Как избежать утечки персональных данных?

Как обычно происходят утечки персональных данных

Утечки персональных данных происходят в основном из-за недобросовестных действий сотрудника компании, который намеренно выгружает какую-либо базу с подобными данными в пользу третьих лиц, иными словами – продает. Таких примеров можно встретить немало. Например, в 2019 году произошла крупная утечка персональных данных клиентов «Сбербанка». Впоследствии было установлено, что причиной стали действия сотрудника, который таким образом решил заработать.

Другой распространенной причиной может быть воздействие третьих лиц (кибератаки). В качестве примера можно назвать утечку данных пользователей сайта «РЖД Бонус». Данные утекли в результате взлома. Примечательно, что в случае с «РЖД Бонус» имел место человеческий фактор, который упростил задачу взломщикам.

В этой связи можно сделать вывод, что слив персональных данных в большинстве случаев происходит по вине сотрудника – оператора персональных данных (проще говоря, самого сервиса, которым мы пользуемся), действующего как умышлено, так и неумышленно.

Так, в случае с «Яндекс Едой» многочисленные источники со ссылкой на представителей сервиса указывают на недобросовестные действия сотрудника службы доставки, как на причину произошедшей утечки.

Особенно серьезно проблема утечки персональных данных угрожает пользователям сервисов, которые собирают данные о большом количестве людей, и у которых наблюдается большая текучка кадров среди сотрудников, имеющих доступ к таким данным. Например, на черном рынке фиксировалась продажа данных клиентов «Альфа-банка». Многие издательства сообщают о том, что утечка произошла в конце 2014 года после массового увольнения регионального IT-отдела.

Где могут быть использованы утекшие персональные данные

Персональные данные (номер телефона, адрес электронной почты и адреса проживания) чаще всего используются для таргетированных или нетаргетированных рекламных предложений. Более злостные действия могут заключаться в мошеннических действиях. Например, достаточно распространенный вариант – обзвон клиентов банка под видом службы безопасности данного банка, с целью убедить перевести денежные средства на «безопасный» счет. Также цель может состоять в нанесении репутационных потерь.

Утекшие базы обычно продаются заинтересованным лицам в частном порядке или через теневой сегмент интернета.

Что делать при обнаружении своих персональных данных в свободном доступе

К сожалению, извлечь утекшие в свободный доступ персональные данные практически невозможно. Конечно, всегда можно попробовать обратиться к владельцу сайта с требованием удалить информацию. Однако, это, во-первых, может быть небезопасно, а, во-вторых, вряд ли эффективно.

Что касается принудительных мер, то действующим законодательством предусмотрен, так называемый, «Реестр нарушителей прав субъектов персональных данных», который ведет Роскомнадзор. Проверить информацию о том, внесен ли тот или иной ресурс в такой реестр можно на официальном сайте Роскомнадзора.

Стоит учесть, что порядок внесения сайта, распространяющего персональные данные, в такой Реестр весьма непрост, так как, требует вступившего в законную силу судебного акта (ст. 15.5 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

На сайте самого Роскомнадзора содержится рекомендация субъектам персональных данных по защите нарушенных прав в сети Интернет:

  • Обратиться к владельцу сайта в сети Интернет, на котором размещена информация, нарушающая права субъектов персональных данных, с запросом об удалении незаконно размещенной информации.
  • В случае непринятия мер владельцем сайта в сети Интернет по удалению информации, нарушающей прав субъекта персональных данных, обратиться за защитой прав субъектов персональных данных в суд либо по месту жительства истца, либо по месту жительства ответчика.
  • После вступления в силу решения суда, обратиться в Роскомнадзор с заявлением посредством заполнения формы.

Обращение в суд требует от пользователя правильного составления заявления, а также соблюдения всей необходимой процессуальной формы, что может быть осуществлено в случае обращения к профессиональным юристам. 

Это достаточно трудоемкий процесс, требующий определенных затрат, что неудобно для большинства рядовых пользователей различных сервисов.

