Что это такое? Утечка персональных данных – самое печальное, что может с нами произойти. Умыкнуть номер телефона, адрес электронной почты и даже реквизиты паспорта могут хакеры или работники компаний, их собирающих, а дальше использовать в своих корыстных целях.
Что делать? Если утечка произошла, то компаниям нужно набраться смелости и заявить об этом, а не скрывать. За это грозит штраф, но это копейки по сравнению с утратой доверия клиентов. Добросовестные руководители проведут расследование и выявят причину, чтобы больше такого не допускать. Компании, которым на это плевать, так и будут жертвами злоумышленников.
В статье рассказывается:
- Что считать персональными данными
- Причины утечек персональных данных
- Последствия утечки персональных данных для клиентов и компаний
- Что делать, если компания столкнулась с утечкой персональных данных
- Самые громкие утечки персональных данных 2022 года
- Как обезопасить персональные данные клиентов
- Как проверить, скомпрометированы ли персональные данные
- Что делать, если ваши персональные данные похищены
- Как обезопасить себя от возможных утечек персональных данных
- Часто задаваемые вопросы об утечке персональных данных
-
Чек-лист: Как добиваться своих целей в переговорах с клиентамиСкачать бесплатно
Что считать персональными данными
Следует уточнить, какая именно информация к ним относится. В законодательных актах отсутствует конкретное описание термина «персональные данные» (ПД). Мы будем руководствоваться определением, которое представлено в пункте 1 статьи 3 ФЗ № 152. Закон «О персональных данных» был принят 27 июня 2006 года. В нем сказано, что таковыми признаются все виды сведений, имеющих отношение к лицу, владеющему информацией.
В свою очередь, субъектом персональных данных выступает человек, сведения о котором собираются, подвергаются обработке и сохраняются. Еще одно понятие, которое следует раскрыть в контексте утечки личных сведений – это «оператор». Так принято называть государственные органы, частные или юридические лица, осуществляющие операции с информацией (сбор, обработку, хранение, распространение, уничтожение и так далее).
Источник: shutterstock.com
Виды персональных данных
-
общие: фамилия, имя, отчество, пол, дата и место рождения, адрес, семейное положение и так далее. Такие сведения могут быть известны нескольким субъектам или представлены в открытом доступе;
-
специальные: раса, национальность, политические взгляды, отношение к религии, философские убеждения, уровень физического здоровья, личные отношения и так далее. Этот вид сведений находится в закрытом доступе;
-
биометрические: биологические и физиологические характеристики организма определенного индивидуума, с помощью которых его можно идентифицировать (ДНК, отпечатки пальцев и другое);
-
другие: периодически меняющаяся информация (заработная плата, профессиональный стаж и так далее).
К первому виду персональных данных следует также отнести паспортные и контактные данные (е-мейл, телефон и так далее), пароли, номер банковской карты, информацию об образовании.
Отметим, что не все варианты видео и фото могут применяться для идентификации человека. К примеру, не признаются биометрией ксерокопии паспорта, если их вместо оригинального документа предоставляют лица, желающие оформить кредит. В эту же категорию попадают флюорографии, рентгенографии и фотографии из личного дела.
Читайте также!
Зачем воруют персональные данные пользователей
Встречаются разные варианты похищения личной информации:
-
Персональные данные могут быть проданы другим преступникам.
-
Частная информация позволяет настроить фишинговое сообщение под конкретного человека, повысив вероятность того, что он выполнит нужные действия (например, введет данные на мошенническом сайте или загрузит зараженный файл).
-
Зная личную информацию и имея доступ к аккаунтам, можно узнать больше о других пользователях. Преступники могут точнее выбирать способы атаки на жертву и даже обнаруживать ее персональные данные у других людей, например, в переписках на платформах социальных сетей.
-
Используя личную информацию, можно войти в аккаунты и персональные устройства человека, чтобы использовать их по своему усмотрению.
Как злоумышленники получают доступ к чужим персональным данным
Это можно сделать разными способами:
-
Незаконное проникновение в базы данных предприятий. Старые системы безопасности с низкой надежностью, неизвестные или неисправленные баги в защите, о которых не было сведений до происшествия, часто становятся причиной утечки личной информации.
