Каналы утечки персональных данных | Персональные данные: как их защищать и чем опасны утечки

Контроль рабочего времени
с помощью DLP-системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Широкое внедрение технических и программных средств обработки и хранения конфиденциальной информации способствует возникновению разнообразных путей утечки. Пользуясь такими каналами, мошенники крадут персональные данные (ПДн) людей, наносят урон их репутации, получают доступ к чужим банковским счетам. Утечка персональных данных опасна не только для отдельных граждан, но и для учреждений, занимающихся обработкой подобной информации по долгу службы. Разглашение персональной информации подрывает доверие клиентов, становится причиной возникновения громких скандалов и судебных процессов. 

Организации, деятельность которых связана со сбором персональных данных, обязаны соблюдать порядок их обработки и хранения, определенный законом № 152-ФЗ Российской Федерации. 

Какие данные называют персональными

Персональными называются любые данные, по которым можно идентифицировать личность человека, получить сведения о его доходах и расходах, общественном и семейном положении, образовании, рабочем статусе. В перечень таких данных входят:

  • Фамилия, имя, отчество, дата и место рождения. Чаще всего для установления личности граждан требуется именно сочетание этих данных. Идентифицировать человека только по ФИО можно лишь в том случае, когда эти данные являются очень редкими.
  • Номер паспорта и его серия.
  • ИНН – налоговый номер, который может вноситься в паспорт.
  • Номер СНИЛС (лицевого счета обязательного пенсионного страхования).
  • Номера банковских счетов, коды и номера банковских карт.
  • Биометрические данные (отпечатки пальцев, тембр голоса и т.д.).

Источниками таких данных могут быть личные документы граждан, информационные базы организаций, в которых люди работают или учатся, а также банковские базы данных.
Возможна утечка личных данных, которые хранятся в электронных архивах, заносятся в формы оплаты интернет-покупок и услуг, содержатся в документах медицинских учреждений, социальных служб. 

Особенности технических каналов потери ПДн

В ходе санкционированной обработки персональных данных, производимой с согласия владельцев, осуществляется изучение и копирование документов, передача сведений лицам, имеющим разрешение на использование собранной информации. При необходимости данные заносятся в электронную информационную базу или хранятся в архивах. 

Для осуществления всех этих действий используются разнообразные технические и программные средства: 

  • электронно-вычислительная техника;
  • компьютерные системы пересылки данных и обмена сообщениями (почта и мессенджеры);
  • сервисы аудио- и видеосвязи;
  • технические устройства для записи и воспроизведения звука;
  • аппараты для копирования и тиражирования данных;
  • телевизионная аппаратура;
  • системы телефонной связи.

Использование такой техники представляет угрозу случайных утечек данных из-за несовершенства технологий, используемых при работе. Возможно образование каналов перехвата, искусственно создаваемых злоумышленниками для похищения персональных данных.

Кроме основной техники, в помещениях обработки и хранения данных присутствует множество вспомогательных технических средств и систем (ВТСС). Они не имеют непосредственного отношения к обработке конфиденциальной информации, однако их присутствие способствует образованию дополнительных каналов перехвата персональных данных. Причиной утечек информации в данном случае становится возникновение наведенных электромагнитных полей, акустических вибраций, которые могут быть информативными сигналами для похитителей данных. Мошенники устанавливают специальную аппаратуру для улавливания таких сигналов и получения доступа к базам персональных данных. К ВТСС относятся посторонние электропровода и кабели, проходящие через рабочее помещение, устройства системы сигнализации, отопительные, водяные и газовые трубы, пожарные системы и т. д.

Виды каналов потери персональной информации

Персональные данные могут быть представлены в устной, письменной, печатной, графической, звуковой, электронной форме. Существуют следующие типы информации:

  • видовая (возможна утечка при работе с документами, фотографиями, таблицами цифровых данных);
  • речевая (утечка сведений происходит во время разговора по телефону или общения людей в системах интернет-связи, прослушивания звуковых файлов);
  • компьютерная (утечка возникает при обработке данных с использованием программного обеспечения, перехвате информации, сохраняемой в сетевых базах данных или на съемных носителях).