Судя по тому, что мы видим на практике, крупные сервисы самостоятельно стремятся как можно более оперативно заблокировать распространение персональных данных своих клиентов для сохранения своей репутации, что, в каком-то смысле, облегчает жизнь пользователям. На примере «Яндекс Еды» мы видим, что сам сервис предпринимает непрерывные действия по блокировке сайтов-распространителей. В этой связи, первое, что действительно стоит сделать – обратиться в сам сервис, из которого произошла утечка, с требованием о содействии в решении данной проблемы. Кроме того, государственные органы не остаются безучастны и стремятся защитить персональные данные граждан.

В случае с «Яндекс Едой», сайт, распространяющий персональные данные, уже заблокирован. Отмечается, что блокировка произошла в соответствии со ст. 15.5 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» на основании судебного акта, вынесенного по делу №02-0892/22, рассматриваемому Таганским районным судом города Москвы. Если мы посмотрим карточку данного дела на официальном сайте Мосгорсуда, то увидим, что истцом является сам Роскомнадзор, а также неопределенный круг лиц.

Можно сделать предположение, что пользователям крупных сервисов, чьи персональные данные были распространены, можно не предпринимать вообще никаких мер (или просто обратиться в Роскомнадзор), так как сам сервис и государственные органы сделают все сами. Но нужно помнить, что все описанное выше лишь блокирует распространение информации, но не изымает ее из cети. К сожалению, в данный момент говорить о способах принудительного и полного удаления утраченных персональных данных из просторов интернета не приходится.

В какой момент пользователь сервиса дает согласие 

Согласие можно дать любым способом, позволяющим подтвердить факт дачи такого согласия (кроме случаев, предусмотренных законом). Что имеется ввиду? Как правило, мы даем согласие на обработку персональных данных в том или ином сервисе, когда проходим регистрацию, заполняем данные для оплаты товаров или услуг и т. д.

Надо понимать, что задача любого сервиса – соблюсти законодательство в области обработки персональных данных, что означает необходимость получить такое согласие прежде, чем пользователь введет хоть какую-то информацию. Следовательно, практически любой сервис запросит согласие на обработку персональных данных в момент введения пользователем имени, фамилии, номера телефона, адреса электронной почты и т. д. Известный всем способ – это проставление галочки в поле «Даю согласие на обработку своих персональных данных». С того момента, как пользователь поставил такую галочку и продолжил заполнение формы, согласие на обработку персональных данных дано.

Описанный выше механизм, пожалуй, можно назвать самым распространенным. Также дача согласия может быть и в ином виде, но суть в том, что вам понятно, что вы даете такое согласие, а сервис впоследствии может доказать, что вы совершили эти действия.

Можно ли отозвать свое согласие

Отозвать свое согласие можно в любой момент. Сложно сказать, есть ли в этом смысл в контексте защиты своих персональных данных.

Дело в том, что данные пользователей собираются в ту или иную базу, которая в том или ином виде находится в доступе у того или иного сотрудника сервиса. В случае недобросовестных действий такого сотрудника, отзыв вашего согласия никакого влияния не окажет. Наглядное тому подтверждение – описанный выше пример про массовое увольнение IT-отдела «Альфа-банка».

Кроме этого, надо понимать, что даже отзыв согласия позволяет оператору персональных данных продолжать их обработку в определенных случаях (например, в случаях, предусмотренных законодательством о противодействии терроризму, об оперативно-розыскной деятельности и т. д.). Таким образом, отзыв согласия сам по себе не означает полное удаление персональных данных из баз того или иного сервиса.

Можно ли отследить цепочку утечки и незаконного использования персональных данных

Отследить атаки хакеров сложно технически. А если речь идет о действиях сотрудников, то эти цепочки (если тут вообще можно говорить о цепочках), вероятно, известны, но сведения о них не разглашаются в интересах обеспечения безопасности правонарушителей и в интересах тайны расследования. Дойти до «приобретателей» украденных персональных данных вряд ли возможно, если учесть, что такие сведения распространяются в основном в теневом сегменте интернета.

Рекомендации для операторов персональных данных

В связи с последними утечками, вопрос о защите персональных данных встает в обществе особо остро. Мы видим это и по активности нашего законодателя, который вносит или планирует внести ряд законодательных изменений (например, Минцифры РФ анонсировало идею о введении оборотных штрафов для компаний, в которых произошла утечка).

