Персональные данные на заказ

Можно ли уберечь свои данные от утечек?
Маргарита ГВОЗДЕВА, Екатерина РОМАНОВА, Денис ГОНЧАРЕНКО
09.12.2020 | 1449
цифровые краны с данными
В середине ноября в Госдуму РФ на рассмотрение был внесен законопроект, запрещающий компаниям использовать общедоступные персональные данные без согласия владельца и предусматривающий возможность пользователя требовать удаления опубликованных персональных данных. Zaim.com специально для издания “Ъ” решил разобраться, как сейчас обстоят дела с защитой личной информации в России и мире.
Упаковка персональных данных

Эксперты подразделяют данные на два условных типа: персональные и косвенные. К первому типу относятся Ф.И.О., номера телефонов, странички в соцсетях, паспортные данные. Обезличивание данной информации ведет к полной утрате ее ценности, так как «хешированное и обезличенное» Ф.И.О. несет в себе тяжелые внутренние противоречия. Косвенные данные представляют собой IP-адрес, адрес электронной почты, не связанные с номером телефона, разрешение экрана, браузер и др. Данная информация используется для аналитических и статистических данных о потребителях того или иного сервиса, ее «обезличивание» является рабочим способом сохранить данные пользователей в приватном виде.

«Если компания, которая собирает у своих пользователей данные первого типа, заявляет, что использует и передает их в обезличенном виде, скорее всего, пользователей вводят в заблуждение и успокаивают умными словами. Также почти невозможно доказать, что компания не хранит персональные данные в хешированном виде», – отмечает Филипп Мищенко, руководитель практики GMT Legal.

Стоит отметить, что существует обратимое и необратимое обезличивание данных. В первом случае данные, с помощью которых можно идентифицировать субъекта (например, СНИЛС), заменяются условным идентификатором, в итоге сохраняется возможность обезличенные данные снова связать с конкретным человеком. При необратимом обезличивании идентифицирующие данные полностью удаляются.

Как информация о желаниях пользователя разлетается по всем компаниям

Нередки случаи, когда после просмотра, например, машин на каком-нибудь сайте, потенциальному клиенту начинает приходить много сообщений, звонков с предложением приобрести автомобиль и с информацией о разных акциях. У пользователя встает вопрос, как компании узнали его номер телефона, если он его не оставлял. Все просто.

Если пользователь посетил один сайт и не оставил контактных данных, рекламная система ищет совпадение по cookie с партнерским сайтом, на котором клиент когда-то регистрировался и давал разрешение на рекламную коммуникацию с третьими лицами (те самые галочки в регистрационной форме типа «Даю согласие…», которые практически никто никогда не читает). В итоге, как в нашем примере, автосалон, сайт которого посещал пользователь, получает его контактные данные.

Cookie matching позволяет собирать информацию о пользователе посредством его идентификаторов из разных областей. Поэтому одним из способов защитить себя от лишних звонков – регулярно чистить cookie. Также эксперты рекомендуют пользоваться браузером в режиме инкогнито, так как в этом случае после закрытия вкладки все полученные данные и идентификаторы автоматически стираются.

Банки также передают персональные данные третьим лицам, однако с разрешения пользователя. Правда, об этом мало кто знает, так как никогда не читает соглашения об обработке персональных данных.
Вот пункт из такого соглашения одного из крупных российских банков.

«В случае, если Банк откажет в заключении договора потребительского кредита, Клиент дает согласие на передачу ООО ХХХ следующих своих персональных данных: фамилии, имени, отчества, даты рождения, сведений о документах, удостоверяющих личность, адресе электронной почты, номере мобильного телефона, а также сведений о доходе в целях получения предложения ООО ХХХ о заключении договора на оказание консультационных услуг по подбору финансовых услуг. При этом ООО ХХХ вправе осуществлять обработку вышеуказанных персональных данных Клиента путем осуществления следующих действий или совокупности действий (с использованием средств автоматизации или без использования таких средств): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение».

