Расскажите немного о себе или Как маркетинг стал главной угрозой приватности

Обычные пользователи часто переживают, что их конфиденциальная информация может быть украдена и использована против них. Например, киберпреступники взломают базы данных или спецслужбы прочитают личную переписку.

При этом многие сами оставляют внушительный цифровой след в сети и делятся чувствительной информацией, размещая публикации в социальных сетях, заполняя различные формы и анкеты и давая согласие на обработку данных. Самые безобидные последствия такого беспечного поведения — спам-звонки и надоедливая таргетированная реклама. В статье рассмотрим, какие данные, кто, как и зачем собирает в сети о вас.

Кто собирает и зачем

В современном мире информация, в том числе данные о пользователях — востребованный ресурс, который можно монетизировать. Речь здесь идет не только о номере банковской карты и CVC-коде, а о вполне безобидных с виду данных: возрасте и семейном положении пользователя, его интересах, месте жительства, любимых сайтах и покупках в интернете. Эта информация помогает частным компаниям продвигать свои услуги и товары, а мошенникам успешнее проворачивать свои преступные схемы.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

С точки зрения пользователя это просто плата за использование бесплатных ресурсов. Нужно понимать, что все бесплатные интернет-ресурсы оплачивают свое существование за счет рекламы, а реклама в свою очередь работает только тогда, когда достигает своей аудитории. Без веб-аналитики будет непонятно, что именно стоит показать тому или иному пользователю и воспринимать это стоит как неизбежное зло и спутник технического прогресса. В теории эти данные можно украсть и тогда злоумышленникам станут чуть лучше понятные ваши интересы, и опять же в теории эти сведения можно использовать для фишинговой атаки. Но прямую угрозу от такой утечки довольно сложно представить.

Информацию о пользователях могут собирать различные субъекты, включая:

1. Браузеры и сайты. При помощи cookie-файлов, локальных хранилищ, аналитических инструментов и расширений собирают данные для улучшения взаимодействия с пользователем, запоминания истории просмотров и персонализации рекламы.
2. Государственные органы. Могут собирать данные для различных целей, включая обеспечение национальной безопасности, борьбу с преступностью, защиту прав и свобод граждан, а также для выполнения своих функций и обязанностей. Для получения данных о пользователях госорганы могут запрашивать информацию у провайдеров, использовать мониторинг социальных сетей и других платформ, а также анализ больших данных.
3. Частные компании. Для предоставления услуг, анализа предпочтений и предложения таргетированной рекламы.
4. Злоумышленники. Используют не только легальные способы для получения информации, в том числе и фишинговые сайты. С целью мошенничества, шантажа или продажи данных третьим лицам.

Цели сбора данных разнообразны: от удобства использования сервисов до мошенничества и нарушения приватности. Важно осознавать, какие данные передаются и как они используются, чтобы минимизировать риски и защитить свою личную информацию.

Как собирают

Из открытых источников компании и злоумышленники могут собрать достаточно внушительный объем информации. Например, из профилей в соцсетях, форм обратной связи на сайтах и резюме на профессиональных платформах могут стать известны ваши имя и фамилия, дата рождения, адрес электронной почты, номер телефона, почтовый адрес, образование и профессия. Кроме этого, сервисы аналитики собирают данные об интересах и предпочтениях на основе лайков, комментариев, подписок в социальных сетях, поисковых запросов в интернете, истории покупок, определяют демографические данные и анализируют поведение в интернете.

Для сбора информации о пользователях IT-сервисы используют различные инструменты, в том числе:

1. Веб-аналитику (например, Google Analytics или Яндекс.Метрика), которая предоставляет данные о поведении пользователей на сайте.
2. CRM-системы, позволяющие централизованно хранить и анализировать данные о клиентах.
3. Социальные сети, дающие возможность изучать предпочтения и потребности пользователей.
4. Отзывы и обратная связь, включая оценки и комментарии в социальных сетях и на специализированных платформах.
5. Опросы и анкетирование, позволяющие напрямую общаться с клиентами и получать актуальную информацию об их предпочтениях.

Эти инструменты помогают компаниям лучше понимать свою аудиторию, адаптировать продукты и услуги под ее потребности, а также повышать эффективность маркетинговых кампаний.

Риски и угрозы

Предполагается, что собранная при помощи маркетинговых инструментов информация используется для создания персонализированных рекламных предложений, улучшения качества обслуживания, анализа рынка и разработки новых продуктов и услуг. Обычно IT-компании вполне легально собирают и хранят эту информацию, запрашивая у пользователей соглашение на обработку и использование данных. Но существует ряд рисков, с которыми могут столкнуться пользователи.

