Утечки персональных данных (ПДн)

Аналитические возможности
DLP-системы

Современный человек сообщает персональные данные каждый день: предоставляет личную информацию охраннику при входе в бизнес-центр, продавцу для получения карты постоянного покупателя, при оформлении рассрочки в банке или заказе товаров в интернете. А спустя несколько дней его атакуют рассылки с предложениями посетить салон-парикмахерскую или приобрести по акции билеты на концерт и в театр. Где спамеры берут контактные данные? Чаще всего – получают клиентские базы данных от беспринципных сотрудников.

Центр аналитики компании PwC провел исследование о безопасности персональных данных в мире, в том числе и России. Результаты исследования таковы:

  • Наибольший рост количества утечек персональных данных – почти на 50% –зафиксирован в 2014 году. Годом позже прирост составил 40%.
  • По информации, полученной от десяти тысяч менеджеров высшего звена из 127 государств, всего за 2015 год произошло 60 миллионов утечек данных.
  • Совокупный ущерб от утечек защищенных личных данных составил два с половиной миллиона долларов.
  • Большинство утечек произошло по вине сотрудников: действующих (35%) и уволившихся (30%).
  • Еще один виновник утечек – подрядчики, по вине которых произошло 22% хищений данных;
  • Чтобы защитить персональные данные, компании в 2017 году потратили пять миллионов долларов США.
  • В России персональные данные – самый незащищенный вид информации, за два года количество утечек персональных данных выросло с 65% до 81%.

Примеры утечек личной информации

Начиная с 2007 года, мировое сообщество отмечает 28 января Международный день защиты персональных данных. Это повод подчеркнуть, как важно защищать персональные данные, когда ни частные компании, ни государственные учреждения в любой стране мира не застрахованы от утечек конфиденциальной информации. Вот лишь несколько случаев утечки персональных данных…

...в аптеке

Интернет-аптека в Великобритании с сертификатом государственной системы здравоохранения (NHS) незаконно продала персональные данные минимум 20 тыс. покупателей без их согласия. Данные трех тысяч пенсионеров получили лотерейные мошенники. Неправомерные действия обошлись аптеке в 130 тыс. фунтов штрафа.

...в тюрьме

Бывший тюремный надзиратель сама оказалась за решеткой за разглашение данных о Джордже Майкле. За вождение состоянии наркотического опьянения в 2010 году певца приговорили к восьми месяцам ареста, последнюю часть срока он отбывал в тюрьме Highpoint. С легкой руки надзирателя журналисты получили данные о певце и наилучший ракурс для фото. За продажу эксклюзивной информации таблоиду The Sun сотрудница тюрьмы заработала две тысячи фунтов – и 12 месяцев тюремного заключения.

…в банке

Копии паспортов и банковские договоры оказались в мусорном банке в самом центре Нижнего Новгорода. Папку с документами, где содержались персональные данные клиентов банка, рядом с филиалом банка нашел житель города. Информацию о ненадлежащем хранении данных клиентов сообщили местные СМИ, в распоряжении которых попала видеозапись о находке.

…в управляющей компании

Управляющей компании в Улан-Удэ под названием «Уют-Плюс» пришлось заплатить административный штраф за размещение в подъездах подведомственных домов списков жильцов, у которых образовалась задолженность. Действия организации противоречили нормам статьи 7 федерального закона «О персональных данных», в соответствии с которым сотрудники организаций, получившие доступ к личным данным граждан, не вправе распространять или передавать данные третьим лицам без разрешения владельцев данных.

…в интернет-компании

Компанию Amazon обвинили в том, что онлайн-гиганта систематически передавал персональные данные пользователей. Раскрыл утечку блогер и бывший клиент сервиса, который убежден, что передачей данных злоумышленникам занималась служба поддержки пользователей Amazon. Клиент обратил внимание, что с его аккаунта ведется обмен сообщениями со службой поддержки, хотя сам он туда не обращался. Пользователь выяснил, что злоумышленники получили от Amazon его адрес и телефон. Полученных данных было бы достаточно мошенникам, чтобы получить копию кредитной карты жертвы. Тогда пользователь обратился в службу поддержки и попросить установить предостерегающий комментарий для его учетной записи на сайте магазина. Однако в компании не выполнили требование клиента. Тем временем обращения от его имени продолжились, поэтому пользователь удалил Amazon-аккаунт.

