Утечки персональных данных: что можно предпринять пользователям, чтобы их предотвратить?
mitay20 / Фотобанк Фотодженика |
В этом материале:
Последние несколько месяцев наиболее обсуждаемым событием в сфере информационной безопасности стала утечка персональных данных клиентов крупных компаний. Так, 1 марта 2022 года компания "Яндекс" сообщила о том, что их служба информационной безопасности выявила утечку информации, которая произошла по вине одного из сотрудников1. В нее входили персональные данные пользователей сервиса "Яндекс.Еда" – при этом компания не уточнила весь их перечень, но упомянула о том, что утечка не коснулась банковских, платежных и регистрационных данных пользователей (логинов и паролей). 22 марта 2022 года в Интернете появился сайт, который содержал персональные данные пользователей сервиса: ФИО, адреса заказа для курьеров (в некоторых случаях был указан даже этаж и код домофона), адреса электронной почты, сумма заказов на сервисе за полгода, комментарии к заказам. Причем для потенциальных злоумышленников в данном случае задача упростилась: для поиска информации им не пришлось пользоваться защищенными браузерами или покупать базы данных, все данные были визуализированы на интерактивной карте. На момент публикации материала сайт, где была размещена эта карта, заблокирован большинством провайдеров.
Большая обеспокоенность клиентов крупного сервиса подняла общественный резонанс. Проблема защиты персональных данных, которые пользователи предоставляют компаниям, стала обсуждаться активнее. Основная встревоженность касается следующего: как можно защитить свои данные от подобных утечек? Можно ли повлиять на компании, чтобы они ответственнее относились к защите персональных данных своих клиентов? Ответы на эти и другие вопросы о персональных данных, а также анализ ситуации с компанией "Яндекс" – в нашем материале.
Причина утечек данных
Утечкой персональных данных называют их попадание в открытый доступ – чаще всего это опубликование баз данных в Интернете. Такие базы данных злоумышленники могут выставлять на продажу в защищенных браузерах или в приватных каналах.
Причин утечек персональных данных несколько. Ранее ГАРАНТ.РУ писал, что чаще всего они происходят по двум причинам: намеренное раскрытие информации третьим лицам или неосторожность. К первой причине относится распространение данных, осуществленное сотрудником компании или действием мошенника извне. По второй причине утечки происходят вследствие внутренних инцидентов компании, которая является оператором персональных данных (в соответствии с п. 2 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ "О персональных данных"; далее – Закон № 152-ФЗ), а также других лиц, обрабатывающих данные по поручению оператора. Сюда относятся некомпетентные действия со стороны сотрудников компании и технические проблемы, связанные с уязвимостями информационных систем.
МНЕНИЕ
Алексей Дрозд начальник отдела информационной безопасности "СёрчИнформ":
"Взлом – самая очевидная причина утечки, но не самая частая из них. Киберпреступникам проще и дешевле собрать информацию, которая "плохо лежит". Один из способов – парсинг данных [сбор, обработка и анализ. – ГАРАНТ.РУ] из открытых источников. И если какие-то важные данные о пользователе спарсили, значит, он или организация, предоставляющая услуги, выложили их в Интернет, не заботясь о настройках безопасности. Второй вариант – поиск плохо защищенных баз данных. Например, из-за бума онлайн-торговли ритейлу приходится массово внедрять ИТ-решения. Разработкой сайтов часто занимаются люди, которые плохо разбираются в защите данных и делают сервисы по одному шаблону. Заказчикам же в первую очередь нужно, чтобы сайт приносил деньги, поэтому они и сами вспоминают о безопасности в последнюю очередь. В результате у хакеров на выбор есть множество онлайн-магазинов с похожими уязвимостями, которыми несложно воспользоваться. Бывает и так, что резервная копия базы данных хранится в открытом виде.
Слив информации инсайдерами компаний – еще одна причина утечек. Они могут быть наиболее опасными, так как у сотрудников есть доступ к самой критичной, а значит более полезной для злоумышленников информации. Самый громкий пример последнего времени – утечка с сервиса "Яндекс.Еды". Поэтому, когда речь идет про целенаправленные атаки, мошенники ищут сообщников внутри организаций: инсайдеры могут обеспечить доступ к нужной информации или "пробить" нужных людей".