Максим Большаков

Директор по развитию направления кибербезопасности EdgeЦентр

Сбор данных пользователями для рекламных и аналитических целей является распространенной практикой. При соблюдении законов и этических норм, это может быть достаточно безопасно. Но, существуют определенные риски:

• Конфиденциальность: Даже если данные анонимизированы, всегда есть риск их деанонимизации, что может привести к раскрытию личной информации.
• Безопасность данных: Компании обязаны защищать собранные данные от утечек и кибератак. Нарушение безопасности может иметь серьезные последствия для пользователей.
• Целевое использование: Пользователи могут не знать, как именно будут использованы их данные, что может вызывать беспокойство.

Один из вероятных рисков — банальная утечка данных. Например, 1 марта 2022 года служба информационной безопасности Яндекс Еды выявила утечку информации и сообщила о ней на своем сайте. В интернет были выложены телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Хотя утечка не коснулась банковских, платежных данных, а также логинов и паролей, ситуация вызвала большую обеспокоенность среди клиентов.

Компания может передать или продать данные третьим лицам, а также сообщить информацию спецслужбам по запросу. Например, в 2018 Telegram согласился передавать спецслужбам данные пользователей, которых суд назовет подозреваемыми в терроризме.

Пользователи могут потерять контроль над тем, как их личные данные используются и распространяются. Это может привести к увеличению количества спама и нежелательных звонков, а также к более серьезным последствиям: злоумышленники могут использовать личные данные для создания поддельных аккаунтов, получения доступа к финансовым счетам или совершения других мошеннических действий, например, вымогательству.

Безопасность личных данных

Компании, собирающие данные о пользователях в рамках закона, обязаны обеспечивать их конфиденциальность и безопасность. Это предусмотрено Федеральным законом «О персональных данных» №152-ФЗ в РФ и общим регламентом защиты персональных данных (GDPR) Европейского союза в Европе.

Виктор Бондаренко

Генеральный директор компании «БСС-Безопасность»

Мы бы рекомендовали пользователям, не имеющим достаточных знаний в области безопасного интернета, или просто наивным людям, передавать свои персональные данные только на государственные информационные ресурсы и в организации банковского сектора и только в том объеме, который требуется для полноценной регистрации и реализации основных функций порталов. Эти ресурсы подлежат обязательной защите по требованиям регуляторов и утечки информации из этих ресурсов есть недопустимые события. «Путешествуя» в социальных сетях помните, за Вами постоянно наблюдают (кто-то из любопытства, а кто-то с корыстной целью). Старайтесь минимизировать объем введенной личной информации. А это, в свою очередь, минимизирует риск получения навязчивой рекламы либо хищения важной личной информации.

Если компания нарушит требования федерального закона, то может быть оштрафована. А человек, чьи персональные данные были разглашены имеет право подать в суд и потребовать возмещения убытков и компенсации морального вреда.

Заключение и рекомендации

Эксперты по информационной безопасности призывают пользователей соблюдать цифровую гигиену, чтобы снизить риски, связанные со сбором личных данных. Пользователям рекомендуется внимательно изучать политику конфиденциальности сайтов и приложений, которые они используют, и ограничивать предоставление личных данных только тем, кому они доверяют.

Андрей Кузнецов

Специалист по продвижению продукта компании «АйТи Бастион»

Рассказал о самых доступных действиях по корректировке публичности в сети:

• Попросите оператора персональных данных удалить информацию, сперва по-хорошему. Посмотрите информацию о себе в поисковиках, и если ваши ФИО или другие данные легко ищутся, а вам это не нравится, то напишите письмо администратору ресурса с просьбой удалить. Если реакции не последует, угрожайте жалобой в Роскомнадзор (её можно составить онлайн). Проверено на личном опыте – упоминания надзорной службы мотивирует админа.
• Для взаимодействия с многообразием брендов онлайн используйте альтернативные контактные данные. Должна быть хотя бы почта, в адресе которой нет вашей фамилии, и которая не совпадает с вашим основным ящиком на Госуслугах. Еще лучше, если есть отдельный телефонный номер для регистраций.
• Стоит помнить, что основную часть нашего цифрового следа мы оставляем сами – публикуя посты и комментарии в соцсетях. Никакие настройки приватности не гарантируют, что ваш контент не станет публичным. Поэтому не разбрасывайтесь личными данными.
• Ограничьте информацию о своем местоположении. В первую очередь это сократит рекламный поток. Поставьте запрет в браузере, а на смартфоне или другом девайсе проверьте, какие приложения имеют доступ к геолокации, и отключите лишние.
• И не участвуйте в онлайн-опросах за подарки. Скидка на следующую покупку за участие и ввод своих данных может совсем скоро обернуться шквалом новых спам-звонков или сообщений.

Легальный сбор данных в интернете требует от операторов соблюдения строгих правил и норм, установленных законодательством о защите персональных данных. Компании, собирающие данные, должны разрабатывать и публиковать политики конфиденциальности, спрашивать согласие пользователей на обработку их данных, а также соблюдать ограничения на использование и передачу этих данных. Пользователи, в свою очередь, имеют право знать, как их данные используются, и контролировать их обработку.