Access web Add modules industryArtboard 58 Analyse App control Created with Sketch. Adv_Artboard 21 industryArtboard 61 Oficer Adv_Artboard 22 Ресурс 31 Business process icon Created with Sketch. Business Shape Created with Sketch. Artboard 13 Central policy Certificate Chain Adv_Artboard 27 Combined Shape Copy 3 Created with Sketch. Artboard 50 Artboard 48 Artboard 51 Artboard 47 Artboard 46 Artboard 49 Shape Created with Sketch. Cloud B7B55A6B-30C0-4E73-9637-1794E793654E Created with sketchtool. B3F1D6A1-80F6-48B0-9EBD-786404E82049 Created with sketchtool. Shape Created with Sketch. Соц.Ответств._Artboard 29 Cup Artboard 12 Delete Develop Mobile control Detect data Corporate devices icon Created with Sketch. Use Development Монтажная область 52 Effective Ресурс 29 icon Created with Sketch. Created with Sketch. industryArtboard 56 Соц.Ответств._Artboard 28 785FDCCF-4DD0-4D89-92DF-A0C4AC73109E Created with sketchtool. 5F4F180E-E1AA-4429-9F5C-BB866CAD85FA Created with sketchtool. Ресурс 26 Fill 1 Created with Sketch. Flash Adv_Artboard 23 Ресурс 28 industryArtboard 54 Ресурс 35 Adv_Artboard 19 Hidden app Adv_Artboard 24 Page 1 Created with Sketch. CityArtboard 17 1451A714-6689-46A8-8D48-D7A246F52BE2 Created with sketchtool. industryArtboard 59 Like Group 9 Created with Sketch. Locking Mail Main modules Adv_Artboard 20 Created with Sketch. Messenger Microscope CityArtboard 18 industryArtboard 55 Effective PC Ресурс 30 Report PC IT Ресурс 34 industryArtboard 60 Shape Created with Sketch. 4658DE58-0BFB-4713-AC6C-19C0753FDB86 Created with sketchtool. Photocamera Printer automatic scan icon Created with Sketch. Report icon Created with Sketch. Safe web_1 Safe Safety CityArtboard 14 industryArtboard 57 Scale Соц.Ответств._Artboard 30 Lingvo search Technology search Shape Created with Sketch. Secure Computer Flash Messenger Notebook Printer Smartphone Web Server 56B89AD1-943C-4CF7-8FC3-C3DD35C6EE7C Created with sketchtool. Skills industryArtboard 53 Smartphone Facebook Copy_White Created with Sketch. LinkedIN Copy_White Created with Sketch. Telegram_White Created with Sketch. Twitter_White Created with Sketch. VK_White Created with Sketch. Socials icon Created with Sketch. Structure web Created with Sketch. Created with Sketch. Fill 1 Created with Sketch. Adv_Artboard 25 Update_1 Created with Sketch. Created with Sketch. Artboard 11 Fill 1 Created with Sketch. Web 1 2_1 3 4 Created with Sketch. Safe
21 июля 2017

Справка Аналитического центра InfoWatch об утечках персональных данных, которые граждане добровольно предоставляют организациям

Аналитический центр ГК InfoWatch представляет обзор утечек пользовательских данных, которые граждане добровольно передают коммерческим организациям для получения услуг.

По данным Аналитического центра InfoWatch в 2016 году 93% утечек информации в мире были связаны с компрометацией персональных данных (ПДн) и платежной информации. Всего за 2016 год в мире было скомпрометировано более трех миллиардов записей ПДн — в три раза больше, чем годом ранее.

Информацию о гражданах хранит множество организаций. При этом во многих случаях источником информации выступает сам субъект данных — человек, многократно оставляющий информацию о себе на различных онлайн-сервисах и площадках или участвующий, например, в промо-кампаниях. По мнению международных экспертов в области информационной безопасности (ИБ), пользователи давно потеряли контроль над своими данными.

Вместе с тем, одним из главных факторов, которым обусловлена проблема утечек ПДн, по-прежнему остается чрезвычайно низкий уровень гражданской культуры обращения с персональной информацией. Пользователь предоставляет данные в распоряжение операторов ПДн, как правило, в полной уверенности, что они не окажутся в распоряжении третьих лиц. С одной стороны, конфиденциальность персональных данных  гарантирована государством в виде законодательных требований к операторам ПДн и контроля их соблюдения, с другой — существует и гражданская ответственность самих операторов за нарушение конфиденциальности предоставляемых им данных. Однако даже такая «двойная» система ответственности часто дает сбой, и на практике наши данные все равно рано или поздно становятся доступными любому в виде очередного выброшенного архива.

