Все новости

Как интернет узнает ваши отпечатки пальцев. Что не так с хранением персональных данных

© Юрий Смитюк/TACC
ТАСС — о том, насколько легко узнать ваш домашний адрес, телефон и данные банковской карты и как понять, "утекли" ли сведения о вас и можете ли вы себя обезопасить

Неизвестные хакеры опубликовали в Сети большой массив личных данных пользователей — 773 млн адресов электронной почты и более 21 млн паролей. Об этом 17 января сообщил журнал Wired, он же назвал эту утечку одной из крупнейших. Есть там, как оказалось, и данные российских пользователей. 

Утечки становятся действительно большой проблемой, которая только разрастается с каждым годом.

ТАСС напоминает, какая информация о вас хранится в интернете и как можно обезопасить себя.

Что такое персональные данные?

?

В законе "О персональных данных", принятом в 2006 году, объясняется, что это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". 

Проще: к ним относятся все данные, указанные в ваших документах: ФИО, дата и место рождения, адрес, семейное положение, данные об образовании, состоянии здоровья и профессии. 

А также биометрические данные — отпечатки пальцев, скан сетчатки глаза. Данные, написанные на вашей банковской карте, — тоже. И даже то, что открыто указано в вашем профиле в любой соцсети.

Я часто слышу об утечках персональных данных. Объясните, что происходит?

?

Утечки — это действительно большая проблема. С каждым годом их становится больше.

В первом полугодии 2018 года в мире произошло 1039 утечек конфиденциальной информации, что на 12% больше, чем в первой половине 2017 года, по данным аналитического центра InfoWatch.

В результате скомпрометировано 2,39 млрд записей персональных и платежных данных — это номера социального страхования, реквизиты пластиковых карт. 21 случай относится к мегаутечкам: в результате каждой из них "утекло" более 10 млн записей.

Как "утекает" информация? И кто виноват?

?

По-разному.

За данными охотятся хакеры — они могут использовать программы-вымогатели и взламывать корпоративную почту. Но информация может стать общедоступной случайно, по халатности или по злому умыслу сотрудника.

Исследователи безопасности — те, кто ищет уязвимости в системах защиты, — почти каждый день сообщают о незащищенных облачных серверах.

"Зачастую технические специалисты забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы", — говорится в отчете InfoWatch.

И что происходит со скомпрометированными персональными данными?

?

Часто эти базы продают в даркнете ("темный", нелегальный интернет — это часть интернета, работающая по своим протоколам и алгоритмам для достижения максимальной анонимности). 

Чтобы вы понимали, о каких суммах идет речь: в 2018 году на одном из форумов за 8 биткойнов (цена одного биткойна сейчас — 418,1 тыс. рублей) продавали сведения о 70 млн пользователей Telegram.

Самое безобидное, что можно сделать с вашими данными, — продать компаниям, которые станут звонить и предлагать товары и услуги. А если злоумышленники получили платежные данные — они могут увести с вашего счета деньги. 

Иногда персональные данные могут обнародовать ради шутки.

В 2017 году одним из самых обсуждаемых инцидентов в сфере безопасности стала утечка данных актеров "Игры престолов". Хакеры выложили в общий доступ их номера телефонов, домашние адреса и электронную почту. Другие пользователи временно завладели аккаунтами продюсерской медиакомпании. 

Я буду пользоваться услугами крупных и надежных компаний. Они не допустят утечку.

?

Это не поможет.

Только в 2018 году от утечек данных пострадали ЦРУ, ФБР, министерства обороны США, Великобритании, Международный олимпийский комитет, Народный банк Китая, говорится в отчете InfoWatch.

Сообщалось о компрометации данных пользователей BitTorrent, GitHub, Skype, Tinder, WhatsApp, YouTube.

Из чего следует вывод, что неуязвимых систем нет. Все, что вы можете сделать для своей безопасности, — это выполнять правила кибергигиены.

И как мне защитить личную информацию?

?

Создавайте сложные пароли. Дата вашего рождения, номер телефона или qwerty — плохая идея. Хорошая — длинный пароль из цифр и букв разного регистра. И пароли нужно постоянно менять. Не используйте одинаковые пароли к компьютеру, почте, разным соцсетям.

Знайте особенности сервисов, которые используете. Это позволит избежать утечек, аналогичных, например, появлению документов Google Docs в поисковиках.

Если вы часто используете смартфон для интернет-серфинга или подключаетесь к незнакомым Wi-Fi-сетям, по возможности, не используйте этот же телефон для интернет-банкинга или входа в закрытую корпоративную сеть. 

Если калькулятор для Android запрашивает право на чтение sms — это повод задуматься. Устанавливайте приложения только из официальных магазинов — App Store, Play Market, Windows Store.

