Кто владеет информацией, тот владеет миром.

Натан Ротшильд

Высказывание Ротшильда относится к началу XIX века, и с каждым днем становится все актуальнее. Ценными являются любые сведения, даже личные. Речь идет о персональных данных (ПДн) — любой информации, относящейся к определенному физическому лицу (субъекту персональных данных).

Персональные данные включают фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другое.

Нежелательное распространение персональных данных может привести к огромным финансовым и репутационным потерям. Поэтому ответственные люди и целые компании не жалеют ни времени, ни усилий,  ни денег для их защиты. А те, кто пожалел, попадают в новостные ленты под заголовком «Очередной провал в сфере информационной безопасности».

Пришла беда, откуда не ждали…

2018 год практически только начался, но уже успел отметиться десятками скандалов по поводу утечки персональных данных.  Мы решили познакомить вас с несколькими наиболее громкими и знаковыми событиями. После тщательного анализа, мы разделили их на три условных группы.

К первой группе относятся случаи хакерских атак. Так в самом начале января, хакеры взломали (www.vesti.ru/doc.html?id=2973274) сайт управления юстиции Одесской области Украины. В результате в сети в свободном доступе оказались сотни гигабайт документов украинского минюста. Однако, хакеры атакуют не только сайты. В США один из отелей сообщил (telegra.ph/Utechka-dannyh-kreditnyh-kart-v-Kentukki-02-17) о заражении вирусной программой своих POS-терминалов, что привело к утечке данных (именах и номерах банковских карт клиентов отеля).

 Вторая группа утечек связана с ненадлежащей защитой баз данных или отсутствием их защиты вообще. Так некоторое время назад Western Union призналась (telegra.ph/Utechka-dannyh-iz-oblachnogo-hranilishcha-Western-Union-02-14), что на одном из облачных хранилищ можно было без авторизации получить конфиденциальную информацию о клиентах компании. Похожим образом «опростоволосилась» (telegra.ph/Utechka-dannyh-120-tys-klientov-sluzhby-dostavki-FedEx-iz-oblachnogo-hranilishcha-Amazon-02-16) и служба доставки FedEx.

 Третья группа – это случаи, когда в народ ушли данные, хранившиеся на бумаге. Например, в США одна из больниц рассылала (www.infowatch.ru/analytics/leaks_monitoring/19730) клиентам письма с прозрачным окошком. Таким большим, что любой почтальон мог прочитать информацию о ВИЧ-инфекции получателя. Теперь компания заплатит по искам 17 миллионов долларов. Но российские медики пошли еще дальше в халатном отношении к документации. В районной больнице Пермского края в туалете общего пользования вместо туалетной бумаги лежала (tass.ru/obschestvo/4934113) пачка медицинских документов, содержащих персональные данные пациентов.

Что — почём?

Персональные данные пользуются немалым спросом на черном рынке. Злоумышленники заинтересованы в краже и продаже этой информации коллекторам, продавцам услуг или другим лицам, проявляющим недобрый интерес.

За примером далеко ходить не надо, в прошлом году несколько жителей Пензы разместили (telegra.ph/CHetvero-zhitelej-Penzy-arestovany-za-prodazhu-personalnyh-dannyh-abonentov-sotovyh-operatorov-02-10) в интернете объявление о продаже персональных данных абонентов сотовой связи и информации об их телефонных звонках. За четыре месяца подельники получили 17 заказов стоимостью от 500 до 4000 рублей каждый.

При этом некоторые исследования показывают (www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-personalnye-dannye.html), что стоимость информации зависит от её характера. Так, например, персональные данные американцев (полное имя, адрес, дата рождения, телефон, электронная почта и номер карточки социального страхования) могут стоить от $0.5 до $1 за одну запись. А аккаунты PayPal с балансом до $10000 продаются по цене $130-$850 за один аккаунт.

Что говорит закон?

В  РФ заботиться об информационной безопасности обязывает Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных». Компании, организации и физические лица, которые работают с такой информацией, являются операторами персональных данных и обязаны выполнять ряд требований по их защите. Лицам, нарушившим требования указанного закона, может грозить не только гражданско-правовая и дисциплинарная ответственность, но также административная и даже уголовная. При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тысяч рублей.

Но это всё «цветочки» по сравнению с GDPR (General Data Protection Regulation) регламентом Евросоюза, вступающем в силу в мае 2018… Согласно GDPR, компании должны уведомлять регулирующие органы (а, зачастую, и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения инцидента. В противном случае грозят немалые штрафы — 20 миллионов евро или 4% годового дохода.

