Утечка персональных данных – что грозит компании и к чему готовиться в суде?
Регулирование отношений, связанных с обработкой персональных данных, несмотря на актуальность проблематики, остается для многих представителей бизнеса (операторов персональных данных) не вполне понятным и транспарентным, что порождает трудности в обеспечении надлежащего уровня безопасности этой чувствительной информации. Для соблюдения многочисленных требований законодательства в данной сфере требуется симбиоз правовых и технических инструментов. Угрозы безопасности персональных данных растут, однако, ни законодательство, ни правоприменение не дают на них соразмерный ответ. Уязвимость технических устройств и программного обеспечения – проблема, которую невозможно решить исключительно правовыми методами.
Государство, ощущая беспомощность в борьбе с постоянными утечками персональных данных, расширяет полномочия регулятора, вводит новые составы правонарушений, ужесточает ответственность за их совершение и тянется за излюбленным уголовно – правовым инструментом.
![]() |
© vectomart / Фотобанк Фотодженика |
Сейчас за утечку персональных данных компании грозит фиксированный и относительно небольшой штраф (для юридических лиц от 60 тыс. до 100 тыс. руб. – ч. 1 ст. 13.11 КоАП). Более существенными оказываются репутационные риски, так как подобные инциденты могут привести к снижению доверия к компании. Но в ближайшем будущем материальная ответственность может быть значительна ужесточена – Правительство РФ готовит законопроект о введении оборотных штрафов за допущение утечки персональных данных.
Как правило, персональные данные клиентов или сотрудников компании становятся достоянием общественности в результате неправомерного доступа со стороны третьих лиц (хакерские атаки) или злоупотреблений со стороны недобросовестных работников. Мишенью для злоумышленников становятся базы данных учебных заведений, образовательных платформ, медицинских организаций, клиентские базы крупных магазинов и т. д.
Административная ответственность за нарушение требований о защите персональных данных
В случае утечки данных оператор обязан направить в Роскомнадзор уведомление о факте неправомерной или случайной передачи данных (ч. 3.1. ст. 21 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ). Результатом такого уведомления, скорее всего, станет проверка со стороны Роскомнадзора и, как следствие, возбуждение дела об административном правонарушении в отношении компании по ч. 1 ст. 13.11 КоАП РФ.
Данная норма предусматривает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку, несовместимую с целями сбора персональных данных.
Анализ судебной практики показывает крайне низкий стандарт доказывания по данным делам. Формула, заложенная в основу большинства судебных решений, заключается в следующем: сам факт утечки персональных данных является обработкой персональных данных в не предусмотренных законом случаях, что образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.
Компания должна нести ответственность за недостаточные меры по защите персональных данных, на практике же она несет ответственность за сам факт их утечки.
Такой подход приводит к объективному вменению, то есть привлечению юридического лица к ответственности без установления вины.
Юридическое лицо признается виновным в совершении административного правонарушения, если у него имелась возможность для соблюдения правил и норм, но им не были приняты все зависящие от него меры по их соблюдению (ч. 2 ст. 2.1 КоАП РФ).
Таким образом, Роскомнадзор обязан доказать, что у юридического лица имелась возможность обеспечить конфиденциальность данных и не допустить их утечку. Суд должен установить, какие меры защиты персональных данных организация обязана была предпринять, но не сделала этого. Однако на практике суды удовлетворяются формальным подходом и приходят к немотивированному выводу о том, что у компании имелась «реальная возможность обеспечить выполнение требований закона, то есть не допустить утечку данных» (Решение Замоскворецкого районного суда г. Москвы от 16 июня 2023 г. по делу № 12-2028/22).
Справедливости ради стоит отметить, что и привлекаемые лица не торопятся сообщать о принятых мерах, и о том, принимались ли они вообще. Довольно мягкое наказание зачастую приводит к пассивной позиции привлекаемого лица, которое признает вину и просит лишь о смягчении ответственности.
