Персональные данные - новая нефть
Все носятся с персональными данными. Почему они стали такими ценными и важными?
Несколько громких эпизодов краж данных россиян произошло за последнее время, что заставило общество задаться вопросами: что такого важного в персональных данных? как российское законодательство защищает их и как не стать жертвой мошенников?
3 октября «Коммерсантъ» сообщил, что данные 60 миллионов клиентов Сбербанка выставили на продажу на специализированном форуме. Как заявили в компании DeviceLock, произошедшая утечка может быть самой крупной в российском банковском секторе: в базе содержатся данные реальных людей, имеющих карточные счета в Сбербанке.
Форум, где данные клиентов Сбербанка выставили на продажу, был заблокирован Роскомнадзором. В Сбербанке инициировали внутреннее расследование, по результатам которого подтвердили: утечка действительно была, но не в заявленных «Коммерсантом» объёмах. По версии банка, в руки третьих лиц утекли данные о пяти тысячах клиентов, а не 60 миллионов. Утечка произошла по вине одного из сотрудников Сбербанка - он продал учётные записи по картам банка одной из преступных групп. В Сбербанке заверили, что значительное количество учётных записей устарело, никто из клиентов не пострадал.
Другой эпизод. 7 октября по СМИ прошла тревожная информация: в открытый доступ попала база данных клиентов оператора связи «Билайн». База содержит 8,7 миллиона записей с информацией о клиентах, подключивших домашний интернет от «Билайн». Это имена и фамилии клиентов, их мобильные и домашние телефоны.
В «Билайне» оправдались, что утечку они зафиксировали ещё два года назад и все виновные понесли наказание. Также, как и Сбербанк, «Билайн» предпочёл объявить, что большая часть информации на сегодняшний день устарела.
Действительно ли Сбербанк и «Билайн» были правдивы в своих официальных заявлениях по инцидентам - доподлинно не известно. Но паника была посеяна немалая: теперь все боятся новых сливов клиентских баз.
Что такое «персональные данные» и как они защищены законодательством?
Федеральный закон «О персональных данных» даёт нам следующее определение:
«Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Указом президента от 6 марта 1997 года персональные данные включены в перечень сведений конфиденциального характера.
Согласно уже упомянутому закону «О персональных данных», конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование. Оператор и третьи лица, получившие доступ к персональным данным, обязаны не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Центробанк раскрыл масштабы и подробности утечек
На фоне инцидентов вокруг данных клиентов Сбербанка и «Билайна» слово взял Центробанк - и ошарашил всех.
Валютно-кредитный регулятор сообщил, что за последние полгода его специалисты обнаружили 13 тысяч объявлений о покупке и продаже персональных данных.
Соответствующие сведения содержатся в ежегодном докладе ФинЦЕРТа (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России). Данные ФинЦЕРТа регулятор обнародовал впервые.
«Мошенникам достаточно владеть информацией о фамилии, имени и отчестве, а также о номере телефона физического лица», - говорится в докладе.
Источниками утечек называются банковские работники (в меньшей степени), а также операторы обработки персональных данных (в большей степени).
ФинЦЕРТ выделил три канала утечек банковских данных:
- Сайты интернет-магазинов. Покупая товар, пользователи оставляют свои данные, которые уходят к мошенникам, если в ресурс встроен вредоносный код или если сами владельцы сайта продадут данные.
- Торговые интернет-площадки. Мошенники автоматически продвигают фейковые объявления о покупке или продаже товаров. Цель - в переписке и личном разговоре выудить персональные данные. Даже имея осколки информации о человеке, мошенники могут дополнить картину, сопоставив данные с помощью баз налогоплательщиков или опираясь на информацию из социальных сетей.
- Покупка данных с помощью Telegram-ботов. Специалисты Центробанка, к сожалению, не описывают подробно этот канал утечки, указывая лишь, что данный способ доступен «широкому кругу лиц за определенную плату».
Как действуют мошенники?
С одной стороны, персональными данными россиян интересуются компании, которые хотят продать товар или услугу с помощью навязчивых рекламных рассылок и холодных звонков.
С другой, и это гораздо более опасно, персональные данные нужны мошенникам, чтобы с их помощью похитить денежные средства жертв. Для подобных действий мошенников и термин специальный придумали - «социальная инженерия».
Социальная инженерия - это совокупность методов мошенничества, в основе которых лежит использование слабостей человеческого фактора. Это введение в заблуждение за счёт имеющейся информации с целью дальнейшего выяснения у клиента данных, необходимых для хищения его средств: номера банковской карты, CVV-кода, одноразовых паролей.
К методам социальной инженерии относятся звонки якобы от сотрудников банка; завлечение обманным путём на сайт злоумышленников, где у жертвы выманиваются его данные (логины, пароли, данные карты и так далее); рассылка ложных сообщений с вредоносными ссылками. То есть в социальной инженерии объект атаки - человек и его психология, а не технические устройства.
Как защититься?
Предупреждён - значит, вооружён.
Увы, от утечки персональных данных никто не застрахован: как видим, даже крупные и солидные компании сталкиваются с кражей клиентских баз. И это уже забота корпораций и компаний - обеспечить надёжную сохранность и конфиденциальность персональных данных россиян.
Но, зная о существующей угрозе и методологии мошенников, вы сможете зарубить на корню все попытки злоумышленников манипулировать персональными данными для того, чтобы украсть ваши деньги.
