Персональные данные: вопросы на стыке этики, права и технологий

Персональные данные – это новый ресурс. Не такой ценный, как вода или нефть, но уже имеющий свою цену и пользующийся устойчивым спросом по всему миру. Помимо легального использования ПДн процветает и черный рынок, где украденные данные пользователей нелегально продаются для использования в разных целях.

Сейчас проблемы конфиденциальности информации стоят особенно остро: ряд громких происшествий вызвал масштабные обсуждения как в обществе, так и на уровне государства. Буквально в онлайн-режиме мы можем наблюдать формирование новой правоприменительной практики относительно компаний, допустивших утечку данных.

Сценарий утечек

Многие профильные специалисты акцентируют внимание на том, что далеко не каждая утечка – это результат работы хакеров.

Павел Яшин

Руководитель службы безопасности iiii Tech (Форайз)

Согласно статистике, более 79% утечек произошло в результате действий сотрудников компаний, как преднамеренных, так и случайных. Из них 72% – действия рядовых сотрудников, 5% – действия топ-менеджмента. Только 19% утечек вызвано действиями злоумышленников. По характеру действий 60% всех инцидентов – вызваны умышленными действиями, 40% – ошибка или невнимательность.

Выделяют 5 распространенных сценариев утечки:

1. Кража физического носителя информации(ноутбук, флешка и т.п.)
2. Случайная публикация в WEB
3. Умышленная кража, обычно сотрудником имеющим легальный доступ к информации
4. Утечка на бумажных носителях(забыли распечатку в кафе, например, выбросили пакет документов в мусор, без предварительного измельчения, и т.п.)
5. Взлом внешним атакующим.

Исходя из статистики, главная опасность для сотрудника информационной безопасности – это не атакующий систему хакер, а сотрудник компании, который не владеет базовыми навыками «цифровой гигиены».

Александр Щетинин

Генеральный директор Xello

Утечки данных могут происходить как внутри организации, сотрудниками компании, так и в результате кибератак, организованными профессиональными группировками.

В первом случае выявить внутреннюю утечку гораздо сложнее, поскольку сотрудники могут обладать привилегированным доступом к внутренним системам. И все их действия при попытке извлечь конфиденциальные данные будут выглядеть для систем защиты вполне легальными. Подобный сценарий может произойти в любой компании. Внутренним злоумышленником может стать любой сотрудник по самым различным причинам: обида на руководство, неграмотность в использовании систем или же личная выгода.

В случае же профессиональных группировок, как правило, их действия направлены на конкретную организацию, отрасль или страну. Такие атаки принято называть атаками типа advanced persistent threat, а преступные группировки, которые стоят за ними, — APT-группировками.

Правовая оценка

Основной нормативный документ, определяющий понятие персональных данных и алгоритм работы с ними – это ФЗ 152. Статьи 9 и 6 определяют условия обработки ПДн. Закон не лишен недостатков.

В частности, категоризация ПДн не позволяет в полной мере понять, что к чему относится в конкретной ситуации. Например, общедоступные персональные данные – это любые данные, который человек обнародовал самостоятельно (дал на это согласие) на неопределенный круг лиц.

При этом, данные из соцсетей, на первый взгляд, как раз и являются классическим примером таких данных. Однако, решение суда по делу №А40-5250/17 четко показывает, что данные из социальных сетей общедоступными ПДн не считаются, ведь пользователь не дал письменного согласия на их обнародование.

Помимо периодически возникающих судебных прений относительно видов персональных данных, есть и второй момент правоприменительной практики, который вызывает сложности – это серьезность наказания для компаний, допустивших утечку. Например, штраф в условные 60-100 тысяч рублей для такого ИТ-гиганта, как Яндекс – вряд ли можно назвать весомым.

Можно было бы говорить о репутационных потерях сервиса. В конкретно этом случае они вряд ли имеют вес, особенно на фоне обсуждения покупки Яндексом сервиса Деливери Клаб, о котором пишет РБК. В случае успешной сделки, компания станет монополистом в области доставки еды, и никакие репутационные потери не будут иметь на нее влияние.

Обсуждение законодательных инициатив

Необходимость контроля обращения с персональными данными понимают и в государственных структурах. После ряда громких кейсов с украденными данными, в том числе от сервиса Яндекс.Еда, на законодательном уровне идет обсуждение дополнительных мер контроля. Например, обсуждается инициатива о введении оборотных штрафов в 1% для компаний, которые допустили утечку, и 3% – если компания попыталась скрыть данные об утечке.

11 июля «Коммерсантъ» опубликовал информацию о том, что ведомство может смягчить наказание. Например, полностью освободить от ответственности при первичной краже данных и сократить штраф до менее чем одного процента от оборота.

Александр Петровский

ББР Банк (АО), Заместитель начальника управления информационной безопасности

Крадутся весь перечень персональных данных, до которых удастся «дотянуться». В зависимости от качественного состава и общего объема украденного злоумышленники:

1. Предлагают пострадавшей компании заплатить за неразглашение данных или шантаж публикацией этих данных
2. Создают или обогащают профили граждан в нелегальных базах, которые перепродают криминальным лицам, например, нелегальным «колл-центрам».

Илья Петров

Директор департамента продвижения собственных продуктов ГК Innostage:

Полученные данные чаще всего используют для мошенничества. Зная их, злоумышленнику проще втереться в доверие к человеку, получить недостающую информацию и добраться до финансов.