-
Фишинг через электронные рассылки. Если человек стал жертвой такого сообщения и его профиль был скомпрометирован, то злоумышленники могут отправлять письма от его имени другим. Этот способ выглядит убедительно, так как сообщения адресату приходят от знакомого лица.
Источник: shutterstock.com
-
Инсайдерские утечки. Имеют место ситуации, когда преступники подкупают работника компании, и он предоставляет доступ к клиентской базе.
-
Поиск в Интернете. Иногда неверная конфигурация сервера позволяет поисковикам индексировать хранящуюся на нем информацию. Эти базы можно обнаружить через определенные поисковые запросы. Кроме того, люди часто делятся различными данными о себе. Например, они могут оставлять ссылки на свои профили в других сервисах, что раскрывает еще больше сведений. Анализируя социальные сети и различные форумы, можно узнать много информации о человеке: от его предпочтений в кинопоиске и заканчивая режимом дня и аллергией, например, на апельсины.
Читайте также!
Причины утечек персональных данных
Каждая организация, работающая с личной информацией, должна применять набор организационных и технических мероприятий для ее сохранности. Комплекс таких мер и методы защиты персональных данных определяются с учетом конкретной категории.
В процессе создания систем технологических и административных решений применяется модель потенциальных угроз, в которой рассматриваются два вида опасностей:
-
внешние;
-
внутренние.
Остановимся на каждой из них более подробно.
Внешние угрозы
Внешние угрозы связаны с незаконным проникновением в информационные системы компании (например, хакерские атаки). В России действия интернет-пиратов редко представляют реальную опасность для здоровья и жизни населения.
Прекратились массовые утечки персональных данных из баз ЦБ РФ, ГИБДД, Пенсионного фонда. Их сети имеют надежную защиту, а разглашение информации, записанной со сложными алгоритмами кодирования, которые невозможно персонифицировать, не представляет особой опасности. Значительно сократились и случаи внешних атак на банковские онлайн-ресурсы.
Внутренние риски
Внутренние атаки проявляются намного чаще. Люди оставляют свою личную информацию в различных медицинских организациях или в туристических бюро, где для оформления визы раскрываются почти все сведения о материальном положении. Часто в этих случаях не подписывается согласие на обработку персональных данных.
В результате таких действий данные паспорта, информация о недвижимых объектах, зарплате, банковских счетах хранятся в незащищенном виде на ПК, не имеющем надежной антивирусной защиты.
Источник: shutterstock.com
Получить доступ к ним можно:
-
при прямом проникновении недобросовестного работника в компьютер или доступе к материальным информационным носителям;
-
при размещении данных в облачных сетях, иногда на множестве серверов, зачастую расположенных в других странах. Законом предусмотрено требование по хранения личной информации внутри страны, но его выполняют далеко не все операторы. Часто они и не слышали о существовании такой обязанности;
-
при похищении ноутбука или портфеля работника организации, в котором находится информация, представляющая интерес для злоумышленника.
Часто в судах рассматриваются случаи утечки персональных данных, по которым несут наказание врачи или сотрудники банковских учреждений (к примеру, связанные с паспортными данными). Это свидетельствует о существовании серьезных проблем в данной сфере.
Последствия утечки персональных данных для клиентов и компаний
Это может привести к негативному исходу для лиц, чья информация не была сохранена, и для операторов, допустивших такой инцидент. Владельцы таких данных рискуют стать жертвой разного рода злоумышленников. С их банковских карт и счетов могут незаконно списываться деньги. Существует риск подвергнуться шантажу, связанному с разглашением личных сведений, и другие угрозы.
Операторы за нарушения, повлекшие утечку персональных данных, несут следующие виды ответственности:
-
Гражданская: включает компенсацию причиненных убытков и морального вреда в судебном порядке.
-
Административная: штраф за допущенную утечку персональных данных, применение ограничений или полного запрета деятельности, предполагающей операции с личной информацией.
-
Уголовная: наступает в случае незаконного распространения персональных данных, если это повлекло значительный ущерб. Информация об этом передаётся в правоохранительные органы.