…на игровом ресурсе

Около шести миллионов персональных данных пользователей интернет-ресурса Nexus Mods оказались в открытом доступе из-за трех авторов сайта, которые установили простые пароли. Воспользовавшись слабо защищенными аккаунтами, злоумышленники загрузили на Nexus Mods вредоносную программу, при помощи которой похитили данные пользователей. В украденной базе данных содержались сведения об электронных адресах, хешах и паролях. После выявления инцидента служба поддержки обратилась к пользователям с просьбой сменить пароли.

…в страховой фирме

Американская страховая компания Centene лишилась шести жестких дисков с персональными данных 950 тыс. граждан. Причем администрация Centene не сообщила даже, были ли данные на дисках зашифрованы. Похищенные базы данных содержали сведения об именах, датах рождения, адресах проживания, номерах страховых полисов, паспортные данные и информацию о здоровье. Качество и тип пропавших данных позволяют мошенникам использовать их различных целей, например, для шантажа и фишинговых атак.

…в торговой сети

Хакеры сумели подобрать логины с паролями и получили данные пяти тысяч клиентов торговой сети Neiman Marcus Group. Сообщив об утечке, администрация компании рекомендовала клиентам не использовать идентичные учетные записи на других интернет-сайтах. Имено такой привычкой воспользовались злоумышленники: перебирали полученные на других ресурсах e-mail и пароли. В итоге хакеры похитили персональные данные и финансовые сведения пользователей: имена, адреса, контактные телефоны, последние четыре цифры номера банковских карт. 70 аккаунтов мошенники использовали для совершения покупок. Однако покупки удалось отменить и вернуть деньги пострадавшим клиентам.

…на торговой площадке

Из-за действий китайских хакеров оказались скомпрометированы 20 миллионов активных аккаунтов клиентов ресурса Taobao, собственником которого является корпорация Alibaba Group. Злоумышленники использовали вскрытые аккаунты для фальшивых покупок и перепродавали их другим мошенникам. Администрации Alibaba Group удалось обнаружить утечку на начальном этапе и предотвратить хищение данных. Пользователей попросили изменить пароли, злоумышленников задержали.

…в финансовых фирмах

Данные банковских карт и расчетных счетов продавались по 1,67 фунта на сайте Bestvalid.cc. Вместе с финансовой информацией, собранной из разных источников, злоумышленники при покупке передают сведения о секретных вопросах, что открывает дополнительные возможности для махинаций от имени жертвы. Объявление о продаже оставалось на сайте полгода, однако никто из правоохранителей не заинтересовался офертой. Ежегодно экономика Великобритании теряет порядка 27 миллиардов фунтов из-за подобных инцидентов.

Как защититься от утечки персональных данных?

Государственная дума приняла в первом чтении изменения в КоАП и ФЗ «О персональных данных», инициированные сенатором Валентиной Матвиенко еще пять лет назад. Принятие поправок обяжет служащих, которые обрабатывают личную информацию, уведомлять специализированную службу обо всех инцидентах, связанных с утечкой персональных данных. Алгоритм процедуры информирования находится в стадии разработки. Законодатели хотят согласовать механизм с операторами данных.

Предполагается, что поправки позволят владельцам данных дистанционно давать либо отзывать согласие на обработку личных данных, а операторам – идентифицировать владельца.

Если инициатива наконец получит одобрение, государственные органы станут вправе обрабатывать персональные данные без согласия граждан для предоставления установленного перечня услуг. У операторов появиться возможность передавать личные данные, когда условия пользовательского соглашения или регламент работы гарантируют их адекватную защиту. Таким образом, поправки узаконят, например, функционирование облачных сервисов.

К концу 2018 года планируется внести и другие поправки в законодательство, которые снизят количество личных данных, обрабатываемых государственными информационными системами. Указанные правки предусматривают обязательную идентификацию и регистрацию субъектов, обрабатывающих персональные данные, мониторинг их работы, единый порядок обработки данных.

Проект программы «Цифровая экономика», подготовленной Министерством связи, предусматривал создание в 2019 году портала, на котором каждый гражданин сможет проследить, где и кому оставлял личные данные, а также запретить использование собственных персональных данных. Координировать работу Интернет-ресурса, обрабатывающего личные данные, будет Роскомнадзор. Такие нововведения объясняют необходимостью постоянного мониторинга сбора и обработки персональной информации.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.