Для перехвата персональных данных злоумышленники используют следующие виды естественных или искусственно созданных каналов утечки информации:

1. Позволяет похищать речевую информацию с помощью подслушивающих устройств, виброакустических приборов.

2. Оптический. Помогает перехватывать видовую информацию путем фотографирования документов с персональными данными, видеонаблюдения за информационными объектами.

3. Электромагнитный. Используется для улавливания наводок и радиосигналов, которые возникают в электрических и электромагнитных приборах, используемых при обработке ПДн. Для перехвата персональной информации в линиях связи устанавливаются специальные закладные устройства.

4. Вещественно-материальный. Позволяет получать конфиденциальные данные, которые содержатся в черновиках и копиях документов, испорченных съемных носителях, утилизированных не по правилам.

5. Интернет-канал. Создается злоумышленниками для перехвата персональных данных с помощью вредоносных компьютерных программ. Такие программы позволяют взламывать базы данных, похищать пароли, коды и секретные ключи.

Угрозы потери акустических конфиденциальных данных 

Возможность перехвата информации, содержащей персональные данные, может возникнуть, когда их сообщают устно или воспроизводят с помощью акустической аппаратуры.

При этом существуют следующие угрозы:

  • Утечка голосовых сообщений, улавливаемых с помощью направленных микрофонов. Такие устройства позволяют услышать отчетливую речь на расстоянии десятков метров. Средой передачи данных является воздух.
  • Перехват персональной информации из-за возникновения акустических вибраций в стенах, оконных стеклах, металлических конструкциях, находящихся в том помещении, где происходит разговор между людьми или используются звуковоспроизводящая техника. Утечка голосовых данных позволяет злоумышленникам перехватывать их с помощью виброакустических устройств (радиостетоскопов).
  • Улавливание акустического сигнала акустооптическими (лазерными) устройствами. При лазерном облучении поверхностей стекол, картин и перегородок, в которых образуются акустические вибрации, возникают модулированные оптические сигналы. Их перехват позволяет злоумышленникам воспользоваться утечкой голосовых персональных данных.
  • Утечка речевых данных, преобразуемых в модулированные электромагнитные сигналы естественного или искусственного происхождения. Для подслушивания разговоров и перехвата персональной информации используются телефонные закладки, которые передают модулированные радиосигналы.

Угрозы утечек информации в оптических каналах

В данном случае возникает угроза перехвата видовой информации с бумажных документов, компьютерных экранов, распечаток, выдаваемых ЭВМ. Для несанкционированного изучения персональных данных используются:

  • Средства дистанционного наблюдения за объектами с конфиденциальными данными (бинокли, подзорные трубы).
  • Оптикоэлектронные приборы визуального изучения интересующих объектов путем улавливания ИК-излучения (тепловизоры, приборы ночного видения), а также лазерные сканеры для осуществления объемной съемки.
  • Портативные фотоаппараты и скрытно установленные видеокамеры. Такие приборы устанавливаются непосредственно в рабочих помещениях, а также на транспортных средствах, используемых сотрудниками. Компактные шпионские фотоаппараты могут быть вмонтированы в очки, часы и другие предметы.
  • Оптиковолоконные средства перехвата цифровых, графических, печатных данных, утечка которых происходит с дисплеев, технических средств обработки и хранения персональной информации.

Угрозы потери данных из-за электромагнитных наводок

Наводка побочных электромагнитных излучений возможна как в основных технических средствах, используемых при работе с персональной информацией, так и во вспомогательных линиях и системах. Причиной утечки данных становится распространение таких излучений за пределы рабочих помещений. Злоумышленники перехватывают сигналы ПЭМИН, исходящие от электропроводов, кабелей телефонной и компьютерной связи, систем заземления. Расшифровка таких сигналов позволяет похищать информацию, содержащуюся в базах данных, хранилищах фотографий, в звуковых файлах.
Для улавливания наведенных электромагнитных сигналов используется:

  • Стационарная радиоаппаратура, устанавливаемая в соседних зданиях.
  • Портативные радиоприемники, размещаемые на транспортных средствах, которые останавливаются рядом с объектами, где возможна утечка персональных сведений.
  • Переносные компактные приборы радиоперехвата.
  • Разведывательные средства улавливания радиосигналов с персональной информацией, которые скрытно устанавливаются вблизи оборудования, используемого для их обработки.
  • Радиозакладки, частотомеры и другие устройства для съема сигналов утечки с проводных и кабельных линий, а также с токопроводящих коммуникаций (например, труб отопления или водоснабжения).