Банк также указывает, что в любой момент можно отозвать свое согласие.

Новая золотая лихорадка

Компании, в том числе и финансовые, активно используют собираемые ими персональные данные клиентов, причем как с благими целями, так и с целью получения дополнительной прибыли.

К благим целям можно отнести использование персональных данных для обеспечения безопасности клиента. Например, когда пользователь онлайн-банка получает сообщение о том, что вход в систему произведен с нового незнакомого устройства, и предлагается подтвердить дальнейшую работу.

«Банки отправляют подобные предупреждения, потому что они хранят информацию о таких вещах, как IP-адрес клиента или методы шифрования маршрутизатора. Если данные, которые они собирают, не соответствуют типичным записям активности, они отправят эти предупреждения в качестве меры защиты», – отметил Джим Пендергаст, старший вице-президент altLINE, подразделения The Southern Bank Company.

Данный способ проверки основан на так называемых fingerprint (отпечатках) данных, когда различные параметры сливаются в единое целое и получается уникальный идентификатор пользователя.

Цели использования персональных данных для зарабатывания денег можно разделить на два вида: для повышения эффективности собственных маркетинговых компаний (и, соответственно, увеличения уровня доходов) и для получения дополнительного дохода от продажи информации сторонним компаниям.

Если с первым типом все понятно (данные используются для внутренних целей), то на втором остановимся поподробнее.

Банки во всем мире пытаются монетизировать информацию о клиентах и создают платформы обмена данными с партнерами, в рамках которых предоставляют (пока) анонимные данные о расходах своих потребителей. Если у клиента есть ипотека в банке, то он (банк), вероятно, упакует ее и продаст строителям, дизайнерам интерьеров, малярам, ландшафтным дизайнерам, агентам по недвижимости, оценщикам и другим заинтересованным лицам.

Также банки продают данные ретейлерам, которые создают на их основе персонализированные предложения и актуальные рекламные объявления, учитывающие уровень расходов и привычки клиента.

Сбербанк не так давно заявил, что планирует продавать информацию о транзакциях своих клиентов, в том числе геоаналитику. В Японии финансовая компания Mizuho Financial Group также собирается заработать на предоставлении информации о потребительских привычках своих клиентов.

По оценкам компании Accenture, банки могут получить прирост доходов как минимум на 1-2%, если смогут правильно наладить продажу данных.

«Банки не собираются упускать возможность нажиться на новой золотой лихорадке, которая представляет собой торговлю данными. Единственное, что им мешает полностью развернуть подобную деятельность, – это законы о защите прав потребителей», – отмечает Томас Чемберс (CFP), вице-президент по исследованиям и развитию бизнеса The Stock Dork.

Стоимость данных варьируется от их масштаба и детализации.

«Банки обычно используют комиссионный способ, когда плата производится за покупку. Они берут около 10-15% от стоимости каждый раз, когда потребитель покупает продукт в результате целевой рекламы или рекламного предложения, основанного на данных банка», – рассказал Нишанк Ханна, главный финансовый директор Clarify Capital.

Что говорит закон

Законодательство о защите персональных данных не стоит на месте и постоянно развивается. Самый заметный шаг последних лет – принятие Европейского регламента защиты персональных данных, более известного как GDPR (General Data Protection Regulation), который, во-первых, внес серьезные изменения в части штрафов за нарушения порядка работы с персональными данными, во-вторых, дал пользователям возможность влиять на сбор и обработку своих персональных данных. В рамках данного закона каждый гражданин ЕС в любой момент может обратиться к сервису, который запрашивал у него разрешение на обработку персональных данных, и отозвать свое согласие, а также потребовать удалить, изменить, предоставить ранее полученные данные и др.

США (в частности, штат Калифорния), также расширили собственное законодательство о персональных данных, приняв Калифорнийский Акт о защите данных потребителей – CCPA (California Consumer Privacy Act), который предоставляет расширенные права на управление и распоряжение собственными данными.

