Что может быть проще, чем поставить галочку под пунктом «Принять условия» в пользовательском соглашении и получить доступ к госуслугам, мобильному банку, доставке продуктов, заказам такси и прочим благам цивилизации? Но если оператор персональных данных передаст их третьим лицам, то к комфортному сервису могут прибавиться побочные эффекты. В их числе — навязчивая контекстная реклама, звонки кредитных менеджеров с «выгодными предложениями», а подчас и микрокредиты, взятые мошенниками на ваше имя. Объясняем, зачем компании собирают персональные данные, чем опасны утечки таких баз и как не оставлять в Сети цифровых следов.
Что относится к персональным данным
Порядок сбора и обработки личной информации утвержден законом № 152-ФЗ «О персональных данных». В нем нет четкого определения того, что считается персональными данными (ПД) — это любые сведения, так или иначе позволяющие идентифицировать личность.
Компания, запрашивающая такие данные, выступает оператором ПД и несет ответственность за их сбор, обработку и уничтожение.
«В 2024 году Россия вошла в пятерку лидеров среди стран по количеству утекших данных: оно достигло более 1,5 млрд записей, — отмечает ведущий эксперт по сетевым угрозам, веб-разработчик компании "Код Безопасности" Константин Горбунов. — Рекорд по объему утечек показала сфера интернет-торговли, откуда мошенники активно пытались украсть логины и пароли пользователей, телефон, email, адреса, данные банковских карт, сканы документов».
Обычно пользователь сам оставляет свои ПД в Сети. Например, при покупке авиабилетов. К таким данным можно отнести:
-
Ф. И. О.;
-
контактную информацию: адрес, номера телефонов, email, почтовые адреса;
-
идентификационные номера: номера паспорта, ИНН, СНИЛС;
-
финансовую информацию: банковские реквизиты, номера карт, сведения о доходах, расходах, кредитах;
-
медицинскую информацию: данные о здоровье и медицинскую историю;
-
место работы, должность, образование;
- фото лица и прочую биометрию: запись голоса, отпечатки пальцев.
Также приватной информацией считаются cookie — небольшие фрагменты данных, которые сохраняет браузер при посещении того или иного сайта. Они записывают учетные данные посетителя — номер телефона, город, язык, сделанные покупки, логин и пароль. Благодаря cookie пользователю не требуется заново заходить в свой аккаунт — авторизация происходит автоматически. В свою очередь, бизнес получает сведения о пользовательских предпочтениях и оптимизирует под них контент, добавляя нужные опции и убирая неактуальные.
Но cookie могут перехватить злоумышленники. Они взламывают сессии, не защищенные зашифрованным протоколом HTTPS, чтобы завладеть чужим аккаунтом. Последствия печальны — от рассылки писем с просьбой перевести деньги до несанкционированных покупок за ваш счет.
Владельцы сайтов, собирающих ПД, обязаны уведомлять посетителей об использовании файлов cookie, а также знакомить их с политикой конфиденциальности и согласием на обработку персональных данных. В этих двух документах должно быть указано, какие именно сведения собирает сайт и для каких целей (предоставление определенных услуг, рассылка или реклама), как обрабатывает и хранит их, при каких обстоятельствах может передавать персональные данные кому-либо еще, каким образом можно скорректировать или отозвать ПД.
За нарушение этих требований Роскомнадзор карает оператора ПД штрафом до 6 млн рублей, а за повторное нарушение — до 12 млн.
Как компании распоряжаются персональными данными
После того как пользователь дает согласие на обработку и передачу данных, его ПД поступают на сервер оператора, а оттуда — третьим лицам. К примеру, маркетплейс направляет ПД клиента в банк для проведения оплаты товара и затем — в сервис доставки, служба каршеринга — в страховую компанию, работодатель — в Социальный фонд, а банки при оформлении кредита — коллекторским агентствам.
«В настоящее время у пользователей нет механизма защиты от обмена данными, многие сервисы и вовсе предоставляют свои услуги бесплатно в обмен на пользование и свободную продажу статистических данных, — полагает руководитель Центра цифровой экспертизы Роскачества Сергей Кузьменко. — Об этом они открыто пишут в пользовательских соглашениях. У нас есть выбор, часто мнимый, но все же: или пользоваться услугами сервиса, или попытаться найти альтернативу. Правда, у многих сервисов просто нет альтернатив».
Подобные экосистемы заметно упрощают жизнь, если работают в рамках закона.
«Легально это делают компании в рамках маркетинговых активностей, когда вы сами ставите галочки согласия, или же они собирают данные из открытых источников и потом передают заинтересованным организациям», — поясняет управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ Евгений Царев.