Источник: shutterstock.com
Если установлено, что оператор нарушил требования по предотвращению утечки персональных данных при хранении материальных носителей, частью 6 статьи 13.11 Кодекса об административных наказаниях РФ предусматривается штраф:
-
чиновникам – в размере от 8000 до 20 000 рублей;
-
ИП – от 20 000 до 40 000 рублей;
-
предприятиям и организациям от 50 000 до 100 000 рублей.
Более существенные нарушения (например, сбор и публикация персональных данных в Интернете), могут привести к штрафу в сумме от одного до шести миллионов рублей при первом нарушении и от шести до 18 млн рублей при повторном, если они совершены юридическим лицом.
Незаконное раскрытие личных и семейных данных частного лица в публичных местах или в СМИ может быть квалифицировано как уголовное преступление (статья 137 Уголовного кодекса РФ).
Такие нарушения могут привести к наложению штрафа на организацию до 200 000 рублей или в размере дохода, полученного в течение полутора лет. Есть также практика назначения обязательных, исправительных или принудительных работ на срок до 360 часов, года или трех лет соответственно.
Кроме того, нарушителю грозит арест продолжительностью до четырех месяцев или лишение свободы с максимальным сроком два года. Может применяться запрет на определенную деятельность в течение трех лет с учетом тяжести правонарушения. Ситуация усугубляется, если нарушитель использовал в корыстных целях свое должностное положение.
Что делать, если компания столкнулась с утечкой персональных данных
-
Роскомнадзор
Обнаружено, что персональные данные были неправомерно/случайно переданы, предоставлены, распространены. Если это привело к нарушению прав субъектов личной информации, оператор должен на протяжении суток уведомить о таком факте Роскомнадзор. Этот орган уполномочен обеспечить безопасность в данной сфере.
Оператор должен сообщить о самом инциденте и о предполагаемых главных причинах утечки персональных данных. Дополнительно следует указать информацию об ущербе, причиненном правам на личную информацию, и о принятых мерах для устранения последствий инцидента. Оператор должен предоставить сведения о назначенном им лице, которое отвечает за взаимодействие с этим органом по решению вопросов, связанных с происшествием (в соответствии с положениями пункта 3.1 статьи 21 Федерального закона З № 152).
Источник: frantic00 / Shutterstock.com
Оповещение об утечке персональных данных можно передать через портал персональных данных, где Роскомнадзор создал специализированный сервис. В разделе «Инциденты (утечки)» на странице «Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) личной информации, повлекшей нарушение соответствующих прав».
Что делать, если утечка персональных данных из системы произошла в результате хакерской атаки? Кроме уже упомянутого взаимодействия с Роскомнадзором, оператор обязан уведомить о случаях взлома, которые привели к передаче, предоставлению, распространению информации с нарушением норм закона или несанкционированному доступу к персональным данным, федеральную систему обнаружения, предупреждения и устранения последствий компьютерных атак на информационные ресурсы.
-
GDPR
Если произошла утечка персональных данных, а к предприятию может применяться регламент GDPR, необходимо проинформировать соответствующие европейские надзорные органы. Важно отметить, что сам факт утечки личной информации не считается нарушением согласно General Data Protection Regulation.
Источник: shutterstock.com
Это может произойти даже при наличии эффективных мер защиты. Однако, если будут выявлены попытки утаивания такого инцидента или факты недостаточно оперативной реакции на событие, это уже будет рассматриваться как нарушение. Компания может быть подвергнута штрафу в размере до 10 млн € или двух процентов от ежегодного оборота (в зависимости от того, какая сумма больше).
-
Что дальше
В начале внутреннего расследования служба безопасности выявляет тип информационной утечки (является ли она случайной или нет).
Обычно случайности легко выявить путем анализа отчетов от системы DLP (Data Leak Prevention, предотвращение утечек данных), опроса сотрудников или анализа видеозаписей наблюдения, которые фиксируют действия специалистов на работе.
Проведение опроса осуществляется управляющим службой безопасности или директором организации. Здесь важно не раскрывать причины встреч. В ходе опроса используются психологические методы воздействия и проводится наблюдение за реакцией сотрудника. Недостаточно четкие или несоответствующие фактам ответы могут свидетельствовать о возможной причастности работника к инциденту.