Угрозы утечки компьютерной персональной информации 

Утечка ценной информации в компьютерных системах – это одна из наиболее актуальных проблем в России и за рубежом. Причинами разглашения персональной информации могут быть:

  • Некомпетентность интернет-пользователей в вопросах информационной безопасности. Утечке личных данных способствует регистрация на незнакомых сайтах, использование незащищенного программного обеспечения.
  • Небрежное хранение съемных носителей с файлами собственных персональных данных пользователей или с данными клиентов, коллег по работе. Здесь могут, например, храниться адреса и номера телефонов, записи о расходах и долгах.
  • Предоставление доступа к персональной информации посторонним людям или сотрудникам, которым подобные данные не нужны для выполнения служебных обязанностей.
  • Намеренное разглашение чужих персональных данных ради получения денег, из чувства мести или по другим мотивам.
  • Внедрение злоумышленниками вредоносных компьютерных программ.

Возможна утечка персональной информации, связанная с нарушением работы используемого программного обеспечения. Такая угроза утечек возникает в результате:

  • ошибок, совершенных при разработке ПО;
  • неправильного выбора программно-аппаратных средств;
  • неправомерного изменения настроек режимов работы;
  • старения компьютерного оборудования;
  • перебоев в подаче электроэнергии.

Если утечка возникает по вине сотрудников, занятых обработкой данных, то речь идет об «инсайдерской атаке». Умышленное внедрение компьютерных вирусов для взлома паролей и перехвата персональной информации называется «хакерской атакой». 

В документе ФСТЭК РФ (15.02.2008 г.), посвященном описанию угроз безопасности персональных данных, говорится о том, что нарушители требований информационной безопасности подразделяются на 2 категории.

Внешние нарушители не имеют санкционированного доступа к данным. Для похищения частной информации они пользуются незащищенными общедоступными серверами или сетями международного информационного обмена. Воспользоваться утечкой персональной информации могут, например, конкуренты, разведывательные службы, криминальные структуры.

Внутренние нарушители – это пользователи, имеющие разрешение на вход в информационные базы. Их подразделяют на несколько групп различного уровня доступа к конфиденциальным данным. В эти группы входят:

  • должностные лица;
  • персонал осуществляющий обработку данных в офисе;
  • сотрудники, работающие удаленно;
  • системные администраторы;
  • разработчики программ;
  • установщики и наладчики компьютерной аппаратуры.

Утечка личных данных пользователей интернета может быть связана с использованием файлов cookie, с помощью которых браузеры запоминают информацию о посещении различных сайтов. Они используются браузерами для сохранения пользовательских настроек, показа рекламы, облегчения регистрации в сервисах. Использование таких файлов позволяет идентифицировать пользователей, отследить их интересы и предпочтения.

Действие вредоносных программ

Для проникновения в компьютерные сети с целью похищения конфиденциальных данных мошенники используют вредоносные программы (вирусы, черви, трояны, закладки), которые способны:

  • выполнять самопроизвольное копирование, блокировку и уничтожение данных;
  • переправлять фрагменты секретной информации в общедоступные сети;
  • искажать или подменять данные;
  • нарушать работу ПО, используемого для обработки и передачи данных, разрушать коды в оперативной памяти.

Вредоносные программы способны маскироваться под различные полезные приложения, производить самодублирование.

Меры предотвращения потери ПДн

Организации, имеющие дело с обработкой и хранением персональных данных, несут ответственность за соблюдение политики информационной безопасности. Они заинтересованы в устранении каналов утечки информации и принятии защитных мер.

