считается любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Другими словами, это личные сведения о человеке. Выделяют четыре категории персональных данных.

• Общие — содержат ключевые сведения: фамилия, имя, отчество, дата рождения, адрес, паспортные данные, образование, место работы, размер дохода, СНИЛС, ИНН, реквизиты банковской карты, адрес электронной почты, — используются вместе. По отдельности, например только фамилия или имя, к персональным данным не относятся.
• Биометрические — отпечатки пальцев, ДНК человека, радужная оболочка глаз, группа крови, рост, вес, фотографии и другие физиологические особенности. Подобные ПДн используются в современных системах идентификации, на таможнях, при выдаче загранпаспортов и виз.
• Специальные — расовая и национальная принадлежности, хронические заболевания, религиозные и политические взгляды, информация о судимостях. Для работы с данным видом ПДн требуется письменное согласие владельца.
• Иные — к ним относятся данные, не вошедшие в другие категории, например принадлежность к определенному сообществу или социальной группе.

Как пояснил руководитель направления продуктовой безопасности компании Selectel Антон Ведерников, глобально можно выделить два вида утечек — крупные и целевые. Крупные утечки являются следствием взлома IT-инфраструктуры компании, при этом персональные данные чаще всего не являются основной целью хакеров. Целевые утечки осуществляются через инсайдеров (сотрудников, подрядчиков), которые имеют доступ к персональным данным, и в этом случае они являются основной целью. То есть за крупными взломами зачастую стоят группировки, а целевыми утечками занимаются отдельные лица.

При этом бизнес и государство непрерывно адаптируются под текущие реалии — меняется законодательство, разработчики средств защиты улучшают свои решения, а бизнес увеличивает степень зрелости процессов ИБ (информационной безопасности), что приводит к удорожанию атак и меньшему влиянию на работу сервисов.

Руководитель отдела ИБ компании "Рексофт" Юлия Коновалова подчеркнула, что количество кибератак значительно увеличилось в последние годы. "Аналитики отмечают рост примерно в 2,5 раза за 2024 год. Кроме того, атаки стали более разнообразными. Часто они перемещаются из Сети в мессенджеры. Если раньше хакеры выводили из строя инфраструктуру и предъявляли требования (причем не всегда), то теперь наблюдается тенденция к проникновению в IT-периметр компании с последующим длительным наблюдением за инфраструктурой", — прокомментировала эксперт.

Как правило, базы с персональными данными продают через даркнет (нелегальный интернет, работающий по своим алгоритмам и протоколам для достижения максимальной анонимности). В большинстве случаев их покупают мошенники и затем при помощи разных схем выманивают деньги у доверчивых граждан. Если утекли платежные данные, могут пропасть деньги с банковского счета.

Все чаще личную информацию используют для фишинга — интернет-мошенничества, нацеленного под разными предлогами через электронную почту или сообщения в мессенджерах получить пароли и, соответственно, доступ к id телефона, банковскому счету, страничке в социальных сетях или сайту, вариантов может быть много.

Доксинг — другой вид мошенничества, подразумевающий публикацию в интернете украденных персональных данных для дальнейшего шантажа или травли.

В РФ контроль за выполнением требований законодательства в сфере защиты персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзор (РКН). Все основные требования отражены в Федеральном законе 152-ФЗ и его подзаконных актах.

"Компании и крупные интернет-сервисы предпринимают комплексные шаги для защиты персональных данных пользователей. Законодательство четко регламентирует как организационные, так и технические меры, которые необходимо соблюдать. Помимо этого, важно учитывать, что утечки данных существенно вредят репутации компании, поэтому крупные организации уделяют серьезное внимание защите персональной информации", — пояснила Юлия Коновалова.

"Компании должны правильно организовать обработку персональных данных как с точки зрения процессов, так и с точки зрения технической защиты IT-инфраструктуры. Для минимизации рисков необходимо осуществлять сбор только достаточного для выполнения задачи количества персональных данных, а также защищать информационные системы, в которых они обрабатываются", — рассказал Антон Ведерников.

Если у компании нет службы информационной безопасности, которая осуществляет мониторинг, то компании могут следить за крупными информационными ресурсами, которые публикуют информацию об утечках. Также есть профессиональные сервисы, позволяющие в автоматизированном режиме осуществлять мониторинг интернета на наличие утечек, связанных с компанией.