В связи с этим, бизнесу, которому приходится обрабатывать персональные данные своих пользователей, стоит повысить внимание к этому вопросу. Рекомендуется предпринять ряд мер. Среди них:

  • Разработать и выложить в публичный доступ политику по обработке персональных данных или иной документ, регулирующий данный вопрос, в котором будут указаны цели, способы, основания обработки персональных данных. Рекомендации по составлению данного документа есть на сайте Роскомнадзора.
  • Предусмотреть форму дачи согласия на обработку персональных данных на сайте.
  • Обеспечить техническую составляющую защиты персональных данных.
  • Предусмотреть усиленные меры взысканий для своих сотрудников за нарушение законодательства в области обработки и хранения персональных данных (в рамках, допустимых законом).

Примеры, которые мы наблюдаем последнее время, дают нам понять, что вопрос о сохранности персональных данных клиентов бизнеса носит скорее технический, нежели юридический характер.

1 мая 2022 года в закон о защите прав потребителей внесены изменения, согласно которым, продавец (исполнитель, владелец агрегатора) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.

Такая формулировка вполне способна породить проблему юридической квалификации отношений между клиентом и сервисом в части «непосредственной связанности с исполнением договора с потребителем».

Закон не дает нам исчерпывающий перечень персональных данных, сбор которых разрешен в каждой конкретной ситуации, в связи с чем, бизнесу придется самостоятельно определять связанность с исполнением договора с потребителем. Главная идея такой нормы права видится в запрете на необоснованный сбор «лишних» персональных данных.

Читайте также:

Расскажите коллегам:
Комментарии
Консультант, Самара
Максим Часовиков пишет:

Ну и как избежать?

Присоединяюсь к вопросу. Может, хоть в комментариях получим ответ?

Инженер-конструктор, Санкт-Петербург
Максим Часовиков пишет:
Ну и как избежать?

Не давать по возможности свои персональные данные. Или если это необходимо стараться предоставлять "резервный комплект ПД", то есть дополнительный (не основной) телефон, электронную почту и т.д.

Надо также иметь в виду связку между своими ПД. Например, давая телефон, к которому привязана учетная запись ВКонтакте, Вы даете выход на эту запись и на то, что можно из нее узнать.

Генеральный директор, Москва

С ленты новостей. С таким тяжело бороться - но, увы, необходимо.

... неизвестные выложили в Сеть документы внутренних аккаунтов «Ростелекома». Они содержат более 1 тыс. строк с именами и фамилиями, электронными адресами и телефонами.

Отмечается, что тот же источник ранее выкладывал базы данных образовательного портала GeekBrains, «Школы управления Сколково», якутского портала Ykt.Ru и службы доставки Delivery Club.

https://www.rbc.ru/business/06/06/2022/629e457e9a7947c68add0b75

Инженер-конструктор, Санкт-Петербург
Евгений Равич пишет:
С ленты новостей. С таким тяжело бороться - но, увы, необходимо. ... неизвестные выложили в Сеть документы внутренних аккаунтов «Ростелекома». Они содержат более 1 тыс. строк с именами и фамилиями, электронными адресами и телефонами.

Интересно, надо эту утечку рассматривать как персональные данные или корпоративные:

В открытом доступе оказалась база сотрудников государственного провайдера «Ростелеком», сообщает Telegram-канал «Утечки информации». В текстовом файле, размещенном в даркнете, содержится 109,3 тыс. строк, в том числе в базе есть ФИО, должности сотрудников, адреса корпоративной почты, логины и номера телефонов. Также ссылка на базу данных выложена в профильных Telegram-каналах, предположительно связанных с украинскими хакерами.

Конечно, ФИО - это персональные данные, но все остальное корпоративные.

Генеральный директор, Москва
Михаил Лурье пишет:
Евгений Равич пишет:
С ленты новостей. С таким тяжело бороться - но, увы, необходимо. ... неизвестные выложили в Сеть документы внутренних аккаунтов «Ростелекома». Они содержат более 1 тыс. строк с именами и фамилиями, электронными адресами и телефонами.

Интересно, надо эту утечку рассматривать как персональные данные или корпоративные:

В открытом доступе оказалась база сотрудников государственного провайдера «Ростелеком», сообщает Telegram-канал «Утечки информации». В текстовом файле, размещенном в даркнете, содержится 109,3 тыс. строк, в том числе в базе есть ФИО, должности сотрудников, адреса корпоративной почты, логины и номера телефонов. Также ссылка на базу данных выложена в профильных Telegram-каналах, предположительно связанных с украинскими хакерами.