Если данные украдены намеренно и их разглашение уже произошло, следует выполнить определенные шаги, следуя такому алгоритму:
-
Выявить категорию работников, обладавших правами доступа к украденным сведениям.
-
Провести опрос с каждым сотрудником из обозначенной группы.
-
Сравнить все собранные свидетельства и определить основных подозреваемых.
-
Провести анализ действий подозреваемых за последний период, включая график прихода/ухода, с какими данными работали. Это позволит выявить потенциального нарушителя.
-
Инициировать процедуру привлечения к ответственности.
С учетом степени ущерба начальник службы безопасности совместно с директором определяет меры наказания, применяемые к лицу, виновному в утечке информации. Они могут включать финансовые санкции (штрафы, лишение премии), административное и даже уголовное преследования.
Если выявленное нарушение попадает под действие уголовного или административного кодекса, к делу следует привлечь органы правопорядка. Официальное расследование открывается и в тех случаях, когда нарушитель отказывается выплатить финансовую компенсацию за допущенную утечку персональных данных.
-
Открытость и профессионализм в действиях организации при утечке личных сведений снижает вероятность потери клиентов. Этот момент важен для фирм, работающих в секторах здравоохранения, фармацевтики, услуг и информационных технологий, где изначально существует значительный риск оттока покупателей в таких ситуациях.
Читайте также!
Самые громкие утечки персональных данных 2022 года
Эксперты отмечали снижение количества случаев разглашения личной информации в 2021 году, но это было временное явление. Некоторые эксперты отмечают, что уже в 2022 году из отечественных предприятий и организаций утекло свыше 300 млн записей. Другими словами, совокупное количество таких случаев было больше, чем численность населения нашей страны.
Если провести анализ доступных сведений об утечке персональных данных в России, можно сделать вывод, что все эти случаи имеют много общих признаков. Для наглядности систематизируем известную информацию о таких инцидентах в таблице:
Компания | Утекшие данные | Объем утечки | Результат |
Delivery Club | имя, номер телефона, адресные данные (e-mail, место доставки), что было заказано, стоимость, дата и время оформления, IP-адрес | 2,2 млн заказов | Нет сведений о виновных, фирма инициировала внутреннее расследование |
Geek Brains | имя, e-mail, номер телефона | Свыше 200 000 клиентов | Нет сведений о виновных, меры не приняты |
Kari (ритейл) | ФИО, номер телефона, e-mail, данные о дате рождения, месте проживания (населенный пункт и регион), данные бонусной карты | Свыше одного миллиона учетных записей | Нет сведений о виновных, меры не приняты |
Pikabu | Логин, e-mail, номер телефона | Свыше одного миллиона учетных записей | Нет сведений о виновных, меры не приняты |
«Гемотест» | ФИО, данные паспорта и даты рождения, о месте жительства, номер телефона, e-mail, результаты анализов | 31 млн записей с данными, 554 млн заказов | Нет сведений о виновных, на предприятие наложен штраф в размере 60 000 рублей |
«Метрополис» (московский ТРЦ) | телефон, e-mail, имя, число бонусов, ссылки на аккаунты социальных сетей | Примерно 87 000 покупателей | Нет сведений о виновных, меры не приняты |
Почта России | Код отслеживания отправления, ФИО (или название предприятия) отправителя/получателя, номер телефона получателя, населенные пункты отправителя/получателя, вес, статус, дата и время отправления | Данные о 10 млн отправлений | Нет сведений о виновных, меры не приняты |
РИА «Новости» | ФИО, логин, e-mail, ссылки на аккаунты социальных сетей | 665 600 аккаунтов, 2,2 млн заказов | Нет сведений о виновных, меры не приняты |
Ростелеком | ФИО, e-mail, телефон, IP-адрес, дата регистрации и последней активности | Свыше 713 000 клиентов системы «Умный дом» | Виновные неизвестны, на предприятие наложен штраф |
СДЭК | ID пользователя, номер телефона, ФИО, e-mail, почтовый адрес | Свыше 1,5 млрд строк информации (три утечки) | Виновные неизвестны |
Теле2 | ФИО, номер телефона, e-mail | Свыше семи миллионов телефонных номеров | Виновные неизвестны, фирма инициировала внутреннее расследование |
Туту.ру | фамилия, номер телефона, e-mail | 2,6 млн заявок, 2,29 млн номеров телефонов | Виновные неизвестны, меры не приняты |
Яндекс.Еда | фамилия, номер телефона, адрес доставки, комментарии к заказу, время заказа | Около 50 млн заказов, 6,9 млн номеров телефонов | Виновные неизвестны, на предприятие наложен штраф в размере 60 000 рублей, открыто уголовное делопроизводство |
Яндекс.Практикум | имя, фамилия, логин, e-mail, номер телефона, Яндекс ID | Свыше 300 000 пользователей | Виновные неизвестны, фирма инициировала внутреннее расследование |
Основные выводы об утечке персональных данных в России
-
В вышеперечисленных случаях утечки персональных данных в 2022 году виновные в инцидентах не были выявлены. Соответственно, они не понесли наказание.