Требования по защите персональных данных закреплены в Законе № 152-ФЗ и ряде подзаконных нормативно-правовых актов.
Согласно требованиям федерального закона, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Закона № 152-ФЗ).
При определении состава мер по обеспечению безопасности персональных данных компания должна ориентироваться на ст. 19 Федерального закона № 152-ФЗ, Постановление Правительства РФ от 1 ноября 2012 г. № 1119, Приказ ФСТЭК России от 18 февраля 2013 г. № 21, Приказ ФСБ России от 10 июля 2014 г. № 378 (для операторов, использующих средства криптографической защиты). Безопасность критической информационной инфраструктуры регулируется отдельными актами.
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 определяет типы угроз безопасности персональных данных и уровни их защищенности. Типы угроз определяет сам оператор. Исходя из типов угроз, а также категории персональных данных и количества субъектов персональных данных, компания должна поддерживать определенный уровень защищенности – от самого минимального 4-го до самого строгого 1-го. Приложение к Приказу ФСТЭК России от 18 февраля 2013 г. № 21 устанавливает состав и содержание мер, необходимых для обеспечения каждого из уровней защищенности персональных данных.
Невыполнение предусмотренных данными актами мер должно быть необходимым условием для привлечения компании к ответственности в случае утечки персональных данных. Имеющаяся практика ограничивается констатацией вывода о том, что оператор «не предпринял всех зависящих от него мер» и «не обеспечил конфиденциальность персональных данных» (Постановление мирового судьи судебного участка № 374 Таганского района г. Москвы от 17 марта 2023 года по делу № 05-0240/374/2023).
В ряде случаев компании, привлекаемые к административной ответственности, указывали, что вина организации отсутствует, так как причиной утечки персональных данных стали неправомерные действия третьих лиц, которые получили доступ к информации незаконно с использованием вредоносных компьютерных программ.
Данный аргумент не находит отклика у судей, в многочисленных судебных решениях можно найти повторяющуюся формулировку: «То обстоятельство, что обработка (распространение) персональных данных связана с несанкционированным доступом к информации, не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ» (Постановление мирового судьи судебного участка № 387 Басманного района г. Москвы от 10 мая 2023 года по делу № 5-463/2023, Постановление мирового судьи судебного участка № 374 Таганского района г. Москвы от 1 марта 2023 года по делу № 05-0195/374/2023).
В этом плане показательно дело о привлечении к ответственности медицинской лаборатории «Гемотест». Мировой судья, рассматривавший дело в первой инстанции, указал, что факт несанкционированного доступа к персональным данным, который подтвержден материалами служебной проверки и отчетом IT-компании, не влияет на квалификацию действий самой лаборатории. При этом суд указывает, что организация «самостоятельно и намеренно» предоставила неправомерный доступ к информационной системе персональных данных, что, однако, из самого судебного решения не следует (Постановление мирового судьи судебного участка № 281 района Вешняки г. Москвы от 8 июля 2022 года по делу № 5-564/2022). Суд апелляционной инстанции оставил решение без изменения, не ответив на доводы защиты об отсутствии вины со стороны юридического лица и не указании ни Роскомнадзором, ни судом конкретных действий, которые общество должно было совершить для предотвращения правонарушения (Решение Перовского районного суда г. Москвы от 8 сентября 2022 года по делу № 12-2741/2022). Аргумент компании о подаче в правоохранительные органы заявления в отношении неустановленного лица, получившего неправомерный доступ к персональным данным, также не повлиял на выводы суда.
Административная ответственность за нарушение требований о защите информации
Интересно сопоставление административного состава, предусмотренного ч. 1 ст. 13.11 КоАП РФ, с составом ч. 6 ст. 13.12 КоАП РФ. Последний предусматривает ответственность за нарушение требований законодательства о защите информации (в том числе персональных данных).
