Главная > Блоги > Как остановить кражу персональных данных?

Как остановить кражу персональных данных?

Чтобы персональные данные попали к мошенникам или другим злоумышленникам, не обязательно хранить сканы документов на «облаке» или быть «взломанным» хакерами. Достаточно стать пациентом районной поликлиники или вступить в садоводческое товарищество. В какой сфере персональным данным угрожает наибольшая опасность, кто отвечает за их сохранность и как добиться соблюдения норм закона?

В России защитой данных больше других обеспокоен бизнес. Недавнее исследование показало: крупные отечественные компании оценивают ущерб от одного инцидента в среднем в 11 млн рублей. Именно коммерческие структуры стимулируют развитие и внедрение современных «оборонных» средств, таких как DLP или SIEM-систем. Но в повседневной жизни ситуация иная, проблема ложится на плечи обычного человека.

Стоит только вспомнить, сколько раз и где приходится оставлять информацию о месте жительства, паспортные данные, информацию о месте работы, и часто ли возникает вопрос, куда потом попадают эти данные, кто имеет к ним доступ. Уровень доверия наших граждан к школам, больницам и другим социальным службам зачастую слишком велик, чтобы задаваться этими вопросами.

На деле, сведения о россиянах хранятся и обрабатываются отнюдь не только в цифровом виде. Кроме того, зачастую доступ к ним имеют те, кто не слишком беспокоится о сохранности чужой конфиденциальной информации. Просто из-за незнания и непонимания серьезности вопроса. И подобные проблемы чаще всего возникают в социальной сфере, ведь делиться персональными данными в паспортном столе или больнице граждан обязывает закон.

Работа с ошибками

Наряду со здравоохранением в пятерку наиболее уязвимых отраслей входит и образование. В сентябре 2016 года широкую огласку получила история в Татарстане. На официальном республиканском портале «Электронное образование» и на личных сайтах учителей «всплыли» данные из социальных паспортов классов, в том числе домашние адреса, телефоны, сведения о здоровье учеников и материальном положений их семей.

В этом инциденте ярко проявились все слабые места защиты персональных данных в социальной сфере: и технические ошибки, и компьютерная неграмотность, и простая небрежность. Например, педагог, которая выложила информацию о своем классе на странице, созданной для участия в конкурсе «Учитель года», объяснила действия желанием «просто наполнить сайт». Удалить данные, опубликованные с нарушением закона, учительница не может – она забыла логин и пароль. Но что говорить об учителях, если в качестве образца заполнения социального паспорта на портале «Электронное образование», за который отвечает министерство, использовался документ с реальными данными.

Масштаб проблемы вскрылся во время прокурорской проверки: аналогичные нарушения обнаружились в шести районах республики. Прокуратура возбудила административные дела в отношении директоров школ, посчитав их ответственными за утечку.

Анализы с данными

Сомнительное первенство по количеству утечек персональных данных принадлежит здравоохранению. В глобальной базе Breach Level Index за первое полугодие 2016 года насчитывается 263 инцидента, в которых скомпрометированными оказались более 30 млн записей о пациентах. В западных странах с развитой системой медицинского страхования данные о клиентах клиник представляют особую ценность для злоумышленников, поэтому механизмы защиты информации строго регламентированы. За несоблюдение правил строго наказывают и допустивших утечку сотрудников, и больницы. И если на Западе утечки данных чаще всего происходят из-за внешних атак, то в России наиболее частая причина – халатное отношение.

Красноречивым примером служит инцидент, который произошел в Пермском крае в ноябре 2016 года. В больнице поселка Всеволодо-Вильва расшифровку кардиограммы приклеили на «черновик», где были указаны фамилии, имена, даты рождения, домашние адреса и паспортные данные местных жителей, обращавшихся за медицинской помощью. Пациентка выложила фото документа в социальной сети, сопроводив ироничной благодарностью «самым ответственным работникам».

Проблески осознания

Доказать причастность к несанкционированному распространению персональных данных удается не всегда, ведь в государственных учреждениях редко устанавливают DLP-системы, которые помогают предотвратить инциденты и снижают уровень риска. Но даже когда дело доходит до суда, наказание редко бывает серьезным.

В мае 2016 года клиент обратился в «Омскую энергосбытовую компанию» с вопросом о перерасчете платы за электричество и вместе с официальным ответом получил список всех жильцов многоквартирного дома. В документе содержались не только фамилии с инициалами, адреса, сведения о количестве жильцов в каждой квартире, но и номера лицевых счетов. Суд признал, что компания и начальник управления по работе с физическими лицами нарушили установленную законом процедуру. Однако наказание оказалось минимальным: судья вынес предупреждение.