Бережёного бог бережёт

Мы считаем, что защита своих персональных данных – это святая обязанность каждого. Как же сохранить их в тайне?

• Во-первых, установите надежный антивирус. Например, Kaspersky (хотя бы бесплатный Kaspersky Free). Антивирус должен работать на всех ваших устройствах: от ПК до телефона.
• Во-вторых, защищайте пароли. Не давайте их никому, даже родственникам и друзьям. Не используйте одинаковые пароли для разных сервисов. И, конечно, делайте пароли длинными и сложными, а также регулярно меняйте их!  
• В-третьих, проверяйте адрес сайта, перед тем как начать с ним работать. Злоумышленники часто делают фальшивые сайты невероятно похожими на оригиналы, чтобы завладеть вашими учётными записями и паролями (это называется «фишинг»). По невнимательности можно не заметить лишний символ в адресе сайта и авторизоваться. Это предоставит злоумышленнику доступ к вашим персональным данным на настоящем сайте. Кроме того, обращайте внимание на признак проверенного сертификата в адресной строке (в виде зелёного замка или щита).
  Значок, перечёркнутый красным, может означать подмену сертификата или окончание срока его деятельности. Это должно, как минимум, заставить вас ещё раз перепроверить адрес сайта.
• И, наконец,  не публикуйте свои персональные данные сами. Желание похвастаться новыми водительскими правами, удачной фотографией в паспорте или билетами может вам дорого обойтись.

Что же касается информационной безопасности компаний, то, прежде всего, им следует сосредоточиться на выполнении мероприятий указанных в Федеральном законе № 152-ФЗ.

А именно:

Определить какие из хранимых и обрабатываемых данных являются персональными данными (ПДн).

Назначить ответственных за организацию обработки ПДн. Создать комиссию по защите ПДн.

Разработать документы:

• положение об обработке ПДн;
• перечень обрабатываемых ПДн;
• согласия на обработку ПДн;
• уведомления об обработке ПДн физического лица;
• уведомления об устранении нарушений, допущенных при обработке ПДн;
• уведомления об уничтожении ПДн физического лица;
• договор о неразглашении ПДн;
• журнал обращений субъектов ПДн;
• запрос субъекта ПДн на доступ к своим ПДн;
• уведомление об обработке ПДн.

Ввести в действие Положение об обработке ПДн, проконтролировать ознакомление с ним сотрудников (под подпись).

Определить список лиц, допущенных к работе с ПДн, заключить с ними договор о неразглашении ПДн, установить правила доступа к ПДн. Определить помещения для хранения ПДн, ограничить к ним доступ для посторонних.

Внедрить технические средства защиты ПДн: от несанкционированного доступа, антивирусные средства, межсетевые экраны, криптографические средства. Все они должны быть сертифицированы (проверить можно на сайте ФСТЭК). Создать документы:

• перечень средств защиты ПДн;
• журнал учета и хранения носителей ПДн;
• акт установки средств защиты ПДн.

Создать формы «акт списания и уничтожения носителей ПДн», «акт уничтожения документов с ПДн», контролировать корректное уничтожение носителей ПДн (нельзя просто выкинуть).

Создание и подписание «Заключение о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».

Отправить в Роскомнадзор уведомление о том, что предприятие выступает в качестве оператора ПДн.

Контролировать ознакомление с положением об обработке ПДн, получение согласия на обработку ПДн. Заключать с сотрудниками, работающими с ПДН, договор о неразглашении. Вовремя обновлять технические средства защиты ПДн.

Дальше — больше?

Экономика всё больше перетекает в область интернета, и проблема безопасности персональных данных становится актуальней с каждым днём. Используя наши персональные данные, мы получаем доступ к различным сервисам. Среди них — банки, государственные услуги, интернет-магазины. Злоумышленник, получив доступ к таким сервисам от нашего имени, может нанести нам финансовые потери. Кстати, аналитики отмечают, что хакеры все меньше атакуют банковские счета, и все больше – криптовалютные кошельки.  Во-первых, последние менее защищены, а во-вторых, киберпреступники часто используют криптовалюту для взаиморасчетов.

Не меньше стоит беспокоиться и о сохранности таких чувствительных категорий информации, как здоровье или интимная жизнь. Получив эту информацию, злоумышленник, может, и не проникнет на ваши счета, но вполне сможет вас шантажировать, угрожая её распространением. Кроме того, скоро банки внедрят систему удалённой идентификации по биометрическим показателям, и это создаст новый сектор чёрного рынка по торговле персональными данными.