В отличие от практики по ч. 1 ст. 13.11 КоАП РФ практика привлечения к ответственности по ч. 6 ст. 13.12 КоАП РФ крайне немногочисленна. Однако изучение доступных судебных решений позволяет сделать вывод об их существенно большей обоснованности и мотивированности, нежели решений по ч. 1 ст. 13.11 КоАП РФ.
В судебном решении указываются допущенные компанией нарушения со ссылкой на конкретные положения Закона № 153-ФЗ и подзаконных нормативно-правовых актов, которые закрепляют ту или иную обязанность по защите персональных данных, не выполненную организацией (например, Решение Магаданского областного суда от 28 июля 2017 г. по делу № 12-176/2017). Аналогичный подход должен использоваться и в делах по ст. 13.11 КоАП РФ. Установление требований, не выполненных юридическим лицом, должно предшествовать выводу о его виновности в утечке персональных данных.
Уголовная ответственность за утечку и кражу персональных данных
Физические лица, умышленно распространившие персональные данные гражданина без его согласия, подлежат уголовной ответственности за нарушение неприкосновенности частной жизни (ст. 137 Уголовного кодекса). Предметом данного преступления является личная и семейная тайна, поэтому ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц (например, гражданин может не скрывать дату, место своего рождения, образование и т. д.).
Так как в большинстве случаев персональные данные хранятся в информационных системах, помимо ст. 137 УК РФ, действия лица, «укравшего» персональные данные, подлежат квалификации по ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации. При использовании в целях получения персональных данных вредоносных компьютерных программ подлежит вменению также ст. 273 УК РФ.
Сотрудник организации, нарушивший правила эксплуатации средств хранения, обработки или передачи персональных данных либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правила доступа к информационно – телекоммуникационным сетям, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных, может нести ответственность по ст. 274 УК РФ. Нарушение правил эксплуатации может выражаться, например, в отказе от использования антивирусного программного обеспечения, обработке конфиденциальной информации вне рабочего места и т. д. Данное преступление может быть совершенно как умышленно, так и по неосторожности.
В случае привлечения к ст. 274 УК РФ необходимо установить, какие именно правила эксплуатации, закрепленные в законе, подзаконных или локальных нормативных актах, были нарушены. Кроме того, субъектом преступления может быть только лицо, до сведения которого была доведена обязанность соблюдения этих правил – в трудовом договоре, отдельным актом об ознакомлении и т. д. (п. 12 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно – телекоммуникационных сетей, включая сеть «Интернет»).
На практике ст. 274 УК РФ применяется крайне редко, так как состав требует причинение крупного ущерба (1 млн руб.). В связи с этим, правоохранительные органы квалифицируют действия сотрудников, злоупотребивших своим доступом к охраняемой законом информации, по ст. 272 УК РФ (неправомерный доступ к охраняемой законом информации). Такой подход отвечает определению «неправомерного доступа», которое сформулировано в п. 5 Постановления Пленума Верховного суда РФ от 15 декабря 2022 г. № 37.
Прямые и косвенные потери от утечек персональных данных. Мнения экспертов
– Скажите, пожалуйста, как вы сами лично понимаете что такое утечка персональных данных?
Сергей Полунин (С. П.): Утечка персональных данных – это ситуация, когда данные, которые вы оставили на каком-либо веб-ресурсе и которые можно классифицировать как персональные, оказываются в общем доступе. Ситуация крайне неприятная, но, увы, последнее время совершенно рядовая. Причин здесь много – от недобросовестности операторов персональных данных до несовершенства законодательства в этой области. Но самое главное, что мы, как пользователи веб-ресурсов, не можем быть до конца уверены, как наши персональные данные будут храниться и обрабатываться, а значит должны хорошо подумать прежде чем оставить о себе какую-либо информацию в сети.
Евгений Царев (Е. Ц.): Принято считать, что утечка ПДн – это обязательно массовый «слив» персданных в Интернет, но на самом деле это не всегда так. Утечка персональных данных – инцидент, в результате которого произошло неправомерное раскрытие конфиденциальной информации. Такие происшествия могут касаться данных даже одного человека. Недавний пример – случайное раскрытие ПДн одного клиента «Тинькофф Банк», за что банк получил штраф в 70 000 рублей*. Другое дело, что самые громкие случаи касаются именно массовых утечек данных пользователей Интернета.