-
Предприятия, на которых произошла крупная утечка персональных данных, открыто предпринимали шаги, чтобы «замять» инцидент. Лишь в одном случае зафиксировано обращение в органы правопорядка. Инициированные виновными компаниями внутренние расследования не были завершены либо их результаты скрыты от общественности. Меры для предотвращения утечек персональных данных в будущем не принимались. Это привело к тому, что в ряде компаний такие инциденты повторялись неоднократно.
-
Компании не понесли наказание. Штраф в размере 60 тысяч рублей за утечку персональных данных при оборотных операциях с шестизначными суммами выглядит неощутимым. При этом многие лица, пострадавшие в результате таких инцидентов, направили иски в судебные органы для компенсации понесенного ущерба. Позиция заявителей в данных случаях выглядит проигрышной, так как для возмещения убытков, нанесенных злоумышленниками, нужны доказательства прямой причинно-следственной зависимости между фактом утечки информации и мошенническими действиями. На практике доказать это невозможно, а размер компенсации морального ущерба, как правило, минимальный.
Как обезопасить персональные данные клиентов
Чтобы защитить личную информацию, не только операторы должны четко выполнять законодательно предусмотренные обязанности, но и субъектам её следует проявлять разумную осмотрительность. Первым необходимо строго соблюдать требования, указанные в правительственных постановлениях и нормативных актах ФСТЭК России. В этих документах определены параметры технических средств, обеспечивающих защиту персональных данных от утечек.
Основные требования к действиям операторов
-
Использование межсетевых экранов, которые усложняют доступ к информационным базам.
-
Внедрение системы проверки и подтверждения личности сотрудников, которым предоставлен доступ к данным.
-
Запись всех действий специалистов, занимающихся обработкой данных, в журналах учета. Это позволяет понять, какие именно действия они выполняли с информацией, которая защищена законодательно.
-
Применение антивирусных программ.
-
Внедрение криптографических методов шифрования информации в процессе ее хранения и передач.
-
Осуществление мероприятий и использование различных методов, направленных на предотвращение утечки данных через физические каналы (к примеру, путем фотографирования монитора ПК, записи аудиоинформации или перехвата электромагнитного излучения).
Источник: shutterstock.com
Описанные выше меры по предотвращению утечек информации являются достаточно дорогостоящими, но они уже реализованы в большинстве государственных организаций и крупных компаний.
Проблема остается на уровне малых предприятий, которые ведут деятельность по предоставлению услуг гражданам. Такие фирмы не всегда регистрируются как операторы, поэтому и не контролируются Роскомнадзором. Если они решатся на такой шаг, то внедрение системы технической защиты информации может оказаться для таких предприятий непосильной финансовой нагрузкой. В связи с этим гражданам следует быть бдительными при выборе поставщика услуг и в процессе работы с ним.
Читайте также!