30 мая 2025 года вступит в силу закон, налагающий различные меры наказаний за утечку персональных данных (тот самый, подписанный президентом в ноябре). Он предусматривает следующие виды ответственности:

• Административная. Заключается в системе штрафов в зависимости от масштаба нанесенного ущерба. За незаконную передачу личной информации и данных о здоровье взимается до 15 млн рублей, биометрии — до 20 млн рублей. Для юридических лиц введены оборотные штрафы в размере 1–3% от выручки, но не менее 20 млн рублей и не более 500 млн рублей. Компании обязаны оповещать Роскомнадзор об обработке данных, в противном случае придется заплатить до 300 тыс. рублей. В случаях утечки личной информации компаниям также следует сообщать в ведомство, за неисполнение — штраф до 3 млн рублей. Также назначается штраф за обработку персональных данных, не предусмотренную законодательством РФ или несовместимую с оговоренными целями, — до 300 тыс. рублей. За повторное нарушение — до 500 тыс. рублей.
• Уголовная. За незаконное использование и передачу личной информации грозит четыре года лишения свободы или исправительные работы на аналогичный срок. Если похищены данные несовершеннолетних, особых категорий или биометрия, то срок увеличивается до пяти лет, штраф — до 700 тыс. рублей (или лишение дохода на срок до двух лет) с возможным запретом занимать определенные должности.

По мнению Антона Ведерникова, физическим лицам для проверки своей электронной почты на предмет утечек можно воспользоваться специализированными сервисами, например https://haveibeenpwned.com. В случае обнаружения — сменить пароль, подключить многофакторную аутентификацию (чтобы при авторизации в сервис запрашивался не только пароль, но и дополнительное подтверждение, например код из СМС). Если говорить про более полную проверку, то можно подписаться на канал с новостями об утечках и следить за сервисами и компаниями, откуда "утекли" данные. Если среди них есть те, которыми вы пользуетесь, то с большой вероятностью ваши данные есть в этой утечке. Но не стоит проверять "сливы" через сервисы, которые агрегируют данные, — чаще всего таким образом и осуществляется сбор ваших ПДн. Если обнаружили свои данные среди утечек — не спешите менять телефоны и паспорт. Это вас практически никак не обезопасит. Вместо этого смените пароли, подключите многофакторную аутентификацию, если возможно — запретите значимые действия без вашего личного присутствия (например, запрет на осуществление сделок с недвижимостью).

"Обычным пользователям интернета важно быть внимательными, чтобы не стать жертвами мошенников. Следите за своими устройствами: блокируйте их, когда не используете, и не оставляйте без присмотра. Избегайте подключения к открытым Wi-Fi-сетям. Внимательно проверяйте названия сайтов и адреса отправителей писем — даже небольшое несоответствие в одну букву может привести не на официальный сайт, а на сайт-двойник и в мошенническую схему. Используйте двухфакторную аутентификацию на всех важных сервисах, таких как "Госуслуги", ФНС и банки. И конечно, включайте критическое мышление", — советует Юлия Коновалова.

Изучить и следовать базовым правилам цифровой гигиены, не переходить по незнакомым и подозрительным ссылкам, использовать виртуальные номера телефонов и банковских карт, временные адреса электронной почты для регистрации на сайтах, по возможности не брать трубки с незнакомых номеров рекомендует Антон Ведерников.

Вот еще несколько советов:

1. Для составления паролей используйте сложные комбинации, включающие строчные и заглавные латинские буквы, цифры, специальные символы. Не стоит указывать ФИО и дату рождения, так как это легко вычислить.
2. В социальных сетях следует включить двухфакторную аутентификацию, при введении логина и пароля будет запрошен код из СМС.
3. Для личной переписки и регистрации в интернет-магазинах используйте разные почтовые ящики.
4. Устанавливайте на компьютер последнюю модель антивируса, чтобы отражать атаки вредоносных программ.
5. Сделайте социальные сети закрытыми для посторонних, в открытых источниках постарайтесь оставлять минимум информации о себе.

Безусловно, эти советы выглядят вполне очевидными и многие про них уже слышали, но, как показывает практика, далеко не все из нас пользуются даже такими в целом несложными способами защиты.