* Постановление Судебного участка № 348 Савёловского судебного района г. Москвы от 27.06.2023 по делу № 05-0612.348.2023
— Что по вашим данным является наиболее частыми причинами утечек ПДн?
С. П.: Причин довольно много, но владельцы взломанных ресурсов не спешат делиться с сообществом информацией о том, как именно это произошло. Но как правило основной проблемой являются уязвимости в прикладном программном обеспечении, через которые становится возможным доступ к данным аутентификации. Плюс к этому не редки ситуации, когда должным образом не защищён удаленный доступ на сами серверы. И третий сценарий – действия инсайдеров. Очень часто разработчики программного обеспечения не тестируют его должным образом и не применяют практики безопасной разработки, а это в свою очередь также делает утечки возможными.
Е. Ц.: Причины утечек можно поделить на два вида: случайные ошибки пользователей и намеренные действия злоумышленников. Случайные могут произойти из-за человеческого фактора: к примеру, сотрудник банка может перепутать адреса электронной почты клиентов и направить данные не тому. Или по ошибке предоставить общий доступ к документу с персданными. Намеренные утечки могут быть реализованы людьми, которые решили нажиться на персональных данных или «насолить» кому-то. Специально разгласить конфиденциальную информацию могут как «свои» люди (работники, подрядчики, клиенты, партнеры и т.д.), так и «левые» злоумышленники (хакеры и мошенники). В любом случае, первопричиной утечки могут быть недостаточная защищенность данных, отсутствие регулярного пересмотра системы защиты, избыточное хранение ПДн, неустранение уязвимостей, неорганизованность порядка обработки ПДн (в результате чего ПДн могут попасть не тем людям).
— Какие прямые и косвенные потери встречаются в результате утечки данных?
С. П.: Под косвенными потерями, как правило, понимают ситуацию, когда утечка персональных данных дает возможность получить доступ к ресурсам, которые напрямую утечкой затронуты не были. Например, можно представить ситуацию, когда в результате утечки в открытом доступе оказались, логины и хэши паролей пользователей. Сами по себе эти данные кажутся не критичными, однако, по хэшам паролей можно попробовать восстановить сами пароли и если пароль не очень сложный, то это может получиться. А затем, если пользователь использовал ту же связку логина и пароля на другом ресурсе, можно получить доступ и туда. Конечно, все специалисты по ИБ в один голос рекомендуют использовать разные пароли на разных сайтах, а также подключать двухфакторную аутентификацию, где это возможно. Но рекомендациям следуют не всегда и такие косвенные потери увы совсем не редкость.
Е. Ц.: Персональные данные могут быть самыми разными, от ФИО и платежных данных до файлов cookies и информации об устройстве, в зависимости от самого набора данных. Поэтому и последствия могут быть разными. Сами субъекты, данные которых утекли, рискуют потерять деньги со счета, стать должниками по кредиту, а также подвергнуться назойливым звонкам и сообщениям, или даже физическому преследованию. Поэтому утечка персданных имеет серьезные последствия для всех: и для тех, чьи данные утекли, и для тех, кто это допустил.
К прямым потерям компании, у которой утекли данные, можно отнести:
- Компенсации пострадавшим субъектам;
- Штрафы от регулирующих органов (РКН, суд);
- Затраты на проведение расследования инцидента и его последствий, выявление виновных лиц;
- Восстановление правомерного порядка обработки ПДн, установление нового порядка, закупка нового оборудования;
- Невозможность исполнения обязательств и санкции за это: расторжение договоров и контрактов с субъектами, кого «задела» утечка, выплата договорных неустоек и штрафов;
- Удар по репутации;
- Потеря потенциальных клиентов и контрагентов;
- Падение конкурентоспособности;
- Снижение стоимости активов (акций и других ценных бумаг, нематериальных активов компании);
- Повышение затраты на пиар и рекламу для восстановления позиций на рынке;
- Дополнительное внимание от регулирующих органов.
