Утечка персональных данных: когда это прекратится?

Статистика

За I полугодие 2018 года в Роскомнадзор поступило 17884 жалоб граждан на неправомерное использование персональных данных и нарушение требований конфиденциальности. Наибольшее количество жалоб на незаконную, по мнению заявителей, обработку персональных данных поступает на такие категории операторов, как банки и кредитные организации, коллекторские агентства, интернет-сайты и ЖКХ.

Рис. Структура жалоб на незаконную обработку персональных данных, поступивших в Роскомнадзор в январе–августе 2018 г. Источник: расчет по данным Роскомнадзора

С января по август 2018 года на банки и кредитные организации поступило 4708 жалоб, на коллекторские агентства – 734, на интернет-сайты – 3278, на ЖКХ – 1583.

На самом деле 18 тысяч жалоб – капля в море. Это всего лишь 0,015% от трудоспособного населения России. Тогда как практически каждому взрослому россиянину хотя бы раз в жизни позвонила незнакомая компания и предлагала свои услуги.

По данным компании «Смарт Лайн Инк», производителя системы борьбы с утечками данных, в течение последних трех месяцев увеличилось количество утечек данных из российских МФО. Доля МФО выросла с 3% до 5% в общем числе инцидентов, связанных с утечками данных. При этом утекают не только персональные данные клиентов, но и сканы документов, удостоверяющих личность, в том числе паспортов.

По словам экспертов, рост количества утечек в МФО связан с тем, что безопасности данных в этих организациях не уделяется достаточного внимания на фоне, например, банков, для которых регулятор установил достаточно жесткие требования. Линейный персонал в МФО часто меняется, а его деятельность контролируется слабо. Кроме того, сегодня часть МФО из-за ужесточения регулирования уходит с рынка, а их клиентские базы распродаются на черном рынке.

Сколько стоит персональная информация?

Если в поисковике набрать фразу «Купить базу с паспортными данными и телефонами», то в результате выпадет множество объявлений. Также множество аналогичных предложений можно найти в социальных сетях и на форумах.

Zaim.com провел собственное расследование и узнал, легко ли купить базу с персональными данными и сколько это стоит.

В одной из групп в известной социальной сети мы разместили объявление, что купим базу с паспортными данными и телефонами. Всего лишь за час нам поступило более десяти объявлений приобрести подобную информацию. Причем продавцы баз высылали демо-версии и примеры, в которых были указаны Ф.И.О. граждан, дата рождения, дата получения паспорта, номера телефонов. Стоимость такой базы колебалась от 10 коп. за контакт без паспортных данных до 1 руб. за контакт с паспортными данными. Объем базы около 2,5 млн человек по Москве.

Как личная информация поступает на «серый» рынок

Лидерами по утечкам персональных данных являются телекоммуникации (более 15%), медицина (около 20%) и сфера обслуживания (около 10%). В последнем секторе большинство компаний относятся к малому бизнесу и не имеют ни бюджета, ни компетенций для защиты данных.

Эксперты отмечают, что в базы, которые потом «гуляют» по рынку, личная информация поступает тремя способами.

Внешняя хакерская атака, в результате которой злоумышленник самостоятельно похищает данные из сети организации.

Крупные компании, как правило, неплохо защищены – из-за строгого надзора отраслевых регуляторов (например, ЦБ описывает требования к обеспечению безопасности в кредитных организациях). Гораздо хуже дело обстоит в государственных организациях и малом бизнесе. Госсектор – это забюрократизированная структура с неповоротливыми механизмами, для того чтобы они заработали, требуется огромная воля. Что касается малого бизнеса – у него просто нет средств на закупку специализированных программных комплексов (DLP-систем), защищающих от утечек информации и корпоративного мошенничества.

«Бывает, что базы данных «уходят» из компании и попадают в третьи руки по недоразумению. Просто потому, что сотрудник, например, желая поработать дома, нарушает правила информационной безопасности и становится легкой жертвой хакеров», – отметил Сергей Скворцов, директор по экономической безопасности МФК «МигКредит».

Это гораздо более распространенная ситуация. Компаниям проще сослаться на внешнюю атаку и не признавать, что утечка допущена собственными же сотрудниками. Для злоумышленников найти информатора внутри компании часто гораздо проще и дешевле, чем сооружать сложную техническую атаку.

Как правило, персональную информацию чаще всего продают сами работники компаний. Это могут быть как относительно высокопоставленные сотрудники клиентских служб, имеющие доступ ко всей базе клиентов, так и сотрудники IT-служб, которые часто имеют неограниченные полномочия и могут скопировать, в принципе, любые корпоративные данные.