К примеру, супермаркеты активно раздают покупателям свои карты лояльности, а взамен получают их имена, телефоны, адреса электронной почты и даты рождения (имениннику — скидка). Они агрегируют все данные о продажах у себя, анализируют предпочтения покупателей и продают контрагентам возможность показа целевой рекламы. По сути, действуют как те же cookie, но еще и офлайн.
«Ответственные компании используют данные в строгом соответствии с законодательством для создания цифровых продуктов и услуг, улучшения пользовательского опыта и персонализации сервисов, — отмечает исполнительный директор Ассоциации больших данных (АБД) Алексей Нейман. — Это дает пользователям доступ к более релевантным предложениям, делает их повседневную жизнь удобнее и даже помогает сэкономить деньги».
По словам нашего собеседника, основными игроками в этой области являются банки, телеком- и интернет-компании, крупные ретейлеры, которые рассматривают данные как стратегический актив, создающий реальную пользу для людей.
«Мы видим, как зрелый бизнес активно использует данные для повышения качества жизни граждан и достижения социального и экономического эффекта», — говорит Алексей Нейман. По оценке ассоциации, объем рынка уже составляет около 319 млрд рублей, что подтверждает успешное внедрение технологий, основанных на обработке больших данных.
Но подобные технологии доступны в первую очередь крупному бизнесу. У операторов помельче ПД клиентов зачастую просто «пылятся на полке».
«Многие компании собирают данные "про запас" и часто даже не понимают, зачем им нужен весь этот объем информации», — отмечает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.
Вопрос — в контуре их дальнейшего распространения.
Почему важна защита персональных данных
«Чем более активный образ жизни вы ведете — в бизнесе или социуме, чем больше у вас контактов, взаимодействий с различными организациями, чем больше у вас имущества, тем больше у вас цифровых следов, — напоминает Евгений Царев. — Среднестатистический человек буквально "светится" данными. А утечки приводят к тому, что по многим гражданам можно найти такие сведения, как Ф. И. О., номера телефонов, электронная почта, адреса проживания, данные о работе, счетах, об автомобиле и прочее».
В идеале следует оставлять свои ПД лишь добросовестным операторам. Один из критериев такой компании — возможность гибкой настройки управления своими данными. К примеру, когда пользователя не просто уведомляют о том, что ПД могут быть переданы третьим лицам, но и перечисляют компании, которым данные будут переданы, чтобы клиент сам выбрал те из них, которым он доверяет.
«Персональные данные — это ценность, и их стоит передавать только тем организациям, которые могут гарантировать их защиту и предоставить взамен уникальный и персонализированный сервис, — подчеркивает Алексей Нейман из Ассоциации больших данных. — Зрелые компании активно работают над созданием безопасной и удобной среды для своих пользователей. Крупные игроки рынка внедряют передовые технологии кибербезопасности и строят доверительные отношения с клиентами».
ПД россиян защищены на весьма достойном уровне, по последним стандартам на серверах, аттестованных Федеральной службой по техническому и экспортному контролю (ФСТЭК), полагает Сергей Кузьменко из Роскачества. На его взгляд, утечки данных «иногда случаются», но все они связаны с активностью хакерских сообществ, которые стремятся пробиться через выставленную защиту.
«У крупных операторов ПД информация о потребителях защищена надежно, и основная причина утечек — собственные ошибки юзеров, — убежден веб-разработчик Константин Горбунов. — Среди основных — слабые пароли и подверженность методам социальной инженерии».
Но у среднего и малого бизнеса защита ПД может быть не столь совершенной. В Positive Technologies обращают внимание на то, что во многих организациях она до сих пор остается формальной.
«Цели обработки не определены, базы данных могут храниться без шифрования, доступ к ним есть у слишком большого числа сотрудников, а утечки происходят регулярно, — говорит Алексей Лукацкий. — За последние годы количество таких инцидентов растет, поэтому россияне относятся к просьбе "оставить свои данные" настороженно».
Народ уже устал от бесконечных утечек и спам-звонков, подтверждает управляющий RTM Group Евгений Царев. По его словам, без крайней необходимости передавать сведения о себе куда-либо не стоит.
«До недавнего времени утечки были обычным делом в компании любого масштаба, не говоря о мелких, — отмечает Евгений Царев. — Не успели вы совершить покупку в интернет-магазине или оформить бонусную карту в супермаркете, а вам уже звонят. И только сейчас вводятся серьезные штрафы за утечки, которые могут остановить эту практику».
Кто наживается на персональных данных
Если ответственный бизнес использует ПД клиентов легально, то злоумышленники — наоборот.
«Существует целый нелегальный рынок торговли персональными данными», — говорит член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. По его словам, основные участники серого рынка — мошенники, которые скупают и продают базы данных, содержащие информацию о клиентах банков, медицинских учреждений, интернет-магазинов и других организаций.