— Есть ли у вас пример из практики об ущербе в результате утечки даных? Или на примере любого другого известного инцидента?
С. П.: На самом деле о кейсах утечки персональных данных пишут достаточно часто, не проходит недели-двух, как в СМИ появляется заметка о том, что в публичном доступе оказались такие-то данные. Совсем недавно была утечки из библиотеки ЛитРес. А до этого писали об утечках из книжного магазина «Буквоед», строительного магазин «Леруа Мерлен», портала кулинарных рецептов «Едим Дома» и магазина одежды «Твое». В этих утечках как правило фигурируют ФИО пользователей, адрес электронной почты, логин и хэш-пароля, т.е. собственно данные из базы данных, с которой работала система аутентификации на этих ресурсах.
Е. Ц.: В практике нашей компании было много случаев работы с утечками на разных этапах её развития. Организациям требуется помощь в решении конкретных последствий инцидентов. Были и такие случаи, когда мы сопровождали весь цикл ликвидации инцидента, начиная с его выявления. По понятным причинам, названия компаний и другие конкретные детали мы не может раскрыть, но готовы предоставить описание кейса (ниже).
После обнаружения утечки в открытых источниках и уведомления регулятора компания-жертва обратилась к нам за помощью в комплексном расследовании инцидента и «работе над ошибками». Утечка ПДн вызвала серьёзный резонанс в СМИ, за чем ожидаемо последовало особо внимательное изучение инцидента регулятором. Ещё до завершения расследования организация понесла значительные репутационные и материальные издержки, компенсация которых потребовала больших усилий.
Причиной утечки оказалась целевая хакерская атака с продолжительным периодом закрепления в системе и сбора дополнительных сведений. Всё это время преступникам удавалось остаться незамеченными ввиду отсутствия важных мер мониторинга и защиты. В ходе расследования были выявлены как пробелы в организации процесса защиты, так и отсутствие значимых технических средств, которые могли бы помешать злоумышленникам. Всё это повлекло за собой трудоёмкий процесс по корректировке внутренней документации, переработке внутренних механизмов и самой организации ИБ. Конечно, самую значительную часть бюджета составила закупка новых и обновление старых СЗИ.
Даже после разрешения ситуации сопутствующие убытки будут сопровождать компанию годы. Ущерб клиентам, данные которых навсегда оказались в открытом доступе, и репутационные потери нельзя исправить ни улучшением системы защиты, ни уплатой штрафов. Резонансный инцидент оставит свой отпечаток на всей будущей информационной политике компании. К нему будут возвращаться при оценке рисков и финансовом планировании, а выбор мер защиты во многом будет определяться стратегией злоумышленников, использованной при осуществлении атаки.
Утечка персональных данных: как защититься
Легкомысленное отношение к личным данным может ввергнуть в долги, столкнуть с полицией и уничтожить репутацию. Даже если вы ведете жизнь праведника и в жизни мухи не обидели. В этой статье вместе с экспертом Trend Micro разберемся, как преступники могут создать проблемы любому человеку, а также как предотвратить утечку персональных данных и защититься от шантажа.
План статьи
Что является главной причиной утечки персональных данных
Компьютеризация избавила нас от стояния в очередях многочисленных учреждений и ведомств. Электронные банки и цифровые услуги позволяют сделать массу вещей не выходя из дома. Наряду с удобством это создает новые риски. Деньги, месть и троллинг являются главными причинами утечки персональных данных.
Финансовая выгода
Получив доступ к вашим данным, преступники могут использовать их, чтобы взять кредит, зарегистрировать компанию или даже создать фальшивую личность, заменив фотографию в скане вашего паспорта на свою. Вот несколько реальных историй:
- В октябре 2018 года мошенники сумели переоформить на себя квартиру в центре Москвы, заключив договор дарения в простой письменной форме. Документы подали в электронном виде и удостоверили электронными подписями как со стороны покупателя, так и со стороны продавца.
