«Интернет помнит все»: эксперты НГТУ НЭТИ рассказали, как обезопасить себя от утечки персональных данных

12.04.2022 106

В последнее время все чаще персональные данные россиян утекают в сеть. Так бывало и раньше, когда в общий доступ сливались тысячи номеров телефонов, так произошло и совсем недавно, когда в сети оказались персональные данные пользователей Яндекс.Еда. Эксперты НГТУ НЭТИ рассказали, как происходит утечка данных и на что стоит обратить внимание, чтобы информация о вас не оказалась в руках третьих лиц.

— Как обычно происходят утечки персональных данных? Пользователям каких сервисов это чаще всего угрожает?

— Существует два основных варианта утечки персональных данных: по глупости персонала или по злому умыслу, чаще это именно глупость, — отвечает начальник коммерческого отдела ООО «СИБ», общественный эксперт по ИБ НТИ Владимир Реутов. — Когда у сотрудников формальное отношение к своим трудовым обязанностям и инструкциям, которые им выдают на предприятии. Пример — выписки по зарплате. Представьте, предприятие, где несколько сотен человек и есть ответственный сотрудник, который должен делать рассылку. И вот очень часто бывает, что берут один файл и рассылают на всех, якобы каждый посмотрит свое. Вот это один из примеров разглашения, причем без злого умысла, просто по глупости. Люди просто не понимают, что они делают и какие процессы могут спровоцировать.

Еще один пример утечки персональных данных — сайты маленьких интернет-магазинчиков, доставок и прочего. Зачастую они сделаны «на коленке», на основе некоего конструктора. Выглядит это так: берется уже готовый шаблонный элемент, содержащий в себе 3—4 различных системы по безналичной оплате. По факту же сайт будет использовать только один из механизмов, остальные три просто «висят», они закодированы определенным образом и их нельзя использовать. Но при этом, во-первых, они сохраняются в системе, во-вторых, получить доступ к этим платежным вещам на чужом сайте не такая уж и сложная задача.

— Причем необязательно быть гуру, с этим может справиться старшеклассник или студент, — дополняет завкафедрой защиты информации НГТУ НЭТИ Андрей Иванов. — Дальше либо эта система получает код к общему банку данных, где уже проходили некие платежные операции, либо она позволяет эксплуатировать этот сайт как платежную систему для третьих лиц. И вот уже в этом случае финансовые данные будут скомпрометированы, а ведь это тоже персональные данные.

— Ну, а злой умысел — это когда идет какой-то конкретный заказ, — продолжает Владимир Реутов. — Обычно это бизнес-истории. Это нечестная конкурентная борьба, хедхантинг и прочее, что может принести выгоду заказчику. Тут уже используются другие механизмы: например, фишинг, методы социальной инженерии.

— Где могут быть использованы утекшие персональные данные? Есть ли черный рынок этих данных, где можно «пробить» человека?

— К сожалению, даркнет никто не отменял, и базы данных регулярно утекают туда, — говорит Андрей Иванов. — Например, база ларька с цветами, в котором вы согласились получить дисконтную карту. Более того, специально создаются подставные предприятия, которые функционируют в виде каких-то бизнесов, но предназначены исключительно для сбора данных о клиентах. Потом данные обрабатываются, классифицируются и готовятся к продаже.

Например, цветочный магазин — наболевшая тема для любого мужчины. Как минимум 2—3 раза в год он покупает цветы, соответственно, приезжает в магазин и ему предлагают дисконтную карту. А так как цветы дорогие, то человек соглашается на карту, что-то заполняет при этом и оставляет о себе данные. Еще 3—4 раза приезжает в этот магазин, пользуется дисконтной картой, и по итогу мы получаем временную статистику, сколько денег он готов потратить за один раз на цветы. Подобная информация может быть интересна, и на такого платежеспособного клиента начинают «сыпаться» различные предложения от компаний, данные которым он не предоставлял.

— Опять-таки микрофинансовые организации и их сайты (базы данных) используют коллекторские агентства для взыскания долгов, — добавляет Владимир Реутов. — По большому счету данные, попав туда один раз, остаются у недобросовестных людей навсегда, более того, есть практика продаж долговых обязательств другим коллекторам (в данном случае третьим лицам) и неконтролируемого обмена этой информацией. К сожалению, в этой области нет нормального правового регулирования, то есть реально работающих механизмов по изъятию из оборота персональных данных, дающих гарантию, что информация больше не будет использоваться без согласия персоны.