«В США очень немногие штаты признают широкое толкование «права на неприкосновенность частной жизни». Однако Калифорния расширила собственное законодательство о персональных данных, приняв CCPA (Акт о защите данных потребителей), расширяющий права пользователей в сфере распоряжения своими персональными данными», – рассказал Дэвид Райшер, адвокат и генеральный директор LegalAdvice.com (США).

«Многим компаниям тяжело дается переход от довольно либерального законодательства о защите персональных данных к новым, более строгим и жестким регуляциям, что приводит к судебным искам, блокировкам в магазинах приложений и росту расходов на правильную организацию работы с персональными данными. Поэтому, по данным специалистов, многие компании до сих пор работают в «серой» зоне, балансируя на грани законного использования и получения таких данных, что является серьезной проблемой», – добавил Филипп Мищенко, руководитель практики GMT Legal.

Потери данных

Помимо продаж, персональные данные могут попадать третьим лицам через утечки.

«В общем количестве выявленных утечек конфиденциальной информации в финансовом секторе лидируют США и Россия – на них приходится примерно по 25% всех случаев. Но во многом такое положение связано со спецификой поиска инцидентов – сообщения в базу утечек заносятся в основном на английском и русском языках. По 4% утечек пришлись на Индию и Великобританию. Доли более 1% (в произвольном порядке): Украина, Австралия, Индонезия, Канада, Япония, Китай, Южная Корея, Сингапур, ОАЭ, Вьетнам, Бразилия», – отмечает Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch.

Страна Масштаб утечки данных
Китай кредитное приложение Moneed скомпрометировало данные 389 млн клиентов в Индии
Центральная Америка хакеры захватили данные 11 млн карт клиентов Banco BCR
Иран неизвестные выложили в Сеть данные 15 млн клиентов трех банков
Канада сотрудник канадского кредитного союза Desjardins Group слил данные 4,2 млн клиентов
США First American – лидер ипотечного кредитования – допустила утечку 885 млн различных записей
США оператор государственных платежей в США непреднамеренно скомпрометировал данные 14 млн граждан
США женщина-хакер похитила данные 106 млн клиентов финансовой компании Capital One
США хакеры украли данные 3 млн клиентов банка UniCredit
Россия утекли данные 12 млн клиентов микрофинансовых организаций
  • Страна
    • Масштаб утечки данных
  • Китай
    • кредитное приложение Moneed скомпрометировало данные 389 млн клиентов в Индии
  • Центральная Америка
    • хакеры захватили данные 11 млн карт клиентов Banco BCR
  • Иран
    • неизвестные выложили в Сеть данные 15 млн клиентов трех банков
  • Канада
    • сотрудник канадского кредитного союза Desjardins Group слил данные 4,2 млн клиентов
  • США
    • First American – лидер ипотечного кредитования – допустила утечку 885 млн различных записей
  • США
    • оператор государственных платежей в США непреднамеренно скомпрометировал данные 14 млн граждан
  • США
    • женщина-хакер похитила данные 106 млн клиентов финансовой компании Capital One
  • США
    • хакеры украли данные 3 млн клиентов банка UniCredit
  • Россия
    • утекли данные 12 млн клиентов микрофинансовых организаций

Таблица – Громкие утечки в финансовом секторе за 2018–2020 гг. Источник: ГК InfoWatch

Специалисты указывают, что большинство потерь персональных данных происходит по вине (чаще злому умыслу) сотрудников. Такой способ на профессиональном языке называется «социальная инженерия» (в контексте информационной безопасности).

«Какой бы надежной ни была защита от несанкционированного доступа к персональным данным, сам сотрудник эти данные и передает. Так происходит в каждой крупной компании во всем мире, и это неизбежно. Здесь возникает понятный вопрос о том, как полностью избежать утечки личной, конфиденциальной и другой информации и как защитить эту информацию от редактирования. К сожалению, на сегодняшний день мы не можем обеспечить 100% защиту от проникновения и от получения какой-либо закрытой информации посторонних лиц», – заметил Даниил Ростовцев, основатель компании «Только Высокие Технологии».