«Базы данных продаются не только на даркнет-ресурсах, но и в открытом доступе, через мессенджеры и Telegram-боты, — добавляет Алексей Лукацкий из Positive Technologies. — Зарабатывают на этом бывшие или действующие сотрудники компаний, имеющих доступ к большим массивам данных, сотрудники кол-центров, технический персонал, а также посредники, которые собирают базы для последующей перепродажи».
Недобросовестные сотрудники сотовых операторов или банков отправляют базы данных клиентов в даркнет или преступным сообществам и получают за это «копеечку», подтверждает Евгений Царев из RTM Group.
«Есть специализированные ресурсы, где можно купить и продать конфиденциальную информацию VIP-персон для организации таргетированных атак, — уточняет Евгений Царев. — С такими базами работают злоумышленники, составляя портрет потенциальной жертвы перед коммуникацией, затем сообщая ей дату рождения, сведения о детях, недвижимости и так далее — для убедительности».
По оценке депутата Госдумы Антона Немкина, такие данные используются не только для таргетированных атак, но и для спама, фишинга и оформления кредитов на имя жертвы.
После получения персональных данных пользователей перед киберпреступниками открывается сразу несколько направлений для незаконного заработка, уточняет Константин Горбунов:
-
шантаж компании-жертвы, требование выкупа за неразглашение информации. В данном случае мошенники рассчитывают на то, что компания не будет рисковать своей репутацией и заплатит требуемую сумму;
- продажа дампов данных (так называют резервные копии ПД клиентов крупных компаний, сделанные во время хакерской атаки) в даркнете. Спрос на эти услуги у злоумышленников остается актуальным, поскольку более половины россиян используют одинаковые пароли для нескольких сервисов. Таким образом, покупатель получает базу для потенциальных взломов учетных данных пользователей или же для дальнейшей работы по ней с применением методов социальной инженерии — спам-звонки, email-рассылки, сообщения в мессенджерах.
«Кроме того, в последнее время набирает популярность такое движение, как хактивизм — форма протеста, с помощью которой хакеры пытаются привлечь внимание общественности к каким-либо политическим проблемам», — добавляет Константин Горбунов из «Кода Безопасности».
Загвоздка в том, что для привлечения оператора ПД к ответственности за «слив» персональных данных этот факт следует доказать. А проследить всю цепочку удается далеко не всегда.
«Защитить свои нарушенные права в случае утечки практически невозможно, — сетует бизнес-консультант Алексей Лукацкий. — Регуляторы часто отнекиваются от таких претензий, судебные процессы могут длиться годами, а получаемая от них польза ничтожна и измеряется несколькими тысячами рублей компенсации».
Как снизить риск утечки персональных данных
Многое зависит от умения самих граждан соблюдать цифровую гигиену. Сервисы, если они легитимные, заинтересованы в том, чтобы пользовательские данные были «в целости и сохранности», ведь это напрямую влияет на их репутацию, убеждены в компании «Код Безопасности». Однако от попыток взломов никто не застрахован. Поэтому эксперт по сетевым угрозам Константин Горбунов рекомендует:
-
использовать сложные и уникальные пароли для каждого сервиса (от 13 знаков, с использованием букв разного регистра, цифр и спецсимволов);
-
пользоваться дополнительным email для регистраций и подписок;
-
завести дополнительную дебетовую банковскую карту для онлайн-покупок, на которой будет минимальная сумма;
- избегать отправки распространенной информации (сканы документов, адреса, информация о родственниках, ссылки на социальные сети) там, где эти поля являются опциональными.
«Следует внимательно читать пользовательские соглашения и политику конфиденциальности, обращая внимание на пункты о передаче данных третьим лицам, — добавляет депутат Антон Немкин. — Кроме того, стоит периодически проверять доступные отчеты кредитных бюро и настраивать уведомления о новых кредитах или займах, оформленных на ваше имя».
В компании Positive Technologies советуют использовать функции обеспечения приватности, встроенные в современные браузеры.
«Полезно мониторить свои данные в сервисах проверки утечек, а их немало, чтобы понимать, когда и откуда информация утекла, и вовремя менять пароли или блокировать банковские карты, — говорит Алексей Лукацкий. — Ряд операторов мобильной связи предлагают такие возможности своим абонентам. В браузеры Firefox, Safari или Chrome тоже встроен функционал проверки утечек паролей, адресов email и других персональных данных».
Что касается файлов cookie, их можно контролировать через настройки браузера, в разделе «Расширенные настройки сайтов». Если выбрать пункт «Запрещены», то сайты не будут запоминать ваши данные. Выбор опции «Заблокировать сторонние cookie» приведет к тому, что администраторы сайтов и их партнеры не смогут отслеживать историю вашей работы с ресурсом. А «Ограничение сторонних cookie» разрешит сбор сведений о вашей активности только тем сайтам, на которых вы уже бывали. Но все эти действия способны привести к тому, что прежние настройки не сохранятся, заказы исчезнут из корзины и каждый раз придется авторизоваться заново.