Как проверить, скомпрометированы ли персональные данные
В этом разделе мы посмотрим на проблему с другой стороны. Что делать, если есть вероятность кражи вашей личной информации? Куда обращаться, чтобы выяснить, имела ли место утечка персональных данных? Для проверки можно воспользоваться ресурсом Have I been pwned. Консультант по веб-безопасности Трой Хант основал этот сервис еще в 2013 году. Платформа мониторит и собирает сведения об утечках данных. Здесь также есть возможность проверить, были ли нарушены ваши аккаунты. Для этого нужно ввести e-mail или номер телефона. Сайт сообщит, были ли ваши данные в известных утечках, а также укажет, кем была открыта информация.
Ресурс Have I Been Pwned считается наиболее авторитетным в своей области. Здесь хранятся данные о сотнях сайтов, подвергшихся взлому. Иногда Трою Ханту передают сведения о нарушениях органы правопорядка из США, Великобритании и других государств.
Источник: Jarretera / Shutterstock.com
На странице Notify Me пользователь может оставить e-mail, на который придет соответствующее сообщение, если данный аккаунт скомпрометирован.
На ресурс Have I been pwned может не попадать статистика по утечке персональных данных с отечественных сервисов. При этом для проверки российского аккаунта рекомендуем вносить именно e-mail, а не номер.
Менеджеры паролей, кроме обеспечения безопасности ваших данных, могут использоваться для проверки, была ли скомпрометирована конкретная «секретная комбинация». Такие возможности есть у ресурсов 1Password, Keeper и Dashlane.
Встроенные инструменты браузеров для проверки утечек персональных данных
-
Firefox Monitor позволит выяснить, были ли ваши личные данные слиты. Для активации этого инструмента нужно кликнуть по значку «щит» рядом с адресной строкой. Затем выберите «Панель состояния защиты» → «Следите за утечками данных» → «Подпишитесь на уведомления об утечках». Firefox Monitor использует информацию из базы данных Have I Been Pwned. Даже если вы используете другой браузер, то этот сервис будет все равно доступным. Раздел «Утечки» позволит выяснить, на каких онлайн-сервисах недавно произошли пропажи данных.
-
В Google Chrome также есть функция проверки уязвимостей. Для этого найдите в настройках браузера разделы «Конфиденциальность и безопасность» и «Проверка безопасности». Здесь вы можете провести анализ надежности паролей, убедиться в защищенности от опасных расширений и обновить ваш браузер до последней версии.
-
Safari предоставляет возможность контроля утечки паролей. Для активации этой функции перейдите в настройки браузера, выберите «Пароли». Проверьте, что установлена галочка напротив пункта «Выявлять украденные пароли». Если какой-либо из ваших паролей окажется скомпрометированным, придет соответствующее сообщение.
Читайте также!
Что делать, если ваши персональные данные похищены
-
Убедитесь в правдоподобности информации об утечке
В последнее время мошенники все чаще применяют схемы фишинга, отправляя сообщения о скомпрометированных данных получателя. Они манипулируют эмоциями потенциальной жертвы. Здесь важно оставаться спокойным и проанализировать ситуацию.
В большинстве случаев компании, возможно и не сразу, но сообщают о факте утечки персональных данных на корпоративном сайте или через рассылку. О таких случаях могут информировать надежные СМИ. Доверяйте только проверенным источникам.
-
Определите, какие сведения были скомпрометированы
Точность такой оценки влияет на последующие шаги. Если был раскрыт лишь e-mail или номер телефона, это не так страшно. Большей проблемой может стать утечка платежной информации или домашнего адреса.
В ситуации, когда слитая база данных не находится в открытом доступе (к примеру, ею торгуют на «черном рынке»), оцените возможные угрозы самостоятельно. При утечке персональных данных с «Яндекс. Еда» или СДЭК вы, скорее всего, можете вспомнить, какие сведения указывали при регистрации или заказе доставки.
Источник: shutterstock.com
Можно также проанализировать активность в аккаунтах, которые связаны с утечкой персональных данных. Получали ли вы странные сообщения на e-mail? Были ли попытки входа в аккаунт с использованием вашего телефонного номера? Возможно, кто-то хотел совершить транзакцию с вашего карточного счета? В случае утечки персональных данных, есть вероятность увидеть признаки такой активности в приложениях или через оповещения.
Важно также иметь представление об актуальности раскрытой информации. Чем «древнее» сведения в скомпрометированной базе, тем меньше риск, особенно если вы часто обновляете пароли.