Опасность утечки персональных данных
Отсутствует какой-либо закрытый перечень потенциальных последствий, поскольку они зависят от содержания данных, которые утекли, а также изобретательности мошенников и иных лиц, недобросовестно использующих данные, заметил партнер, глава практики интеллектуальной собственности CMS International B.V. Антон Банковский. При утечке банковских данных возможны мошеннические действия, направленные на вывод средств. Утечка паспортных данных действительно может привести к совершению юридических действий от имени и без ведома жертвы. Использование мошенниками утекших персональных данных для спам-звонков, фишинговых рассылок и попыток социальной инженерии с целью кражи финансов или данных – наиболее частые мошеннические действия с персональными данными, заметил начальник отдела информационной безопасности "СёрчИнформ" Алексей Дрозд. Чем больше у злоумышленников информации о человеке, тем проще организовать изощренную атаку с помощью социальной инженерии и тем достовернее мошенник может выдавать себя за представителя той или иной службы, засыпая пользователя подробностями (что, где и когда заказывал, на какие суммы, по каким адресам и т. п.). Например, киберпреступники могут заманивать на фишинговые сайты с предложениями о специальных кредитных условиях. Чтобы быть готовым к такой ситуации и не попасться на уловки мошенников, эксперт советует периодически проводить мониторинг уже случившихся сливов данных. Например, с помощью соответствующего сервиса в Gmail можно проверить простые, повторяющиеся и похищенные пароли. Также есть и другие бесплатные сайты. Для этой задачи подойдут даже обычные поисковики, но они представляются менее удобными, резюмировал он.
При этом по законодательству паспортные данные, фотография или копия паспорта не являются документами, удостоверяющие личность, напомнил юрист адвокатского бюро Тимура Маршани Антон Раздобедин. Чтобы взять кредит, необходимо иметь при себе оригинал паспорт и еще один документ, удостоверяющий личность. Законопослушные компании не смогут оформить кредит по копии паспорта и всегда требуют оригинал документа, уверен эксперт. Тем не менее на практике бывали случаи, когда злоумышленники оформляли кредиты, предоставляя чужие паспорта – обычно это небольшие займы в банках, требующих минимальный пакет документов.
Третьему лицу взять кредит на кого-то в данный момент не так просто, согласен Алексей Дрозд. У мошенника должен быть сообщник на стороне финансовой или микрофинансовой организации, которая может выдать деньги, считает эксперт. По его словам, опасность появится, если банки начнут выдавать кредит по скану паспорта или с помощью видеозвонка. При таких нововведениях возрастет количество дипфейков (реалистичная подмена личности пользователя на видео-, фото- и в аудиоматериалах, созданная с помощью нейросети). Эксперт считает, что в ближайшем будущем такой перспективы не предвидится, но разговоры на тему упрощения механизма дистанционной выдачи кредитов в банковской сфере периодически поднимаются.
Таким образом, оценить масштаб преступлений, для осуществления которых мошенники используют слитые персональные данные, крайне затруднительно. Однако становится очевидным, что субъект, чьи данные были раскрыты третьим лицам, может стать жертвой по разным категориям преступлений.
Как обезопасить свои данные от утечек
Все опрошенные эксперты сходятся во мнении, что у рядовых пользователей и клиентов любых компаний практически отсутствует возможность повлиять на то, чтобы избежать утечки своих персональных данных. Причина заключается в том, что пользователь не контролирует и не определяет порядок хранения и защиты персональных данных в той или иной организации, отметил юрист адвокатского бюро Asterisk Вячеслав Климов. Однако можно предпринять ряд мер, способных минимизировать шанс утечки.
МНЕНИЕ
Алексей Дрозд начальник отдела информационной безопасности "СёрчИнформ":
"Самое главное – стараться не оставлять в сервисах и на сайтах компаний большое количество данных о себе. Например, в приложениях для онлайн-заказов можно использовать "псевдоним" вместо фамилии – так вы не только спасете себя от телефонных мошенников, но и сможете предположить, из какого сервиса произошла утечка. Во-вторых, не указывайте лишний раз свою дату рождения, даже если за это вам полагаются какие-то бонусы. В-третьих, для проведения онлайн-платежей полезно завести виртуальную карту банка – переводите на нее сумму необходимой покупки, тогда основной счет в случае мошенничества не пострадает. Еще одна рекомендация, которая может ограничить пользователя от будущих звонков мошенников – заведите вторую сим-карту для того, чтобы "не светить" личный номер при онлайн-заказах".
Как считает управляющий RTM Group Евгений Царев, возможно постараться обезопасить себя, изучив профиль организации, с которой происходит сотрудничество. Также следует обратить внимание на политику обработки персональных данных, которая должна находиться в открытом доступе. Всегда полезно обращать внимание на то, какие персональных данные от пользователя требуют, заметил эксперт. Он также советует стараться предоставлять необходимый минимум данных о себе. Так, например, для просчета планировки квартиры будет излишним сообщать ее точный адрес и форму собственности, а также предоставлять данные о жильцах.
Удаление данных из различных сервисов объявлений может также помочь минимизировать их утечку, считает президент "Национальной Ассоциации Комплаенс", юрист Владимир Балакин. В добавление к другим советам эксперт считает, что следует избегать распространение своих персональных данных в открытых источниках – например, когда организаторы мероприятий для регистрации просят оставить свои данные в комментариях под постом в социальной сети.
