В последнее время СМИ практически каждый день сообщают о краже личных данных граждан, они стали популярным товаром на черном рынке информации в даркнете. Снижается сложность использования технических и программных средств, применяемых для хищения информации. Они становятся доступными даже школьнику, вредоносные программы свободно размещены в Интернете, а готовые скрипты позволяют начинающему хакеру создать программу, способную украсть не очень хорошо защищенную информацию. 

Кто рискует утратить данные

Персональные данные граждан утекают из двух источников – информационных систем организаций и личных устройств граждан, мобильных или стационарных. Если на организации и используемые ими средства защиты может повлиять регулятор – Роскомнадзор, ФСТЭК, Центробанк, то граждане беспечны и часто добровольно передают информацию мошенникам. В 2020 году уже сообщалось, что наиболее популярным способом похищения персональных данных стала установка программных ловушек при заходе на сайт-обманку с мобильного устройства. В этом случае похищаются сведения о номере телефона и паспортные данные, которые вводились при приобретении мобильного устройства. Также часто в телефоны внедряется вредоносное программное обеспечение. 

Четыре самых распространенных способа похищения персональных данных:

1. Социальная инженерия. В большинстве случаев граждане сами сообщают номера кредитных карт, логины и пароли неизвестным, представляющимся сотрудниками безопасности банков, или переходят по ссылкам, в фишинговых письмах.

2. Интернет-магазины и агрегаторы заявок на мини-кредитование, специально создаваемые для сбора информации. Такие сайты собирают данные при помощи вредоносного кода или просто агрегируют их в большом объеме для дальнейшей перепродажи.

3. Сайты объявлений. Они не всегда защищены и безопасны, в итоге при оплате за продвижение объявления можно «засветить» данные банковской карты.

4. Интернет-ресурсы содержащие вредоносный код.

Базы, содержащие ПД, попадают в даркнет из-за намеренного хищения информации у операторов, банков или провайдеров мобильной связи.  

Интересно, что граждане, напуганные информацией из СМИ, часто отказываются взаимодействовать даже с добросовестными операторами, например, записываться на прием в поликлинику по Интернету. 

Статистика утечек 

По данным аналитиков в 2019 году было скомпрометировано 1,04 млрд пользовательских записей, что в 27 раз больше, чем годом ранее. Наиболее часто индивидуальные данные граждан похищают из личных кабинетов банков и интернет-магазинов, особенно подвержены рискам утечек данных небольшие банки, использующие серые схемы платежей и не считающие необходимым полностью применять рекомендации регуляторов.

Центробанк в 2019 году опубликовал доклад, в котором рассмотрел наиболее популярные способы хищения индивидуальной информации. Специалисты регулятора отметили, что до 97 % преступлений происходят при помощи использования методов социальной инженерии.

Уголовно-правовое и административное регулирование

Кража персональных данных наказывается в рамках административного и уголовного права. Самостоятельной нормы УК РФ, предусматривающей ответственность именно за похищение ПД, не предусмотрено. 

Суд, в зависимости от сути преступления, применяет один из двух составов:

• ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»;
• ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

Наказания по обеим нормам невелики – от штрафа в несколько тысяч рублей до ограничения права занимать определенные должности. В самых серьезных случаях, при наличии существенного ущерба, использовании служебного положения или публичном распространении информации о несовершеннолетних они не превышают 5 лет лишения свободы. Но эти нормы УК РФ широко применяются при расследовании преступлений, связанных с нарушением мер защиты индивидуальных данных, предусмотренных законом «О персональных данных» № 152-ФЗ.

Способы кражи данных с использованием социальной инженерии

Популярная сегодня социальная инженерия, вынуждающая граждан добровольно передавать данные граждан мошенникам, не преследуется уголовным законодательством. Под этим термином понимается совокупность навыков манипулирования человеком. Крайне редко социнженерию можно квалифицировать как мошенничество или обман и злоупотребление доверием с целью завладения чужим имуществом.

Для квалификации похищения персональных данных по ч. 3 ст. 158 УК РФ необходимо установить факт кражи денег с банковских счетов, сопровождающийся высокотехнологическими хакерскими атаками или использованием средств манипуляции личностью либо средствами социальной инженерии. В судебной практике встречается упоминание методов социальной инженерии, при помощи которых создавался сайт, схожий по дизайну с интернет-магазином обуви.

По сути, мошенники завлекают посетителей на фишинговый сайт, чтобы внедрить в их компьютеры вредоносный код, созданный с целью хищения и дальнейшей продажи персональных данных. В случае многократной повторяемости такого преступления и причинения существенного вреда интересам граждан есть вероятность, что дело будет доведено до суда и приговора. Высокая квалификация сотрудников правоохранительных органов помогает проводить анализ информационной системы злоумышленника, устанавливать факт внедрения вредоносного кода и его использования с целью хищения данных.

Как избежать похищения персональных данных

Для защиты от похищения информации пользователи должны соблюдать простые правила безопасности, которые помогут избежать дальнейшего хищения не только конфиденциальной информации, но и из электронного кошелька или с банковской карты: 

• никогда не сообщать данные своей учетной записи или банковской карты по телефону, кем бы ни представился человек на другом конце линии;
• никогда не предоставлять персональные данные организациям и гражданам, лично или по Интернету, без оформления письменного согласия;
• совершать платежи через Интернет, с помощью отдельной банковской карты с минимальной суммой на счету;
• контролировать использование и распространение своих ПД и персональных данных детей, например, исключать случаи публикации сведений о детях в открытом доступе на сайте образовательного учреждения, например, путем обращения в Роскомнадзор;
• использовать средства фильтрации электронной почты, это поможет избежать проникновения вредоносных программ и фишинговых писем;
• использовать средства защиты баз данных телефонов и адресов знакомых, дополнительные пароли, архивирование, шифрование;
• в случае выявления утечки своих ПД, например, появления их в продаже в открытых источниках, при понимании, какой оператор виновен в утечках, взыскивать с него причиненный финансовый и моральный ущерб;
• никогда не передавать логины и пароли от любых учетных записей третьим лицам, даже коллегам по работе в производственных целях.

Выявление похищения персональных данных должно побудить гражданина немедленно совершить ряд действий в защиту своих интересов:

• обратиться с заявлением в Роскомнадзор, если выяснилось, что утечка произошла от легитимно получившего персональные данные оператора. Направить заявление можно по электронной почте, воспользовавшись формой на сайте ведомства, обычной почтой, заказным письмом с уведомлением о вручении, при личном визите в региональное подразделение на прием к руководителю;
• подать заявление в прокуратуру, а если можно предполагать, что в данной ситуации применяется ст. 137 УК РФ, – в МВД РФ с просьбой проверить сведения и возбудить уголовное дело;
• незамедлительно сменить логины и пароли на всех устройствах, заблокировать скомпрометированную карту;
• установить на мобильные устройства антивирусные программы.

Выполнение этих рекомендаций поможет устранить причину похищения ПД и привлечь к ответственности преступника или недобросовестного оператора. Процесс обработки персональных данных часто связан с тем, что недобросовестные сотрудники совершают хищение информации ради перепродажи, и не всегда оператор готов нести ответственность за недобросовестность сотрудника. Эти обстоятельства следует учитывать, определяя виновника причиненного ущерба. В рамках Федерального закона «О персональных данных» оператора-организации или его должностное лицо можно привлечь к административной ответственности, сотрудник понесет уголовную по 137-й или 272-й ст. УК РФ.

03.03.2020