-
Не следует вносить личные данные на сторонних ресурсах проверки
Есть примеры, когда после масштабного слива персональных данных в Сети публиковались раскрытые базы клиентов. Такая ситуация имела место с утечкой персональных данных из «Яндекса».
Многочисленные пользователи тут же поспешили проверить, нет ли их сведений в открытых списках. Они вводили в сервисах свои имена и контактные данные. Так поступать не следует. Злоумышленники могут использовать ситуацию для дополнения своих баз или для проверки свежести собранных данных.
-
Будьте готовы к атакам мошенников
Вслед за утечкой персональных данных вы можете стать мишенью для звонков или писем, выдаваемых за официальные сообщения из банка, правительственных структур и так далее.
В таких обстоятельствах следует придерживаться стандартных правил безопасности. Будьте настороже при любых неожиданных звонках, избегайте передачи дополнительной информации. Если назойливые звонки продолжаются, возможно, следует сменить номер.
Нередко злоумышленники предлагают удалить открытые персональные данные за вознаграждение. Не стоит доверять таким предложениям. Даже если они исполнят обещание, информация, возможно, уже была передана другим лицам или продана на подпольных площадках. Таким образом, вы рискуете потерять деньги и не обезопасите личные сведения.
-
Обновите все свои пароли (не только для аккаунтов, затронутых утечкой)
Возможно, вы используете одни и те же пароли для разных сервисов. Если это так, то рекомендуется заменить все повторяющиеся комбинации, а не ограничиваться одним аккаунтом.
Источник: shutterstock.com
Можно оценить уровень уникальности ваших паролей, например, используя специальный менеджер в Google Chrome.
-
Если утечка персональных данных затронула информацию, которую хранят банки, заблокируйте счета
После того как злоумышленники получили доступ к вашим финансовым данным, такое действие будет наиболее разумным. Отметим, если утечка персональной информации произошла внутри «Сбербанка» или другого банковского учреждения, вероятно, они уже предприняли соответствующие шаги. Подробности можно уточнить, обратившись к официальным источникам или в службу поддержки клиентов.
Как обезопасить себя от возможных утечек персональных данных
-
Придерживайтесь общепринятых правил безопасности
Большинство людей уже знакомо с этими мерами. Создавайте уникальные пароли для каждой учетной записи, обеспечивайте их надежность и сложность. Регулярно обновляйте используемые приложения и онлайн-сервисы, так как разработчики постоянно совершенствуют системы защиты и устраняют выявленные недочеты.
Активируйте двухфакторную идентификацию, где это возможно. Вместо проверки по телефонному номеру чаще используйте альтернативные методы (к примеру, Google Authenticator). Такие способы более надежны, поскольку сгенерированные коды хранятся на вашем устройстве, в то время как SMS-шифры могут быть перехвачены.
-
Защитите свой настоящий адрес электронной почты
E-mail попадает к злоумышленникам чаще всего, так как он обычно используется при авторизации вместо логина или для подписки на рассылку. Существует несколько методов защиты адреса личной электронной почты.
Наиболее простой вариант: создание отдельной почтовой учетной записи для взаимодействия с определенными ресурсами. Есть более продвинутое решение. Используйте анонимайзеры или временные е-mail с агрегаторов типа 10 Minute Mail (может работать через VPN) и TrashMail.
Источник: Sharaf Maksumov / Shutterstock.com
Для пользователей устройств Apple есть еще один способ – «Вход с Apple». При использовании этой опции данные пользователя передаются сайтам в виде имени и е-mail, который можно скрыть. Для этого генерируется случайный адрес, сообщения с которого будут переадресовываться на реальную почту. Ресурсы-анонимайзеры работают по похожей схеме.
-
Минимизируйте свой след в цифровом пространстве
Чтобы минимизировать риск утечки персональных данных, сокращайте количество передаваемых данных. Простейший метод – снизить объем личной информации, предоставляемой интернет-сервисам. Например, можно использовать псевдоним и не оставлять телефонный номер, если это не является обязательным. При заказе продуктов или других товаров указывайте не адрес места проживания, а ближайший пункт самовывоза или номер подъезда.