МНЕНИЕ
Антон Банковский, партнер, глава практики интеллектуальной собственности CMS International B.V.:
"При предоставлении данных, особенно в Интернете, рекомендуется проверять, что данные предоставляются на официальном сайте компании, а не сайте-копии [их еще называют фишинг-сайты: от англ. phishing – преднамеренное искажение слова fishing – ловля на крючок, "выуживание" – ГАРАНТ.РУ]. Также следует более внимательно относиться к просьбам предоставить данные со стороны компаний, когда такие действия не были инициированы самим пользователям. Более того, рекомендуется контролировать использование файлов cookie при посещении веб-сайтов.
В случае прекращения получения услуг от определенных компаний рекомендуется направить отзыв согласия об обработке персональных данных, если оно ранее предоставлялось, а также попросить удалить сервис все персональные данные. Важно иметь в виду, что обработка данных допускается и без согласия, но попытка минимизации обработки со стороны компаний, услуги или товары которых уже не используются, позволит сократить объем данных, обрабатываемых компаниями".
Ранее ГАРАНТ.РУ писал,что профессионально сделанные фишинговые сайты едва отличимы от настоящих: такие сайты часто имитируют страницы платежных систем, собирая данные о пользователе (в первую очередь, данные банковской карты). В адресе фишингового сайта могут быть переставлены местами буквы в адресе, допущена ошибка в написании слова или домен расположен в зоне, отличной от расположения официального сайта. Например, вместо "cdek" – "cdeck", вместо "nalog.ru" – "nalog.org".
Также опасность утечки возможна при подключении к Wi-Fi в общественных местах: не следует заходить на сайты, где следует предоставлять чувствительные персональные данные, дополнил Владимир Балакин.
Все, что может сделать пользователь для предупреждения утечек – это обращаться только в проверенные организации и как можно меньше разглашать информацию о себе, считает Вячеслав Климов. Стоит помнить, что никто не гарантирует стопроцентной защиты, так как основные проблемы происходят на стороне сервисов, подчеркнул Алексей Дрозд. Эксперт уверен, что при утечке важно не оставлять этот факт без внимания Роскомнадзора и правоохранительных органов. Общественное давление заставляет организации пересматривать и улучшать меры защиты, а законодателей – ужесточать требования и ответственность.
Ответственность компаний за утечку данных их клиентов
С точки зрения административной ответственности КоАП не содержит прямых санкций именно за утечку персональных данных, обращает внимание Антон Банковский. Как правило, в текущий момент в случае утечек компании привлекаются к ответственности за "обработку персональных данных в случаях, не предусмотренных законом" (ч. 1 ст. 13.11 КоАП РФ). Эксперт считает, что такая квалификация представляется не до конца обоснованной с юридической точки зрения. Тем не менее ответственность, которую несут компании по данной норме, незначительная – от 60 тыс. до 100 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ). При этом санкция не учитывает количество потерпевших субъектов персональных данных.
Такая сумма не является существенной для крупных компаний, о чем неоднократно высказывались представители юридического сообщества и эксперты в сфере защиты персональных данных. Ответственность за нарушение законодательства о персональных данных обходится дешевле, чем приобретение, внедрение и обслуживание технических средств защиты, заметил руководитель юридического департамента группы компаний Gaskar Group Игорь Иофчу. Разница между штрафами и необходимыми затратами может достигать десятки раз. Поэтому чаще всего компании лишь в декларативных целях размещают на своих сайтах политику обработки персональных данных и больше ничего не делают, утверждает он.
Об этом также заявила компания "Роскомсвобода", отметив, что штраф в таком размере не принесет никакой сатисфакции пострадавшим пользователям и никак не заставит компанию лучше защищать приватность пользователей2. Напомним, 14 апреля 2022 года "Роскомсвобода" и "Сетевые свободы" подали в Замоскворецкий районный суд коллективный иск к ООО "Яндекс.Еда", вторым ответчиком по делу стала материнская компания ООО "ЯНДЕКС" – он был принят к производству, на 23 июня 2022 года назначена беседа. В иске требуется признать незаконными действия ответчиков, обязать их опубликовать в течение 30 дней с момента вступления в силу решения суда информацию о принятых мерах по обеспечению сохранности персональных данных, а также взыскать с ответчиков солидарно компенсацию морального вреда в размере 100 тыс. руб. в пользу каждого из истцов. Последнее требование было сделано в соответствии с ч. 2 ст. 24 Закона № 152-ФЗ. Иск инициировали 20 истцов, а "Роскомсвобода" утверждает, что всего к ним обратились 8 тыс. человек с информацией об утечке их персональных данных – они намерены присоединиться к иску.