- В 2018-2019 году мошенники, воспользовавшись утекшими из неназванного банка сканами паспортов мужа и жены, оформили на них несколько десятков юрлиц, которые затем использовались для реализации различных финансовых схем. Мошенникам удалось официально зарегистрировать сертификат ЭЦП по скану паспорта, а затем совершать различные действия от имени его владельца. Кредитная история супругов оказалась испорченной, и они больше года через суд пытались восстановить справедливость.
- В мае 2019 года уборщица предприятия ЖКХ города Воскресенска неожиданно для себя узнала, что должна банку 1 820 368 037 рублей, а также сбор за исполнительное производство в размере 127 428 202 рублей. Справедливости ради следует отметить, что в этом случае женщина сама согласилась стать директором компании за 2 тысячи рублей, однако она наверняка не предполагала, что от ее имени и под ее поручительство компания возьмет и не вернет банку кредит в размере 32 млн долларов.
Даже адрес электронной почты и старый пароль могут стать инструментом шантажистов. Используя сведения прежних утечек, мошенники рассылают письма, в которых сообщают, что записали жертву во время посещения порносайта, и если она не заплатит выкуп, запись будет опубликована в общем доступе, а ссылка на нее отправлена всем знакомым. В качестве подтверждения серьезности намерения в письме содержится старый пароль и предупреждение, что скрыться жертве не удастся, потому что за ней следят. Такой шантаж стал настолько популярным, что для него даже придумали отдельное название – sextortion.
Месть и троллинг
Чуть реже случается, что мотив преступников – не деньги, а что-то другое, например, месть или желание развлечься. Как правило, такие поступки совершают подростки. Схема их действий до смешного простая, но эффективная – используя все известные данные о жертве, создать ей максимум неприятностей:
- Зная домашний адрес и телефон, заказать еду из службы доставки с оплатой курьеру.
- Запустить SMS-бомбер – с помощью специальной программы отправлять на номер жертвы огромное количество сообщений от разных сервисов и компаний, предлагающих зарегистрироваться через код, отправленный по SMS. Телефоном при этом пользоваться практически невозможно, потому что на него непрерывным потоком приходят сообщения.
- Используя сервис подмены номера, позвонить с номера жертвы в экстренные службы и вызвать пожарных или скорую помощь. с требованием выкупа, подписав его данными жертвы.
- Позвонить в полицию и сообщить, что по адресу жертвы хранится оружие или наркотики.
Все эти действия могут не просто насолить, а нанести серьезный ущерб репутации, если, скажем, в рабочее время в офис нагрянет полиция.
Как не допустить утечек
К сожалению, мы не можем контролировать всю личную информацию. Особенно это касается баз данных пенсионного фонда, медицинского страхования, государственных ведомств, сотовых операторов. Несмотря на всю строгость отечественного законодательства в части персональных сведений, на теневых киберфорумах встречаются предложения «пробива» людей по актуальным базам. Однако защищать то, что мы можем контролировать, не просто можно, но совершенно необходимо. Приведем некоторые рекомендации о том, как защитить персональные данные от утечек и взломов.
Используйте двухфакторную аутентификацию
Двухфакторная аутентификация предполагает, что при попытке входа с незнакомого устройства у пользователя будет запрошен дополнительный код подтверждения. Код может быть направлен на телефон в виде СМС, выдаваться специальным приложением типа Яндекс.Ключ или Google Authenticator. Если не ввести код, войти в учетную запись не получится, даже зная пароль от нее.
Включите эту защиту во всех социальных сетях, на Госуслугах и сервисах электронной почты. Это предотвратит утечку персональных данных и защитит от несанкционированного использования ваших цифровых профилей.