При использовании разных телефонных номеров и аккаунтов, не указывая часть личных сведений, вы приносите в жертву удобство использования экосистемы крупных фирм. В связи с этим следует определиться, что имеет большее значение конкретно для вас – комфорт, полученный от дополнительного сервиса, или минимизация угроз при масштабных утечках персональных данных.
-
Реальной гарантии от угроз утечки персональных данных не существует
Даже принимая все меры предосторожности, можно оказаться жертвой несанкционированного разглашения личных сведений. Это в большей мере зависит от действий компаний, которым вы доверяете свои персональные данные. Используя Интернет, практически нет шансов не засветиться. На некоторых ресурсах приходится регистрироваться под реальными ФИО, оставлять адрес проживания и действующий телефонный номер.
Важно понимать, что при утечке персональных данных ваша информация – это всего одна строка из нескольких миллионов похожих записей. Это серьезная проблема, но она может быть не такой страшной, особенно если вы не являетесь публичной личностью. Нужно оперативно реагировать на инцидент, оценивать важность утекших данных и предпринимать необходимые шаги для защиты от возможных последствий.
Часто задаваемые вопросы об утечке персональных данных
Главная угроза утечки персональных данных связана с тем, что для субъекта информации она часто остается незамеченной. Операторы не всегда сообщают о таких случаях. Даже если компания предает огласке факт утечки персональных данных, данная информация может не дойти до пользователей. Учитывая это обстоятельство, следует максимально внимательно относиться к защите собственных данных.
Кто находится в группе риска при разглашении личных сведений?
Пострадать от утраты или раскрытия важных персональных данных могут следующие категории людей:
-
владельцы банковских карт;
-
граждане, которые получают медицинское обслуживание;
-
люди, обладающие пенсионными накоплениями;
-
владельцы банковских вкладов;
-
собственники недвижимых объектов.
Представленный выше список нельзя считать полным, так как в группе риска находятся и многие другие граждане. Учитывая такую ситуацию, государство разработало систему защиты личной информации, которая базируется на Федеральном законе «О защите персональных данных». Ее технические аспекты регламентируются правительством, ФСТЭК и ФСБ.
Что делать, если обработку личной информации осуществляют третьи лица?
Согласно Федеральному закону № 152, оператор вправе передавать обработку персональных данных другой организации. Эта норма предусмотрена в пункте 3 статьи 6. В этом случае оператор должен четко среди прочих требований установить условия защиты передаваемых персональных данных, включая обязательное уведомление о любых инцидентах, связанных с незаконной или непреднамеренной передачей, распространением сведений, которые могут нарушить права субъектов.
Как предусматривает Федеральный Закон № 152 (пункт 3.1 статьи 21), уведомления об утечке персональных данных в Роскомнадзор должен осуществлять непосредственно оператор.
Нормы ответственности по данному вопросу регулируются пунктом 5 статьи 6 указанного федерального закона. В нем отмечено, что в случае передачи персональных данных для обработки другим лицам, за их действия перед лицом субъекта отвечает оператор.
Существует ли возможность полного удаления личной информации из Интернета?
Зампредседателя Госдумы от ЛДПР Борис Чернышов сообщил о создании законопроекта, регулирующего вопросы утечки персональных данных. В нем предусматривается возможность права граждан на удаление своей личной информации из коммерческих баз данных. Эти предложения связаны с изменениями, которые могут быть внесены в Федеральный закон № 152 по регулированию ответственности за утечку персональных данных. Они планируются к рассмотрению на парламентской сессии, которая пройдет осенью 2023 года.
На необходимость разработки данного законопроекта, по мнению вице-спикера, указывает ежегодное увеличение количества случаев утечки персональных данных из баз данных частных компаний. Чернышов отметил, что в настоящее время у граждан почти нет эффективных инструментов для отзыва своего согласия на обработку и хранение своей личной информации.
В таких условиях необходимо, чтобы государство выступало посредником между операторами и субъектами персональных данных. Эту функцию следует передать Минцифры. В свою очередь это министерство нужно наделить правом требовать от негосударственных операторов персональных данных по соответствующему обращению граждан удалять личную информацию и самостоятельно обеспечивать такие меры.