Утечка

В июле 2017 года одно из ведущих мировых агентств финансовой информации Dow Jones & Company,  которому также принадлежит издание The Wall Street Journal, из-за ошибки в настройках базы данных облачного хранилища опубликовало в открытом доступе данные нескольких миллионов своих клиентов, включая имена, внутренние идентификаторы, адреса, платежные реквизиты и данные банковских карт.

По словам представителей Dow Jones, в хранилище содержится информация о 2,2 миллионах клиентов, однако независимые эксперты считают, что число пострадавших может достигать четырех миллионов.

Позиция пострадавшей стороны

В Dow Jones подтвердили утечку данных. Однако, по мнению аналитиков Dow Jones, попавшие в открытый доступ данные не являются конфиденциальными, поскольку не содержат пароли в открытом виде. Поэтому компания не будет уведомлять своих клиентов об утечке.

История вопроса

Весной и летом 2017 года случаи потерь персональных данных организациями, предоставляющими сервисные услуги населению, фиксируются ежемесячно, они происходят в юрисдикции разных стран, на разных континентах, независимо от политического строя или экономического уклада. Фактически сегодня, передавая персональные данные третьим лицам, граждане должны быть готовы к тому, что эту информацию можно считать утерянной. Вопрос уже не в том, будут ли эти данные скомпрометированы или нет, а в том, когда именно это произойдет.

  1. В марте 2017 года в Республике Бурятия на свалке в лесу были найдены тысячи купонов одной из торговых сетей региона с заполненными персональными данными клиентов: именами, телефонами и адресами. Пострадавшие принимали участие в лотерее, организованной ритейлером.
  2. В апреле 2017 года в Нидерландах были скомпрометированы персональные данные около полумиллиона участников трех благотворительных лотерей. Их имена, места жительства, номера телефонов и адреса электронной почты появились в открытом доступе в сети Интернет. В 900 случаев доступными стали информация о банковских счетах участников лотерей и датах их рождения. 
  3. В мае 2017 года данные пользователей популярного среди студентов в Австралии сервиса для организации общественных мероприятий Qnec.
  4. В июне 2017 года в интернете были опубликованы персональные данные 14 тысяч посетителей и служащих казино Cowboys Casino в городе Калгари, Канада. В результате умышленного взлома в руках злоумышленников оказались имена, адреса, номера удостоверений личности, банковские реквизиты, размеры выигрышей и другая ценная информация. Эксперты по информационной безопасности предупредили пострадавших, что скомпрометированные данные могут быть использованы для так называемой «кражи личности».

Позиция пострадавших сторон

  1. Позиция руководства торговой сети, выбросившей на свалку купоны с персональными данными клиентов, неизвестна. По словам представителей республиканского отделения Роскомнадзора, в случае обращения граждан будет возбуждено дело об административном правонарушении по статье 13.11 КоАП (в старой редакции) – «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Согласно санкциям статьи, нарушителю грозит предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
  2. Организаторы голландских лотерей обратились к пострадавшим игрокам через объявления в местной прессе. Они предупредили граждан о том, что их личная информация может быть доступна злоумышленникам.
  3. В обращении к клиентам сервиса Qnect, соучредитель и исполнительный директор Даниэль Лян сообщил, что об инциденте оповещена Федеральная полиция Австралии. Он также отметил, что финансовая информация клиентов сервиса в результате утечки не пострадала. По мнению руководства стартапа, рассылка была предпринята с целью нанесения ущерба деловой репутации компании.
  4. Руководство канадского казино отказалось от официальных комментариев. Известно только, что в 2016 году, когда была совершена кража базы данных, пострадавшие клиенты и сотрудники были оповещены об этом.

Пояснения Аналитического центра InfoWatch

Проблема защиты персональных данных имеет несколько аспектов.

Первый – технический. Внутри любого документа, базы данных или электронного письма легко выделить фамилию, имя, номер паспорта, банковского счета или кредитной карты. Персональные данные хранятся в виде упорядоченных массивов информации и легко формализуются. Поэтому с учетом современных технологий анализа трафика, технических проблем защиты организаций от утечек ПДн фактически не возникает.  

Второй – формально-юридический, в рамках которого во многих странах, включая Россию, на законодательном уровне закреплено понятие персональных данных, правила их хранения, обработки и передачи, а также определены сами операторы персональных данных, которые и несут ответственность за соблюдение требований закона в части их защиты.