Рекомендуется избегать сайтов, которые пестрят рекламными баннерами, а также ресурсов с незащищенным подключением HTTP. Взаимодействуйте только с сайтами с протоколом HTTPS — с этих букв начинается адресная строка. Кроме того, не авторизуйтесь на сайтах и не делайте онлайн-покупки через общественные точки доступа Wi-Fi.
Надо ли удалять персональные данные
По закону у пользователей есть право отозвать свои персональные данные и прекратить их обработку. Подчас возникает желание удалить свои ПД «отовсюду». В каких случаях это оправданно, а в каких — нет?
«Удалить большинство цифровых следов не представляется возможным, — полагает управляющий RTM Group Евгений Царев. — Всегда что-то остается. Когда речь идет о VIP-персонах, там целые команды работают над тем, чтобы они не оставляли такие следы. Потому что это гораздо проще, чем пытаться убрать их».
Обрести полную анонимность в Сети — нетривиальная задача.
«Отзывая данные у одной организации, вы не отзываете их у всей той цепочки, по которой они были переданы для обработки и хранения, — поясняет глава Центра цифровой экспертизы Роскачества Сергей Кузьменко. — Если вам важно, чтобы данные были удалены отовсюду, следует запастись терпением и планомерно запрашивать удаление данных у всех партнеров. В большинстве случаев отзыв ПД и их удаление неоправданны, ведь мы живем в эпоху развитых технологий, социальных медиа и связей».
Лучше сосредоточиться на цифровой грамотности и гигиене, контролировать те сервисы, которыми пользуетесь, не скачивать подозрительный и откровенно вредоносный контент, добавляет аналитик.
«Всю информацию стоит пропускать через призму недоверия и развивать в себе контролируемую паранойю. Тем самым вы будете более осознанно себя вести в разговоре с мошенниками, и они не возымеют эффекта на вас», — убежден Сергей Кузьменко.
При «зачистке» ПД эксперты советуют соблюдать баланс.
«Удаление ПД из Сети оправданно, если речь идет о сервисах, которыми вы больше не пользуетесь или которым не доверяете, — подтверждает Алексей Лукацкий. — Чем меньше лишних данных в открытом доступе, тем ниже риск. Но не стоит удалять данные у провайдеров государственных услуг, в банках, у мобильных операторов, поставщиков услуг электронной почты или мессенджеров — это платформы для повседневной жизни, и при возникновении проблем восстановить доступ к ним будет крайне сложно».
Что касается онлайн-банков и государственных порталов, то не стоит спешить с таким радикальным решением, как удаление учетной записи, так как это, пожалуй, неотъемлемые инструменты в эпоху цифровых технологий, предупреждает веб-разработчик Константин Горбунов. По его словам, достаточно следить за тем, на каких устройствах был выполнен вход, проверять актуальность авторизационных данных (email, телефон), а также защитить свою учетную запись с помощью двухфакторной авторизации и настроить уведомления о новых входах в нее, в том числе со сторонних устройств.
Как будут штрафовать за утечку персональных данных
Государство планомерно повышает ответственность операторов ПД за «слив» конфиденциальной информации.
«В ноябре прошлого года мы приняли законопроект, который предусматривает наказание в виде оборотных штрафов за утечки персональных данных», — говорит член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
Речь идет о законе № 420-ФЗ, который вводит новые штрафы в сфере обработки персональных данных. Базовые штрафы для граждан будут увеличены с 2–6 тыс. до 10–15 тыс. рублей, для организаций — с 60–100 тыс. до 300–500 тыс. рублей. Также повышены штрафы за повторное нарушение. Для организаций предусмотрены штрафы до 15 млн рублей за массовую утечку данных. Введена ответственность за непредоставление госуслуг в связи с отказом заявителя от идентификации с использованием биометрических ПД, а также за отказ в заключении, исполнении, изменении или расторжении договора с потребителем по той же причине. Закон вступит в силу 30 мая 2025 года.
Вместе с тем в декабре 2024 года вступил в силу еще один закон — № 421-ФЗ. Разъяснения по поводу новых правил дает Минцифры РФ. Для компаний, которые допустили повторную утечку ПД, предусмотрен оборотный штраф в размере от 1 до 3% годовой выручки: минимальная сумма взыскания составит 20 млн рублей, максимальная — 500 млн. А киберпреступникам, торгующим такой информацией, грозят тюремные сроки вплоть до 10 лет лишения свободы.
«Закон внесет существенные изменения в общую ситуацию с "утекающими" в Сеть данными граждан, — уверен Антон Немкин. — Однако много работы еще впереди — и в этом году она будет усилена».