В Хабаровском крае в сентябре суд оштрафовал садовое товарищество и его председателя на 5500 рублей за несоблюдение правил сбора, хранения, использования и распространения сведений о гражданах. Нарушение заключалось в том, что на доске объявлений вывесили списки должников с номерами участков, инициалами владельцев и сумм задолженностей.

Опасные связи

Конфиденциальная информация порой оказывается в открытом доступе самым неожиданным образом. Пользователь Facebook из Читы опубликовал фотографии с городской свалки, где нашел несколько коробок с клиентскими документами компании МТС. Среди бумаг – копии паспортов, заявления, чеки. Качество снимков позволяет разобрать суммы платежей, номера телефонов, адреса, фамилии и даты рождения клиентов. МТС – не единственная российская компания, которую уличили в небрежном обращении с документами, где содержатся персональные данные. Ранее подобные нарушения допускали, например, Сбербанк и ВТБ-24.

Почему так происходит?

Частные компании и государственные учреждения в первую очередь заботятся о сохранности информации, критически важной для их жизнедеятельности. О чужих данных никто не беспокоится, пока нет угрозы финансовому благополучию и репутации.

Бюрократический аппарат настроен на защищу стратегически важных отраслей: военно-промышленного комплекса, нефтедобывающий предприятий, финансового сектора – всего того, что имеет отношения к государственной тайне и национальной безопасности.

Представители школы, больниц или паспортных столов не задумываются о защите «чувствительной» персональной информации, ведь в отличие от бизнеса, они не теряют деньги напрямую. Если утечка случилась неумышленно, виновный сотрудник, как правило, получает дисциплинарное взыскание. Увольнение и крупные штрафы, как наказание за ненадлежащее обращение с персональными данными, наиболее вероятны в случаях, когда речь идет об умышленном нарушении или материальной выгоде от мошенничества.

Что делать?

Если вы обнаружили свои персональные данные в интернете, прежде всего свяжитесь с администрацией ресурса, где опубликована информация, или владельцем аккаунта, если речь о социальных сетях. Подкрепите требования ссылками на нормы закона «О персональных данных», который запрещает использовать информацию без разрешения субъекта данных. Предупредите, что в случае отказа вы праве обратиться в суд согласно статье 24 закона.

Чтобы удалить личные данные из результатов поиска, обратитесь в техническую поддержку поискового сервиса. Например, у «Яндекса» есть специальная форма «Сообщить о нарушении». Однако компания предупреждает: поисковая машина индексирует страницы, которые принадлежат третьим лицам, и не отвечает за их содержание. Помочь пользователю «Яндекс» готов только в том случае, если данные удалили, но они по-прежнему видны в поисковой выдаче.

Когда невозможно установить источник распространения персональных данных или связаться с ним напрямую, обратитесь в надзорные органы: прокурату или Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Этот механизм работает: в октябре 2016 года Роскомнадзор решил проверить телефонный онлайн-справочник после того, как получил две жалобы. Проверка показала, что сайт «предоставил неограниченному кругу лиц доступ к персональным данным граждан без их согласия», и в ведомстве намерены добиться блокировки ресурса в России за нарушение законодательства о персональных данных.

В июле 2016 года федеральному закону «О персональных данных» исполнилось 10 лет, но это не единственная возможность защитить конфиденциальные сведения с помощью законодательства. Привлечь к ответственности за разглашение персональной информации позволяют отдельные статьи Кодекса об административных правонарушениях, Уголовного и Трудового кодекса. В зависимости от обстоятельств такие действия могут быть квалифицированы как нарушение неприкосновенности частной жизни или неправомерный доступ к компьютерной информации (статьи 137 и 272 Уголовного кодекса соответственно), нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (статья 13.11. Кодекса об административных правонарушениях).

Если утечка случилась по вине работодателя, возможно применить нормы статьи 90 Трудового кодекса «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника». Также можно добиваться привлечения лиц, виновных в незаконном распространении персональных данных, к гражданско-правовой ответственности на основании статей 150-152 Гражданского кодекса.

Пока сотрудники государственных учреждений не несут серьезного наказания и, как следствие, не чувствуют личной ответственности за сохранность информации о третьих лицах, защита персональных данных остается делом самих граждан. Закон дает необходимые для этого инструменты. И чем чаще ими будут пользоваться, чтобы привлечь виновных к ответу, тем больше шансов, что количество утечек по невнимательности и неосторожности в социальной сфере начнет сокращаться.

Алексей Парфентьев,
ведущий аналитик компании «СёрчИнформ».