Используйте отдельную почту и телефон
Отправлять платежи по номеру телефона через систему быстрых платежей – это удобно. Однако именно это и создает проблемы. Опубликованный в интернете номер и привязанный к нему Сбербанк Онлайн позволяют узнать имя и первую букву фамилии получателя. Раньше при переводе отображалось не только имя, но и отчество. Фактически, система быстрых платежей – это отличный способ деанонимизации владельца номера телефона.
Чтобы не допустить такой ситуации, заведите отдельный номер телефона для регистраций на сервисах и привязки онлайн-банков. Вставьте эту сим-карту в обычный кнопочный телефон. Для получения СМС этого будет вполне достаточно.
Используйте отдельную электронную почту для регистрации в соцсетях и на различных сервисах, чтобы в случае, если сайт будет взломан, ваш адрес не попал в базу утечек.
Закройте профили в соцсетях
Социальные сети – отличный способ для получения информации о людях. Чтобы затруднить всем любопытствующим доступ к вашим личным данным, сделайте следующее:
- Закройте профили во всех соцсетях, чтобы никто кроме друзей не видел ваших данных и ваших публикаций.
- Не принимайте заявки в друзья от людей, с которыми вы не знакомы. Даже если их профили кажутся совершенно безобидными или милыми. Даже если вы добрый человек и не хотите обижать людей отказом.
- Почистите список друзей от различных коммерческих профилей и людей, которых вы не знаете.
Установите строгие настройки конфиденциальности
Геометки на ваших фотографиях в соцсетях – не только способ похвастаться своей жизнью перед друзьями и подписчиками, но и еще один источник утечек ваших данных. Ограничьте доступ к сведениям о местоположении, списку друзей, сообществ и подписок.
Утечка персональных данных: что делать
Сама по себе утечка персональных данных – явление неприятное, однако если речь идет о массовых инцидентах, ничего страшного ждать не следует. Совсем другое дело, если вы становитесь объектом внимания киберпреступников, которые целенаправленно создают вам проблемы, шантажируют, вымогают деньги и портят жизнь. Здесь уже не обойтись без срочных мер, которые помогут смягчить последствия инцидента:
- Смените номер телефона.
- Возьмите еще один номер и привяжите к нему все онлайн-сервисы.
- Закройте профили в соцсетях.
- Включите двухфакторную аутентификацию.
- Смените пароли в онлайн-банках, на Госуслугах и других важных сервисах.
- Проверьте все свои устройства антивирусом.
Утечка персональных данных способна нанести серьезный ущерб репутации. Чтобы ее восстановить, может потребоваться значительное количество времени и усилий, причем результат далеко не всегда вас удовлетворит. Сделать это более эффективно можно, если обратиться к услугам квалифицированных специалистов по репутации, которые быстро разберутся в произошедшем и дадут грамотные рекомендации.
Почему случаются утечки данных и как их предупредить
Считаю, что построение системы защиты информации в компании любого масштаба должно быть направлено не только на реализацию требований регуляторов, но и на обеспечение оптимального уровня защищенности информации и информационных систем.
По данным Роскомнадзора в России за последние два года почти в 40 раз выросло количество утечек персональных данных пользователей. В 2021 году было 4 инцидента, в 2022-м — свыше 140, а за первые семь месяцев 2023-го — уже свыше 150.
Число кибератак неуклонно растет, и чаще всего персональные данные россиян утекают из баз данных именно крупных операторов: интернет-магазинов, различных сервисов доставки, медицинских клиник, сетей аптек. Мелких операторов трогают реже, потому что интерес к их данным ниже.
4 основных фактора утечек
Эксперты компании Б-152 выделили 4 основных фактора утечки ПДн:
- Угроза извне. Даже имея систему защиты, невозможно на 100% обезопасить данные от утечки. Никогда не угадаешь, какими навыками обладает хакер, поэтому невозможно полностью защититься от внешних угроз в наше время.
- Внутренние инциденты, когда в корыстных целях работники компании воруют БД и продают ее в даркнете.
- Халатное отношение компании к данным, когда не было предпринято достаточно мер по защите ПДн, вследствие чего они стали общедоступными.
- Недобросовестные конкуренты, которые воруют базы данных для подрыва репутации и для использования в продаже своих товаров и услуг.
Не на все факторы оператор ПДн может повлиять, но для внутренних факторов, таких как недобросовестные работники, существуют рекомендации по отслеживанию утечек.
Легко ли отследить, кто из сотрудников виноват в утечке?
Все зависит от ситуации и наличия в компании тех или иных средств защиты, выстроенных на организационном уровне процессов защиты информации.
Если у вас есть средства защиты, в том числе системы контроля утечек информации (DLP), то вероятность предотвратить утечку выше и вычислить виновников гораздо проще. Сложнее, если используются только механизмы защиты операционных систем и ПО. Тогда необходимо проводить анализ журналов событий безопасности (логов) как на уровне рабочих станций и серверов, так и на уровне сетевого оборудования.
Способы воровства персональных данных разные: от банального копирования информации на флешку до сложной атаки. Залог успеха – отсутствие контроля:
- над USB-портами (копирование защищаемой информации на флешки)
- над учетными записями (использование учетных записей бывшими работниками)
- над правами доступа (избыточные права доступа к защищаемой информации, к инструментам администрирования)
- над мобильными устройствами (сотрудники фотографируют различные документы (например кадровые), содержащие персональные данные и публикуют их)
Также может произойти такое, что злоумышленник, нацеленный на определенную организацию, может специально попробовать устроиться на работу туда с целью получения доступа к корпоративным данным. Но такое случается довольно редко, хотя и не отменяет необходимости обязательной проверки всех новых сотрудников службой безопасности для исключения таких неприятных ситуаций.
Однако самый частый сценарий, как показывает судебная практика, это желание действующих сотрудников компании дополнительно подзаработать продажей данных компании и ее клиентов.
На различных нелегальных форумах, чаще всего в даркнете, появляется объявление о поиске сотрудников определенной компании с предложением о сотрудничестве, обычно это продажа личных данных клиентов компании, услуги пробива (особенно актуально для госструктур и банков). Поэтому так важно заниматься мониторингом и анализом подобных угроз, регулярно проверять форумы с подобной тематикой.
Рекомендации по работе с данными для операторов
В связи с участившимися случаями неправомерного распространения персональных данных, Роскомнадзор разработал восемь рекомендаций для операторов персональных данных:
- Минимизируйте перечень персональных данных, которые собираете и обрабатываете
- Обеспечьте раздельное хранение различных категорий ПДн
- Храните различные идентификаторы в разных базах. Используйте для связи этих баз синтетические идентификаторы
- Откажитесь от практики накопления ПДн «на всякий случай», от формирования профилей клиента, если это не жизненно нужно для организации
- Используйте технические и программные средства для обеспечения необходимого уровня безопасности данных
- Своевременно информируйте Роскомнадзор о признаках и (или) наступивших инцидентах
- Принимайте дополнительные меры физического контроля доступа к данным
- Назначьте ответственного за защиту ПДн
Эти восемь заповедей составлены по 152 закону, который операторы обязаны соблюдать. Но лишь время покажет, как будут соблюдаться эти рекомендации на деле, так как их выполнение определенно требует дополнительных финансовых затрат.
От себя могу добавить еще несколько рекомендаций:
- Обучайте сотрудников основам защиты персональных данных
- На периодической основе проводите контроль знаний и осведомляйте их о новых схемах мошенничества в Интернете, в том числе о фишинге
- Организуйте ролевую модель управления доступа к данным
- Обеспечьте контроль за политиками безопасности, в том числе парольными
Это базовые меры, которые можно реализовать уже сейчас без каких-либо вложений.
С уважением, эксперт компании Б-152. Мы технологично и с высоким сервисом решаем задачи бизнеса по privacy и информационной безопасности.