Работники таких организаций должны иметь четкое представление о том, какие данные не подлежат разглашению. Они обязаны соблюдать правила сбора, копирования, передачи и хранения данных, а также утилизации ненужных документов и электронных носителей.

Принимаются меры для ограничения доступа посторонних в архивы и служебные помещения.

Для предотвращения утечек и перехвата подобных данных с помощью технических средств производится экранирование оборудования и линий связи от электромагнитных наводок. Используются специальные средства для поиска закладных устройств. 

Особое внимание уделяется защите компьютерных информационных баз.

Для предупреждения утечек информации используются средства криптографической защиты данных (шифрования и передачи по особым системам связи).
Вводятся ограничения доступа персонала к клиентским базам, архивным документам, статистической информации. 

Контролируется использование компьютерной техники и программного обеспечения, обеспечивается эффективная антивирусная защита.

Для защиты от внешних атак используются системы DLP (анализа потоков данных). Примером является программное обеспечение Enterprise Suite, предотвращающее реализацию инсайдерских и хакерских атак.

Организации, имеющие дело с ПДн, обязаны использовать при обработке данных и устранении информационных угроз лишь сертифицированные технические средства.

Где чаще всего происходят потери ПДн

Компания «СёрчИнформ» – ведущий российский разработчик средств ИБ, провела исследование безопасности ПДн в различных государственных и коммерческих организациях. 80% компаний, опрошенных в ходе исследования, считают, что основную угрозу утечек ПДн представляют внутренние инциденты, возникающие по вине настоящих и бывших сотрудников организаций. По данным за 2020 год в 33% компаний произошла утечка ПДн по внутренним причинам. Основная доля утечек происходит в интернете. В период пандемии COVID-19 проблема потери компьютерной информации особенно обострилась. Вынужденная перестройка деятельности компаний и перевод сотрудников на режим удаленной работы привели к ослаблению контроля за соблюдением мер информационной защиты. 

Утечка личных данных, обрабатываемых персоналом компаний, происходит вследствие их передачи по мессенджерам, использования служебной электронной почты для частной переписки, небрежного хранения носителей и бумажных документов.

Угрозы перехвата служебной информации (в том числе персональных данных клиентов, коллег, поставщиков) возрастают из-за использования сотрудниками, работающими на «удаленке» незащищенных сетей Wi-Fi, установки бесплатных антивирусных программ. 


«СёрчИнформ КИБ» можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.


В последние годы мошенники  нередко используют для кражи личных данных камеры наблюдения, устанавливаемые в частных домах, банках, торговых центрах, на улицах. Доступ к таким камерам они получают, пользуясь поисковой системой Shodan, предназначенной для выявления устройств, подключенных к интернету. Злоумышленники способны создавать системы  распознавания лиц, отслеживать местоположение людей.

Специалисты по информационной безопасности советуют регулярно обновлять программы управления камерами наблюдения, часто менять пароли, составляя сложные комбинации цифр и букв, использовать двухфакторную аутентификацию. Не рекомендуется использовать одинаковые пароли на нескольких камерах, подключать такие устройства к компьютерным сетям общего пользования. 

Ответственность за разглашение ПДн

Согласно российским законом лица, занимающиеся обработкой персональных данных, несут ответственность за их разглашение. Так, за нарушение порядка хранения ПДн, предусмотрена административная ответственность. Сумма штрафа составляет:

  • 300-500 руб. для обычных граждан;
  • 500-1000 руб. для должностных лиц;
  • 5000-10000 руб. для компаний.

Указанные суммы намного меньше затрат на закупку охранного оборудования, современного программного обеспечения, аппаратуры обнаружения и блокировки каналов утечки информации. По это причине многие российские компании лишь формально разрабатывают политику информационной безопасности, не обеспечивая реального контроля за обработкой и хранением персональных данных. В Министерстве экономического развития России разработан проект поправок к КоАП, в которых предусмотрено увеличение подобных штрафов в десятки раз.

Граждане или организации, пострадавшие от разглашения персональных сведений, могут обратиться в суд. Если последствия огласки являются достаточно серьезными, распространение таких сведений может расцениваться как уголовное преступление. 

15.03.2021

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними