Наталья Иванова, консультант по информационной безопасности Cross Technologies
По данным исследования InfoWatch, за 2020 год утекло около 11 млрд записей персональных данных и платежной информации. Из них российских — порядка 100 млн, то есть около 1%.
Выделяются следующие отрасли с наибольшим количеством критичных нарушений: научно-производственные организации, производство, финансовые организации, транспорт и логистика, органы государственной власти и государственные услуги.
Ключевой проблемой защиты персональных данных в России является то, что эту защиту диктует большое множество нормативно-правовых актов. И их требования порой противоречат друг другу без должного уточнения регуляторов.
При этом не все понимают, что входит в понятие «персональные данные». До недавнего времени это была информация, по которой можно однозначно идентифицировать субъекта данных. Сейчас — это любые сведения, относящиеся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Определение достаточно расплывчатое и обширное.
Так, например, номер телефона, который не привязан к ФИО и иные данные, в отрыве от всего – не персональные данные. Само определение номера телефона (Абонентского номера) не подразумевает обработку персональных данных его владельца — он дает возможность связи с другими абонентами.
Хищение персональных данных
Нелегальный бизнес по продаже персональных данных сильно распространён из-за слабой системы информационной безопасности в компаниях, а также удалённого режима работы. Утечки из-за пандемии обошлись организациям в $4,96 млн — почти на 15% дороже, чем в среднем. Это произошло из-за того, что системы информационной безопасности компаний не всегда успевают реагировать на кибератаки и редко заточены под решение таких задач. Большинство сотрудников также не обладают должным уровнем знаний по кибербезопасности.
При этом нередко продажей персональной информации занимаются сами работники, обрабатывающие данные. Поэтому без должных систем безопасности в больших компаниях и организациях с гибридным форматом работы сложнее контролировать утечку персональных данных.
В 2020 году было пять крупных случаев утечек персональных данных (от 5 млн. записей). Самый яркий из них связан с утечкой данных участников сервиса «Премиум бонус», который обеспечивает программы лояльности кафе и ресторанам. Такие системы не отличаются надлежащей защитой, и утечки происходят ежегодно. Вот и в этот раз утекло 55 млн. строк, из которых 21 млн. содержали телефонные номера. О том, какое наказание понёс поставщик программы лояльности, история умалчивает.
Как защитить персональные данные
Сегодня данные пользователей особенно уязвимы — с помощью современных технологий хакеры без труда крадут персональные данные. Используя полученную информацию, злоумышленники получают доступ к другим ПК и серверам. Это даёт им полный контроль над ИТ-инфраструктурой организации. Для компании — это остановка бизнес-процессов, финансовые потери, а также репутационные риски.
Для того, чтобы предотвратить избыточный сбор личной информации, перед заполнением формы на сайте необходимо прочесть Условия обработки персональных данных. Должно быть указано следующее:
- данные компании (адрес. ИНН), которая собирает персональные данные;
- цель обработки персональных данных;
- перечень действий, совершаемый с данными;
- способы обработки;
- перечень третьих лиц, которым передаются данные;
- период действия согласия;
- условия прекращения обработки данных.
Таким образом, можно выявить избыточные для указанных в условиях целей персональные данные. Также важно помнить, что как только вы отправляете форму со своей личной информацией на сайте, то сразу же становитесь субъектом персональных данных. Именно поэтому вы можете запросить у Оператора – компании, обрабатывающей ваши персональные данные, подтверждение факта и цели обработки, законные основания, перечень обрабатываемых данных и т.д. Подробнее можно ознакомиться в гл. 3 закона №152 «О персональных данных».