Казалось бы – нормативно необходимость защиты ПДн закреплена, ответственные определены, технических препятствий нет, но почему же тогда утечки все-таки происходят?

Обратим внимание на третий, один из ключевых аспектов этого процесса – организационный. Здесь, если разобраться, и кроется основная причина нынешнего положения дел, при котором утечка ПДн из организаций стала широко распространенным и фактически неизбежным явлением в мире.

Попробуем ответить на вопрос о том, кто действительно заинтересован в защите данных граждан, и подойти к ответу не с формальной стороны, а, что называется, по сути вопроса. Глобально в этом процессе участвуют три стороны – это государство, бизнес и сами субъекты данных – граждане.

Государство, по сути, навязывает бремя заботы о защите данных граждан бизнесу, который в реальности также не заинтересован в этой нагрузке. Ответственность организаций за персональные данные скорее является номинальной. Отсюда и существующее представление о том, что операторам ПДн достаточно «бумажной» безопасности на уровне принятия регламентов, приказов, наличие которых проверяют регулирующие органы, не более.

Бизнес не видит ценности персональных данных, и, как правило, не ощущает реальной опасности. Если за утечками баз ПДн не следует крупный штраф или необходимость выплатить компенсации пострадавшим, то любой «слив» даже очень большого количества персональных данных клиентов или сотрудников для компании не несет серьезной угрозы. Основные риски при утечке данных связаны со штрафными санкциями регуляторов, в то время как суммы таких штрафов смехотворны.

Исключение составляют так называемые «мега-ликвидные» персональные данные — сведения о состоянии счетов, данные о доходах в сочетании с личными сведениями о гражданине, которые могут привести к крупным финансовым потерям. Более-менее о безопасности данных задумываются в отраслях, для которых ПДн  являются бизнес-активом, как страхование и финансовый сектор. Например, база данных клиентов страховой компании, утекшая к конкурентам, приводит к оттоку минимум 10% клиентов. Причем самых платежеспособных. Просто потому, что в типовом страховании очень короткий цикл продаж, а предпочтения клиента очевидны.

Сами пользователи, как правило, тоже не проявляют большой заинтересованности в защите своих данных и не заботятся о них. В силу общей низкой культуры в области информационной безопасности большинство пользователей с легкостью предоставляют свои ПДн практически по любому требованию, и в случае утечек за редкими исключениями не обращаются в органы судебной власти и не требуют компенсации. До сих пор реальных потерь от утечек данных пользователи пока практически не ощущают, и сложно представить, что граждане добровольно примут на себя издержки, связанные с защитой ПДн.

Усилия глобальных компаний и геополитические риски просто не оставляют государствам выбора – они либо заботятся о защите данных своих граждан самостоятельно либо об этом «позаботятся» другие.

Основной механизм, который использует любое государство в процессе защиты пользовательских данных – это введение нормы обязательного опубликования компаниями сообщений об утечках и выплат компенсаций пострадавшим. Сегодня в России операторы данных не обязаны разглашать информацию об их утечке, однако с недавнего времени этот путь имеет шансы укорениться и в нашей стране.

В таком случае по существу, рядом с государственным «кнутом» в виде системы штрафов за нарушения правил обработки персональных данных появляется и «пряник» — система, в которой компаниям становится действительно невыгодно допускать утечки. А значит, появляется и смысл инвестировать в реальную, а не номинальную безопасность.

Такая система позволяет государству замотивировать бизнес на соблюдение социальной ответственности за безопасность персональных данных граждан. Бизнес же сможет рассчитывать на легитимный доступ к агрегированным данным пользователей для удовлетворения своих нужд, например, проведения рекламных и маркетинговых активностей, анализа потребительского поведения.

Как это будет работать на практике, пока неизвестно. По словам генерального директора InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации, и о подобных инцидентах компаниям как правило проще умолчать. «Что касается штрафных санкций, то если они будут небольшими, то некоторым компаниям будет проще умолчать, чем допускать репутационные риски, — отметил Алексей Нагорный. — С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять».

Но такая модель, где государство задает рамки для саморегулирования целой сферы (а обязанность информировать об утечках общественность – не что иное, как саморегулирование), выглядит наиболее многообещающей перед лицом растущей год от года ликвидности персональных данных, стремительно увеличивающихся объемов утечек и все новых способов мошенничества с использованием личной информации граждан.

Подпишитесь на рассылку INFOWATCH