Бывают случаи, когда работники становятся жертвами мошенников внутри организаций. Евгений Полубояров, эксперт по кадровому аудиту, соучредитель компании «Кадриум», рассказал Zaim.com реальные истории «утечки» персональных данных:

«Это была регистрация ИП для вывода денежных средств из фирм-однодневок. На сотрудника без его ведома была выпущена ЭЦП (электронно-цифровая подпись). Через личный кабинет налогоплательщика с помощью скана паспорта и ЭЦП было зарегистрировано ИП, открыт расчетный счет в одном из банков, работающих по дистанционной схеме обслуживания, и выпущена карта, привязанная к этому расчетному счету. Далее на эти ИП направлялись денежные средства и с помощью карты снимались в банкоматах. Данный факт был выявлен случайно при переводе сотрудников из одного подразделения в другое и проведении стандартной проверки СБ. Делом сейчас занимаются правоохранительные органы».

В обоих случаях скан паспорта и СНИЛС были добровольно переданы мошенникам после получения СМС якобы от банка с требованием подгрузить скан копии для актуализации данных зарплатного проекта.

Пользователи сами охотно выкладывают в общий доступ документы: закидывают их в Google Диск или Dropbox, размещают на страничке в Instagram или «ВКонтакте». Мало кто задумывается о сохранности документов в публичных сервисах.

«Чуть меньше, чем в половине случаев, информацию «похищают» хакеры, хотя похищением это назвать сложно – нередко массивы клиентских данных просто «валяются» в корпоративной сети, подключенной к интернету и крайне слабо защищённой. Еще в 51% случаев корпоративные данные продают сами сотрудники компании. Делают они это целенаправленно, и, можно сказать, что это одновременно халатность службы безопасности и незаконный бизнес самих работников», – рассказал Ашот Оганесян, основатель и технический директор компании DeviceLock DLP.

Олесья Горьковая, управляющий партнер венчурного интегратора PRYTEK и CEO израильской высшей школы IT и безопасности HackerU, рассказала, как маркетологи «юзают» персональные данные и где может быть нарушение ФЗ-152: «Когда пользователь находится в Сети, он регистрируется в соте, и у провайдера есть лог его трекинга. Это, по сути, набор координат, и софт типа Tableau (BI) может его превратить в красоту о тратах, срастить их с номером телефона и проследить целевую аудиторию и сколько времени в среднем пользователь простояла у витрины, чтобы купить сумку от Gucci. И вот тут данные из банка и являются тем самым противоречащим ФЗ сливом, хотя на первый взгляд всё законно и исключительно аналитика. А теперь перенесите этот сценарий в виртуальный мир, где вы не просто ходите ногами, а сёрфите витрины онлайн часами, и там этих трекеров на каждом клике с десяток, а то и два, и при нажатии кнопки оплатить/заказать/узнать подробнее трекеры фиксируют это действие – и далее тот же сценарий аналитики».

Например, по данным РБК, на начало марта 2018 года на Avito.ru работали шесть уникальных трекеров, на HH.ru – семь, на Gismeteo – девять, трекеры были в личных кабинетах нескольких крупных банков, в картотеке арбитражных судов, на страницах министерств и силовых ведомств, добавила эксперт.

Пассивность граждан и безнаказанность подогревают наглость продавцов баз данных

Эксперты заявляют, что российское законодательство и судебная практика по хищениям данных таковы, что компания, у которой они были похищены, является потерпевшей стороной. А самому субъекту персональных данных для получения такого статуса придется доказать, что похищенные данные не только были использованы ему во вред, но при этом был нанесен ущерб. Виновниками же чаще всего выступают неустановленные лица. Более того, большинство компаний никогда не признают, что данные были похищены именно у них, а те базы, которые можно купить, чаще всего не содержат указаний на то, у кого были похищены. Так что вероятность кого-то наказать при покупке базы практически равна нулю.

«Так, ежегодно подвергаются уголовному наказанию менее 200 лиц по всей стране, и то подавляющая часть – за формальные нарушения тайны связи или переписки. И это при том, что Роскомнадзор (уполномоченный орган в области охраны наших с вами персональных данных) проводит ежегодно более 1500 проверок», – заявил Роман Жуков, руководитель экспертного направления по информационной безопасности «Гарда Технологии».

К тому же ответственность за разглашение персональных данных сейчас очень маленькая, почти ничтожная. Каждый год штрафы возрастают, но остаются очень низкими.