— Что делать, если вы обнаружили свои персональные данные в свободном доступе? Можно ли их блокировать, и если да, то как?

— Интернет помнит все! — говорит Андрей Иванов. — Все зависит от того, что ты нашел. Когда ты нашел проиндексированную фотографию из своего профиля социальных сетей, то это одна история, а вот когда ты нашел копию своего паспорта, то единственный выход — полная смена всех документов и банковских реквизитов. Выявить реальный канал утечки практически невозможно, это могла быть как собственная глупость, так и злой умысел, который еще предстоит доказать. И опять-таки, нет нормального правового поля, которое регулировало бы эти вопросы. Из практики: если произошла утечка данных, но отсутствует ярко выраженный ущерб, который можно посчитать в денежном эквиваленте, «потрогать руками», очень тяжело подключить официальные органы к решению данной проблемы. К сожалению, у нас в России сложно доказать нанесенный вред тебе, твоей репутации, твоим финансам и прочее. Поэтому изначально эти истории достаточно сложно раскручивать, либо ты должен заплатить много денег, чтобы доказать, что прав, либо, как самый простой вариант, это смена своих реквизитов.

— В какой момент мы как пользователи тех или иных сервисов даем согласие на обработку персональных данных? Можно ли это согласие отозвать и стоит ли это делать?

— Вот здесь есть два варианта, — отвечает Андрей Иванов. — Первый вариант — если организация, которая собирает некую информации о вас, выполняет все требования 152 ФЗ, то у них должен быть механизм отзыва согласия. И в принципе, когда вы читаете согласие на обработку персональных данных, там этот механизм хоть в каком-то формате обычно прописан.

Второй вариант —  есть некий сервис в интернете, и там внизу сайта есть кнопка о том, что вы согласны на обработку персональных данных. Но, к сожалению, объем и цель сбора данных в этих случаях не указаны. Здесь уже надо самому принимать решение, стоит ли вам это делать или нужно искать альтернативу сервису или услуге. Процедура отзыва на текущий момент — это письменное заявление субъекта персональных данных к оператору, оператор обязан это заявление принять, отреагировать, отработать и по итогу выдать письменное уведомление о том, что обработка у конкретного оператора данных субъекта прекращена. То есть данные либо уничтожены, либо по законодательному ограничению помещены в архив. Для примера — медицинские данные: вы можете отозвать свою персональную информацию у больницы, и данные будут направлены в архив (чаще всего бумажный), и их обрабатывать уже будет нельзя, но хранить нужно.

— Были ли в Москве и в России в целом прецеденты, когда цепочку утечки и незаконного использования персональных данных удалось отследить?

— Это сложное и дорогостоящее мероприятие, но такие прецеденты есть, — рассказывает Владимир Реутов. — Все зависит от величины ущерба и от типа информационного актива, от того, где эти данные хранились. Пример, который был на слуху какое-то время, — утечка базы данных абонентов одного из сотовых операторов, когда оператора по суду обязали возместить ущерб своим абонентам, даже была выплачена небольшая сумма компенсации.

Большинство же случаев, когда реально отслеживается цепочка по незаконному использованию персональных данных, происходит в рамках расследования уголовных дел.

По итогу мы имеем несколько способов пресечения незаконного использования персональных данных. Первый — это административная плоскость, в ней мало механизмов того, как правильно и с гарантированным результатом это сделать. Второй — рассмотрение данного вопроса в рамках уголовного дела, в этом случае уже несколько проще, есть свои нормы и отработанные механизмы, есть специализированные подразделения Министерства внутренних дел и не только, у них есть эксперты, владеющие этими навыками, — вот в этом случае уже можно решать вопрос.

 

Источник: Управление информационной политики Новосибирский государственный технический университет




Назад к списку


Добавить комментарий
Прежде чем добавлять комментарий, ознакомьтесь с правилами публикации
Имя:*
E-mail:
Должность:
Организация:
Комментарий:*
Введите код, который видите на картинке:*