Более 150 утечек за 2023 год: кто отвечает за слив данных и кому нужна информация о россиянах
Руководитель Zecurion Ульянов указал на неочевидную опасность утечки персональных данных
В 2023 году произошло уже более 150 утечек данных клиентов разных компаний. За весь 2022 год их зафиксировали 140, а за 2020 — всего четыре. Роскомнадзор уже дополнил рекомендации для компаний по хранению персональной информации о гражданах. А в Госдуме призвали маркировать специальным знаком организации, которые допустили слив.
Неочевидная опасность
Безусловно, персональные данные являются предметом внимания злоумышленников. Однако некоторые риски обычно недооценивают. Например, может показаться, что слитые в Сеть ФИО и дату рождения нельзя монетизировать, но это далеко не так, предупредил в беседе с «Ямал-Медиа» руководитель аналитического центра Zecurion Владимир Ульянов.
«Даже классические истории про то, что кто-то позвонил, пытался обмануть, представился сотрудником службы безопасности или правоохранительных органов. Вот такие схемы работают в том случае, когда у мошенников изначально есть какая-то информация о своей потенциальной жертве. И в этом случае как раз любые данные, которые злоумышленники могут получить или из открытых источников, или, как раз из утечек, они им, безусловно, на руку».
Владимир Ульянов
Руководитель аналитического центра Zecurion
Личные аккаунты на разных площадках тоже находятся под угрозой, когда данные их владельца попадают в слитую базу. В таком случае смена пароля — довольно эффективная мера защиты, но не стоит прибегать к ней слишком часто, посоветовал собеседник издания.
«Объективно сложно для человека запоминать каждый раз новый пароль для большого количества аккаунтов, которые у нас есть. Поэтому менять пароли нужно не очень часто, но с какой-то относительной периодичностью. Стоит менять пароли в тех аккаунтах, которые действительно важны. Например, электронная почта или что-то связанное с финансами, интернет-банк».
Владимир Ульянов
Руководитель аналитического центра Zecurion
По словам Ульянова, других способов защиты данных не так много. Когда человек передает какой-либо организации свои данные, то он практически перестает ими владеть. Ему остается только надеяться, что компания ответственно отнесется к хранению информации. Безусловно, можно потребовать удаления своих данных после расторжения отношений с компанией. Но в реальной жизни мало кто об этом заботится.
«Менять данные, теоретически, возможно. Опять же, если больше не работаешь с какой-то организацией, можно по законодательству прийти, попросить, чтобы данные удалили из всех баз. Но, я понимаю, что это рекомендация теоретическая».
Владимир Ульянов
Руководитель аналитического центра Zecurion
Кто отвечает за потерю данных
Ответственность за утечку персональных данных граждан ложится на плечи компаний, которые их собирали. Но часто она несоразмерна масштабам сливов и потенциальным рискам, которые грозят клиентам организаций. Говоря об этом, Владимир Ульянов привел пример, когда в сеть утекают данные миллионов пользователей, а штраф для фирмы составляет около 60 тысяч рублей.
«Сейчас ведется разговор о том, что разрабатывается законопроект новый, который будет ужесточать ответственность за утечку данных. Возможно, я надеюсь, это повлияет на ситуацию и компании станут более ответственно относиться к вопросу защиты данных своих клиентов».
Владимир Ульянов
Руководитель аналитического центра Zecurion
Улучшение ситуации в сфере защиты персональной информации — это комплексная работа, которую должны вести компании. Решение проблемы напрямую зависит от заинтересованности в ней организаций, которые занимаются обработкой данных. В некоторых случаях следовало бы ввести внутренние штрафы за сливы.
Также мотивацией для совершенствования защиты данных может стать репетиционный ущерб, который наносят утечки. Ведь какая-то часть клиентов может отказаться от услуг фирмы, допустившей раскрытие их персональных сведений, поделился мнением эксперт.
Меры Роскомнадзора: теория и практика
Роскомнадзор отреагировал на растущие риски и составил рекомендации по хранению данных. В качестве меры безопасности организациям предлагают «дробить» информацию о клиентах. То есть хранить данные о покупках, дате рождения, фамилии, имени и отчестве в разных базах. Также Роскомнадзор рекомендовал уничтожать информацию после того, как цель ее хранения уже достигнута.
«Это неплохие, здравые мероприятия, которые, по-хорошему бы стоило внедрить. Но, если мы говори о практике, то сталкиваемся с тем, что использование таких мер защиты более обременительно для организаций».
Владимир Ульянов
Руководитель аналитического центра Zecurion
Уничтожение данных, безусловно, повысит безопасность, так как красть будет нечего. Такая практика пошла бы на пользу и самим компаниям, обратил внимание Ульянов. Ведь хранение огромных массивов информации дорого им обходится. Но, не смотря на очевидный факт, фирмы продолжают «складировать» данные.
«Как показывает практика, компании любят собирать все больше данных, агрегировать и каким-то образом их использовать. Опять же, в каком-то случае мы достигли цели обработки персональных данных, но может оказаться, что эти данные могут пригодиться в будущем. Поэтому на всякий случай они продолжают храниться и не уничтожаются».
Владимир Ульянов
Руководитель аналитического центра Zecurion
Если говорить о «дроблении» данных, то это тоже хорошая мера защиты. Но в отличие от уничтожения, она потребует от компаний финансовых затрат. Ведь им придется перестраивать все свои информационные системы для создания новых баз. Поэтому вряд ли многие организации перейдут на такую систему, пока рекомендации носят необязательный характер, заключил Владимир Ульянов.
Самые актуальные новости — в нашем телеграм-канале «Ямал-Медиа».