«Обращаю ваше внимание на то, что административная ответственность по этой статье наступает не за «слив» данных, а за нарушение требований законодательства, например, компанией не получено согласие субъекта ПД на их обработку, не выполнена обязанность по обезличиванию ПД, работника не проинформировали, не принят локальный акт и так далее. Разумеется, именно такие «мелкие» нарушения в наибольшей степени способствуют бесконтрольному использованию личных сведений и в итоге существенно облегчают слив данных, делая его практически бесследным», – комментирует Олег Матюнин, Адвокатское бюро города Москвы «Матюнины и партнеры».

«Ситуация, по сути, абсурдная, – рассуждает Алексей Парфентьев, ведущий аналитик компании «СёрчИнформ». – Организации имеют право запрашивать и использовать документы, но обеспечивают защиту этих данных условно. Инструменты защиты есть, существуют автоматизированные современные системы защиты от утечек (DLP), которые берут под контроль любые манипуляции с данными в организациях, а также подозрительную активность сотрудников. Эти программные комплексы часто не применяют из соображений экономии и по причине низкой вероятности наступления наказания за разглашение персональных данных. Тогда как стоимость программ составит миллионы рублей, наказание – десятки тысяч».

Также эксперты отмечают, что в большинстве случаев граждане очень пассивны в отстаивании своих прав. Люди просто не знают процедуры, не представляют, куда идти в случае разглашения их данных, и о каких-либо массовых обращениях в органы по поводу компрометации данных неизвестно. А без обращения полиция сама дела не заводит.

«При обнаружении неправомерной обработки собственных данных физическое лицо может обратиться с жалобой в Роскомнадзор, который обычно незамедлительно реагирует и направляет запрос в указанную организацию с целью подтверждения наличия основания для обработки данных. Если неправомерная обработка данных действительно имела место, то оператор данных в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить обработку таких персональных данных», – объясняет Дмитрий Юхневич, CEO LT digital group.

Что говорит суд?

Судебная практика в сфере защиты персональных данных достаточно противоречива. Юристы отмечают, что наибольший процент дел по искам физических лиц о защите личной информации остается без удовлетворения.

Нередко основанием для отказа в удовлетворении иска служит то обстоятельство, что распространенная информация не относится к категории персональных данных. Виной тому расплывчатое законодательное определение персональных данных.

«Основной проблемой, с которой сталкиваются граждане при осуществлении защиты своих персональных данных, на мой взгляд, является несовершенство законодательного определения данной правовой категории. Внесение в действующий закон изменений в виде четко сформулированного определения категории «персональные данные» с обязательным указанием признаков, позволяющих отнести категории ту или иную информацию о лице, будет являться оптимальным решением выявленной проблемы и поможет сформировать единую судебную практику в указанной сфере», – комментирует юрист Екатерина Спирина, юридическая компания «Приоритет».

Эксперты поделились с Zaim.com ситуациями, когда «жонглеров» персональными данными удалось наказать.

В конце 2015 года управление Роскомнадзора по ЦФО оштрафовало МГТС, «Сумму Телеком» и принадлежащее «Ростелекому» ПАО «Центральный телеграф», усмотрев в практике использования clickstrem для сбора данных и автоматической передачи данных нарушение закона «О связи» (данные арбитражных судов).

«Сообщение было получено вне рамок рабочего времени, отвлекло от необходимых дел, вызвало беспокойство, раздражение, привело к формированию негативных ощущений и эмоций и дискомфортному состоянию в целом», – так описал свои моральные страдания от рекламного СМС новосибирский юрист Александр Жданов, подавая в 2016 году иск в местный суд. Эмоциональные подробности и отсутствие согласия абонента впечатлили судью, и она постановила заплатить Жданову за мучения 10 тысяч рублей.

В 2017 году УФАС по Москве и УФАС по Свердловской области потратили полгода, чтобы установить цепочку, по которой житель Екатеринбурга получил СМС с рекламой местного автоцентра. Схема похожа на сказку про репку: автоцентр заключил контракт с ООО «Моби-Сервис Урал», та – с компанией Instam, последняя – с родственной ей платформой «Крафт Телеком», у которой, в свою очередь, были заключены договоры с операторами связи. Из-за отсутствия согласия абонента нарушителем была признана «Крафт Телеком» (штраф – 250 тысяч рублей), следует из решения антимонопольной службы.

Но подобных хеппи-эндов крайне мало.

К инициативе властей создать портал, посредством которого физлица смогут запрещать компаниям использовать их персональные данные, эксперты относятся скептически. Эта база может хорошо работать только для госструктур и компаний с госучастием и не может обязывать частные или зарубежные компании сообщать о своих манипуляциях с данными. Поэтому базы данных так и продолжат гулять по просторам интернета.

Маргарита ГВОЗДЕВА