Среди причин для слива персональных данных можно отметить желание заработать на продаже данных или же, как мы видим по последним громким утечкам, хакеры стремятся навредить репутации известных брендов и уронить доверие клиентов к ним. Что, в конечном итоге, тоже может обернуться финансовыми потерями.

Эта информация получила неоднозначную оценку в профессиональной среде. С одной стороны, любой специалист по безопасности осознает, что полностью избежать утечек данных практически невозможно.

Потому что:

• Безопасность ПО – это условное утверждение. Фактически, «безопасного кода» не существует, любая цифровая система априори уязвима в перспективе.
• Нивелировать человеческий фактор невозможно. Даже самая «строгая» организация внутренней защиты не может исключить вероятность утечки по вине сотрудника.

С другой стороны – в просачивающейся информации о введении ответственности совершенно не говорится о критериях оценки ущерба. Например, утечка от Яндекс.Еды, когда были опубликованы данные о покупках, аккаунтах и адресах, несопоставима по степени чувствительности с результатами медицинских анализов, которые похитили у Гемотеста.

Филипп Щиров

Директор и сооснователь сервиса облачной автоматизации бизнеса Альтап

В будущем, я считаю, нужно ввести не просто оборотные штрафы, а нормативные акты, по которым можно привлечь компанию к ответственности за утечку персональных данных. Нужны постановления, на основании которых пострадавший человек может получить компенсацию от компании. Степень ответственности за утечку при этом должна определяться тем, какие риски несут украденные персональные данные. В этом году, например, произошли две крупные утечки: в сеть попали персональные данные пользователей Яндекс.Еды и клиентов Гемотеста. В первом случае произошла утечка контактных данных, а во втором — более чувствительной информации: результатов анализов. Однако ответственность компании несут одинаковую — штраф. Яндекс, исходя из оборота компании, штраф получит больше, хотя чувствительность информации, по сравнению данными Гемотеста, меньше.

Поведение компаний

На данный момент компаниям выгоднее молчать о случившейся утечке. И это главная проблема, которую должен решить правовой регулятор. Каким путем это будет сделано: с помощью ужесточения законодательства или создания эффективной системы взаимодействия между интересантами – это открытый вопрос.

Сергей Тимошенко

Коммерческий директор EveryTag:

К сожалению, в наши дни новостями об утечках данных в компаниях уже никого не удивишь. В первую очередь, недовольство общества в такой ситуации, вызывают попытки скрыть неприятную информацию. По статистике, 70% организаций предпочитают вовсе не уведомлять клиентов об утечках их данных, надеясь на «авось». Но, когда они оказываются рассекреченными, шквал негатива в их сторону возрастает в несколько раз. Это естественно, ведь в случае клиентов они не только оказываются обманутыми, но и подвергаются реальной опасности, ведь большинство их персональных данных, вплоть до серии паспорта и номера машины, появляются в свободном доступе, где любой может воспользоваться ими в собственных целях.

Превентивные меры

Утечек данных избежать невозможно, но можно серьезно сократить риски, если вести профилактическую работу.

Константин Корсаков

Главный архитектор RooX

Меры на будущее по предотвращению повторения инцидентов. В сегменте аутентификации и авторизации необходимо обратить внимание на следующие моменты:

1. Проверить, при необходимости ужесточить и контролировать исполнение регламентов работы с учетными записями сотрудников. Необходимо своевременно удалять учетные записи уволившихся людей; проводить регулярный аудит актуальности доступов.
2. Проверить и контролировать политики по работе с технологическими учетными записями: использовать разные учетные записи, конфигурации и ключи шифрования в тестовых средах и в средах промышленной эксплуатации; планово и при подозрении — менять пароли системных учетных записей и ключей шифрования.
3. Настроить для всех сотрудников обязательную двухфакторную авторизацию при доступе в служебные системы. Это убережет некоторых от несанкционированного использования их учетной записи.
4. Хранить данные в дата-центрах, которые сертифицированы по ФЗ-152, используют шифрование данных и реализуют комплекс мер по обеспечению безопасности (физической, сетевой, ОС и так далее).
5. Внедрять комплексные программы по развитию безопасности приложений (Application Security). Это большая работа, в России этот сегмент кибербезопасности в отличие от безопасности сетей еще недостаточно развит.

Защита строится на трех базовых действиях:

• Мониторинг. Легитимности доступа, безопасности паролей и других метрик.
• Обучение. Речь, в первую очередь, о разъяснительной работе с сотрудниками.
• Актуализация. В первую очередь – знаний специалиста по безопасности о новых уязвимостях, патчах и трендах в ИБ.

Для современной компании важно не только поддерживать высокий уровень информационной безопасности, но и быть готовыми нивелировать последствия в случае неудачи. Как в техническом аспекте, так и в правовом, и в социальном.

Константин Степанов

Исполнительный директор российской IT-компании HFLabs

На форумах в даркнете самые востребованные данные – паспортные. Их покупают для регистрации электронных кошельков или оформления микрофинансовых займов. Поэтому если ваши паспортные данные оказались в открытом доступе, стоит задуматься о смене документов. Адреса в сочетании с ФИО и номером телефона – тоже чувствительная информация для определенного круга людей. Адреса электронной почты могут использоваться для рассылки писем, но эта проблема для пользователей не так существенна – можно завести новый ящик или поставить фильтр на входящие письма.