Конечно, ФИО - это персональные данные, но все остальное корпоративные.

Уберем название компании, должность, департамент и т.п.. Останется имя, телефон, адрес, возможно - что-то еще. В таком перечислении всегда много персонального.

Утечки из упомянутых служб доставки и образовательных порталов, с учётом вариантов обогащения данных, могут отличаться по содержанию и ценности, но радоваться нечему.

 

Руководитель, Москва
Михаил Лурье пишет:
ФИО - это персональные данные, но все остальное корпоративные.

Связь ФИО и канала связи с ФИО (телефон, почта, адрес, личная старничка в СоцСетях)  - уже персональные 

Инженер-конструктор, Санкт-Петербург
Максим Часовиков пишет:
Связь ФИО и канала связи с ФИО (телефон, почта, адрес, личная старничка в СоцСетях)  - уже персональные 

Если корпоративный телефон и почта используются для личных контактов, то все это в связке безусловно персональные данные, но если они используются исключительно в служебных контактах, то это уже вопрос.

Например, если тебе звонят на служебный телефон из "службы безопасности банка", то ты не задумываясь посылаешь подальше, потому что банку ты этот телефон не предоставлял.

Тут уже скорее такие данные могут использоваться для промышленного шпионажа.

Руководитель, Москва
Михаил Лурье пишет:
Если корпоративный телефон и почта используются для личных контактов, то все это в связке безусловно персональные данные, но если они используются исключительно в служебных контактах, то это уже вопрос.

Да все равно персональные данные... ЗЫ, вот сейчас, при приеме визитной карточки, по идее необходимо подписовать согласие на обработку персональных данных..

Михаил Лурье пишет:
Например, если тебе звонят на служебный телефон из "службы безопасности банка", то ты не задумываясь посылаешь подальше, потому что банку ты этот телефон не предоставлял.

По идее - переключать на службу безопасности той конторы, в которой работаешь...

Генеральный директор, Москва
Михаил Лурье пишет:
Евгений Равич пишет:
С ленты новостей. С таким тяжело бороться - но, увы, необходимо. ... неизвестные выложили в Сеть документы внутренних аккаунтов «Ростелекома». Они содержат более 1 тыс. строк с именами и фамилиями, электронными адресами и телефонами.

Интересно, надо эту утечку рассматривать как персональные данные или корпоративные:

В открытом доступе оказалась база сотрудников государственного провайдера «Ростелеком», сообщает Telegram-канал «Утечки информации». В текстовом файле, размещенном в даркнете, содержится 109,3 тыс. строк, в том числе в базе есть ФИО, должности сотрудников, адреса корпоративной почты, логины и номера телефонов. Также ссылка на базу данных выложена в профильных Telegram-каналах, предположительно связанных с украинскими хакерами.

Конечно, ФИО - это персональные данные, но все остальное корпоративные.

Еще несколько примеров того, какие объемы и категории данных становятся доступными, по крайней мере - временно. Это глобальная проблема.

Специалисты по информационной безопасности рапортуют о резком росте количества утекших в даркнет баз данных российских компаний в последние несколько месяцев. Такие «сливы» могут содержать имена, адреса, номера телефонов, паспортные данные и даже результаты медицинских анализов клиентов. Важно, что качество и доступность похищенных данных тоже значительно выросли – информация стала куда более актуальной, а скачать ее часто можно совершенно бесплатно.

https://safe.cnews.ru/news/top/2022-06-10_hakeryslivayushchie_bazy_rossijskih

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Исследование: чего ждут российские IT-специалисты от работодателей

Половина сотрудников в IT мечтают о гибриде, но большинство опрошенных вынуждены работать в офисе.

Предлагаемые в России зарплаты выросли на 25% за год

Быстрее всего зарплаты в 2024 году росли у водителей, сварщиков и промоутеров — в 1,5–2 раза.

90% работодателей готовы нанимать неопытных специалистов

Представители бизнеса считают, что перспективные кандидаты, готовые к обучению, могут стать настоящим активом для компании.

Половина россиян оказалась в состоянии выгорания к концу 2024 года

Наиболее распространенные симптомы выгорания — постоянное чувство усталости и раздражительность.