При этом 21 апреля 2022 года компания "Яндекс.Еда" была оштрафована на 60 тыс. руб. в соответствии с заявлением Роскомнадзора. Значение производства по данному делу заключается в том, что судом признан установленным факт утечки персональных данных определенных граждан, а это создает условие для их обращения в суд с гражданскими исками о компенсации материального ущерба и морального вреда, возникшего в результате этого события, считает адвокат Сергей Агапов (Адвокатская палата Московской области, № 8142). Решение по делу об административном правонарушении будет иметь преюдициальную силу и освободит истцов от обязанности доказывания фактов, которые суд уже признал доказанными. Эксперт считает, что если при разбирательстве по коллективному иску гражданами будет доказано причинение им значительного ущерба от утечки персональных данных, то возможные суммы компенсаций в данной ситуации могут превысить размер назначенного штрафа в доход государства.
Субъекты персональных данных помимо компенсации морального вреда могут подать исковое заявление в суд с требованием возмещения убытков (если они могут быть доказаны) – на это обратил внимание старший юрист практики интеллектуальной собственности CMS International B.V. Владислав Елтовский. Как правило, доказывание убытков, если отсутствуют какие-либо конкретные имущественные последствия, представляется затруднительным. Что касается компенсации морального вреда, то текущая практика не присуждает каких-либо значительных сумм.
Несмотря на неправомерность внешнего взлома, ответственность также ложится и на оператора данных, который не обеспечил необходимые и достаточные меры против незаконного доступа к персональным данным, обратил внимание Антон Банковский. Является открытым вопрос, насколько, учитывая текущие темпы развития технологий, возможно построение полностью защищенной ИТ-инфраструктуры. Тем не менее каждый случай внешней утечки и достаточность принятых оператором мер необходимо оценивать индивидуально, исходя из содержания и "чувствительности" данных, принятых мер и характера недобросовестных действий третьих лиц, уверен эксперт.
Основная опасность утечек информации состоит в том, что она может пройти незаметно для пользователя, поскольку компании иногда замалчивают о подобных инцидентах, заметил Антон Раздобедин. В России не так сильно развиты меры наказания, как в США или в Европе. Например, федеральная комиссия по торговле США оштрафовала Facebook на $5 млрд за передачу личной информации в маркетинговых целях. С коллегой согласен Владимир Балакин: большинство таких инцидентов компании тщательно скрывают, только некоторые из них делают заявления о том, что произошла утечка и признают свою вину, как это произошло с компанией "Яндекс". Если же компания не признает вину и не берет на себя ответственность, этот факт еще необходимо будет доказать. Потенциальные высокие штрафы за утечки должны мотивировать компании серьезнее подходить к вопросам защиты персональных данных, уверен Владислав Елтовский. В текущей ситуации с точки зрения потенциальных рисков ответственности компании склонны принимать риск утечки при сравнении потенциальных убытков и затрат на лучшую защиту ИТ-инфраструктуры.
Введение дополнительного регулирования в сфере утечек персональных данных обсуждается уже довольно долго, заметил Владислав Елтовский. В частности, предлагается ввести обязанность операторов по уведомлению регулятора об утечке, что позволит избежать скрытых утечек, которые не стали общественным достоянием. Эта обязанность согласуется с международным подходом, в частности GDPR. 25 мая 2022 года депутат Госдумы Антон Горелкин рассказал3, что планируется законопроект, который будет обязывать операторов персональных данных уведомлять Роскомнадзор об утечке персональных данных в течение 24 часов.
Помимо этого некоторые эксперты считают разумным внедрить практику взыскания с компаний, по вине которых данные утекли, оборотный штраф – то есть штраф, размер которого зависит от выручки компаний. Примечательно, что 24 декабря 2021 года впервые был применен оборотный штраф в отношении ИТ-компании (Постановление мирового судьи судебного участка № 422 о назначении административного наказания от 24 июля 2021). Тогда компании Google LLC было назначено административное наказание за неоднократное нарушение порядка ограничения доступа к информации по требованию Роскомнадзора (ч. 5 ст. 13.41 КоАП РФ). Судья назначил наказание в виде административного штрафа в размере 1/20 совокупного дохода Google LLC и его аффилированных лиц, полученного от реализации всех товаров, работ и услуг за год (более 7 млрд руб.). О необходимости ввести оборотные штрафы за утечку персональных данных не раз говорило Минцифры России4, однако на данный момент никаких законодательных изменений по этому вопросу нет.
____________________________
1 Новость и текст обращения размещены на официальном сайте компании "Яндекс".
2 Новость и текст искового заявления размещены на официальном сайте общественной организации "Роскомсвобода".
3 Запись выступления Антона Горелкина размещена на Парламентском телевидении Госдумы "Дума ТВ".
4 С новостями по теме можно ознакомиться в официальном телеграм-канале Минцифры.