"Не всякую утечку можно предотвратить со стороны пользователя, — уточняет Герман Наместников,  специалист в области информационной безопасности. — Многие из них происходят по вине компаний, не обеспечивающих достаточную защищенность данных. Но минимизировать риск можно, следуя приведенным выше советам".

Еще о правилах поведения в Сети можно почитать в другом материале ТАСС.

А в России происходят утечки данных?

?

Да, как и везде.

В сентябре 2018 года Facebook сообщил об инциденте: в результате кибератаки произошла утечка данных 30 млн пользователей. Спустя месяц компания распространила среди российских пользователей, данные которых были скомпрометированы, сообщение об этом инциденте.

А осенью 2017 года в интернете нашли базы данных с информацией о более чем 5,6 млн клиентов страховых компаний. Досье содержали не только персональные сведения, но также данные об автомобилях застрахованных лиц, историю сделок и копии документов.

Это, разумеется, неполный список.

Кто-то несет ответственность за то, что мои данные "утекли"?

?

Для компаний, которые допустили утечку, есть штрафы.

Если российская компания допустила утечку в результате хакерской атаки, на нее могут наложить административный штраф в соответствии со ст. 13.11 КОАП "Нарушение законодательства РФ в области персональных данных". 

"Размеры штрафов — от 4 тыс. до 10 тыс. рублей для должностных лиц, от 10 тыс. до 20 тыс. рублей для индивидуальных предпринимателей, от 25 тыс. до 50 тыс. рублей для юридических лиц, — разъясняет Ашот Оганесян, основатель компании DeviceLock. — Но на практике в России контролируется скорее формальная сторона — наличие регламентов и прочих документов, и если они в порядке, компании ничего не грозит в случае утечки".

И кстати, наказание для российских и европейских компаний сильно различается. Это, правда, только пока. Есть тенденция: во всем мире требования к охране персональных данных становятся строже.

"С мая 2018 года в Евросоюзе действует жесткий регламент обработки персональных данных (GDPR), — продолжает Оганесян. — Там и требования к защите данных сформулированы однозначно, и штрафы — до 4% общемировой выручки компании. GDPR только начинает действовать — ведомства, ответственные за его соблюдение, набираются опыта, приводится в соответствие местное законодательство — до совершенства новой норме еще далеко".

Для хакеров предусмотрены санкции в Уголовном кодексе РФ.

Если персональные данные, входящие в базу, охранялись как коммерческая тайна и были похищены продавцами левых баз данных, то они должны отвечать по ст. 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну", добавляет Станислав Мачихин, начальник юридического департамента SearchInform. Максимальное наказание — лишение свободы на срок до семи лет.

"И не стоит забывать про ст. 137 УК РФ, которая запрещает незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия", — уточняет Мачихин.

Мне звонят из незнакомых компаний — предлагают услуги. Как у них оказались мои контакты? И я хочу это остановить.

?

Базу с вашими контактами могли купить на черном рынке. Или легально — у компании, которой вы разрешили обрабатывать ваши данные, при получении карты клиента или регистрации на сайте. Возможно, подписывая договор, вы разрешили не только обрабатывать, но и передавать ваши контакты третьим лицам.

"Мы за один день можем передать свои персональные данные для обработки нескольким компаниям, — говорит Олег Черкасов, ведущий юрист "Европейской юридической службы". — Установить, кто допустил утечку, почти нереально".

Но в случае, если ваши данные незаконно передали и вы каким-то образом смогли установить этот факт, виновных накажут штрафами по вышеуказанной ст. 13.14 КоАП РФ. Штрафы — до 50 тыс. рублей для юрлиц. А если клиентскую базу продали менеджеры, им грозит штраф до 5 тыс. рублей.

"Для оператора могут наступить и последствия гражданско-правового характера, — добавляет Черкасов. — Человек, который считает, что его права были нарушены, может предъявить требования компенсации морального вреда, имущественного ущерба и убытков".

Когда ситуация будет меняться? Появятся законы и сервисы, которые помогут следить, как мои данные используют?

?

В ближайшие два-три года, согласно плану госпрограммы "Цифровая экономика", произойдут реформы.

Для примера: сейчас вы можете не знать, что сведения о вас "утекли", скажем, из банка в результате кибератаки. Банк не обязан вам сообщать об этом. Хотя вы можете запросить в индивидуальном порядке информацию: что происходило с вашими персональными данными, которые вы разрешили обрабатывать, все ли с ними в порядке. Но, как говорилось выше, трудно вспомнить, где вы вообще оставляли свои контакты.

Предполагается, что появятся удобные сервисы, с помощью которых вы сможете быстро проверить: у кого есть информация о вас, как ее используют, куда ее передавали. Там же вы сможете отозвать разрешение на обработку своих данных. Эксперты, правда, признают, что эти реформы крайне сложны в воплощении с технической стороны.

Анастасия Степанова