Даже очень крупные финансовые организации могут подвергнуться рискам кражи персональных сведений. «Например, весной этого года база на 12 миллионов человек с паспортными данными, контактами и информацией об электронных кошельках оказалась в открытом доступе. Всех их объединяло то, что они оформляли микрозаймы в период с 2017 по 2019 год, причем под подозрение Роскомнадзора тогда попал один конкретный финансовый маркетплейс», – рассказал Юрий Орлов, директор департамента информационной безопасности QBF.

Особенно проблема утечки данных обострилась во время пандемии, когда компании были вынуждены перевести сотрудников на удаленку.

Головная боль банков

Одной из тенденций, которая усилилась во время пандемии, является переход банков в онлайн. Однако здесь возникает проблема защиты персональных данных.

«Процесс перехода в онлайн у банков начался давно, пандемия лишь подстегнула и ускорила этот процесс. Поэтому и проблемы с персональными данными, связанные с переходом в онлайн, банкам уже давно известны. Единственное, что изменилось в связи с коронакризисом, – это участившиеся случаи хакерских атак. Их стало больше, они стали успешнее, методы их реализации – более изощренными», – отметил Александр Ветколь, ведущий системный инженер Varonis.

Самыми распространенными проблемами в онлайне являются атаки типа Account Takeover, подразумевающие кражу учетной записи в рамках фишинга, схем социальной инженерии, утечки пользовательских данных у контрагентов.

«В ходе реализации подобных схем злоумышленник получает доступ к интернет- или мобильному банку пользователя, а значит, к средствам управления пользовательскими счетами и к персональным данным. В дальнейшем киберпреступники выводят средства со счетов жертвы, предварительно, например, закрыв вклады или оформив новый кредит», – рассказал Антон Окошкин, технический директор BI.ZONE.

«Еще одна проблема – это передача информации в каналах, востребованных клиентом, и это не интернет-браузеры, защищенные изначально, а мессенджеры, телеграм-каналы и т. д. В каждом из них свои подходы и принципы по обеспечению безопасности, поэтому масштабировать уже решенную задачу в одном канале на все остальные на практике невозможно», – рассказал Алексей Евтушенко, генеральный директор «СберСервиса».

Эксперты отмечают, что банкам сейчас стало сложнее выявлять мошеннические схемы. Обычно в этом вопросе помогали специализированные антифрод-системы, которые по заранее заданным параметрам, а также с помощью искусственного интеллекта отличали типичное для клиента действие от потенциально мошеннического. «Но эти заранее заданные параметры могут оказаться нерелевантными в условиях резкого перехода к цифровым каналам обслуживания. Так, до пандемии клиент мог снимать в отделении деньги, а онлайн оплачивал только 10% покупок. Теперь он оплачивает все свои покупки онлайн, что система может посчитать мошеннической схемой. Чтобы таких ошибок не возникало, банкам придется значительно переработать и требования к антифрод-системам, и параметры их работы», – заметил Павел Лихницкий, генеральный директор DIS Group.

Перед банками сейчас стоит задача создать востребованный, комфортный и самое главное – безопасный сервис, минимизирующий риск потери данных.

Подводя итог, можно сказать, что между законным и незаконным использованием персональных данных существует очень тонкая грань (по крайней мере, в России в рамках существующего законодательства). Компании любыми путями (на первый взгляд законными) получают согласие от пользователя на продажу, передачу и т. п. информации третьим лицам. Базовая гигиеническая безопасность – очищение кеша, использование режима инкогнито и т. п. – только минимизирует риск потери персональных данных, но не обеспечивает защиту от потери личной информации. Для улучшения ситуации требуется ужесточение законодательства в данной сфере, по примеру ЕС.

Подписаться

Понравилась публикация?

Подпишитесь на еженедельную рассылку от Zaim.com и будьте в курсе последних событий


 
Комментарии

| ответить