Утечки персональных данных (далее ПД) часто случаются в работе компаний и государственных органов. Часто они связаны с недобросовестным отношением к их защите. Защита от них должна стать задачей и операторов, и субъектов персональных данных.
ПД – это любая информация о человеке, которая связана с ним, позволяет идентифицировать его в полной мере, получить иные сведения о нем, совершать какие-либо посягательства на тайну его личной жизни или на имущество. В группе риска утраты важной информации при проведении обработки ПД оказываются многие люди, среди них: граждане, пользующиеся банковскими картами; граждане, получающие медицинские услуги; владельцы пенсионных накоплений; вкладчики банков; владельцы недвижимости.
Это не исчерпывающий перечень, пострадать от утечки ПД могут и многие другие. Поэтому государство выстроило систему защиты персональных данных. В ее основу лег Федеральный закон «О защите персональных данных», систему технических мер регламентируют правительство, ФСТЭК, ФСБ.
Причины утечек
Любая организация, которая в своей деятельности обрабатывает ПД, обязана предпринять комплекс организационных и технических мер, направленных на их защиту. Перечень этих мер и способов регламентируется для каждой группы данных. При разработке системы таких технических и административных решений используется модель угроз, в которой учитываются риски двух типов: внешние; инсайдерские.
Первый тип угроз, представляющих собой неправомерное проникновение в защищенный информационный периметр организации-оператора, – хакерские атаки, которые в России редко становятся серьезными угрозами для жизни и здоровья граждан. Прекратились появления в Сети баз данных ЦБ РФ, ГИБДД, Пенсионного фонда – информационные системы защищены серьезно, а утечка массива сведений, защищенных средствами криптографической защиты, без возможности персонификации, не несет серьезных рисков. Сократилось и количество внешних атак на сайты банков.
Вторые реализуются наиболее часто. Гражданин предоставляет сведения о себе во множестве случаев в медицинском учреждении, в туристическом агентстве, в котором для оформлении визы он практически полностью раскрывает сведения о своем финансовом статусе. Согласие на обработку персональных данных зачастую не подписывается. Таким образом, паспортные данные, сведения о недвижимости, доходах, операциях по банковской карте оказываются в незащищенном виде в компьютере, на котором может не быть даже антивирусной защиты. В этом случае доступ к ним становится возможным:
- при прямом проникновении недобросовестного сотрудника агентства в компьютер или к материальным носителям информации;
- при размещении их в облачных сетях, иногда на множестве серверов, зачастую расположенных не в России. Законодательство требует обязательного хранения ПД внутри страны, но эти требования выполняют не все операторы, зачастую даже не знающие о существовании такой обязанности;
- при хищении ноутбука или портфеля сотрудника компании, в котором находится интересующая злоумышленника информация.
Частые случаи, появляющиеся в судебной практике, в которых штрафуются или наказываются иным образом врачи или сотрудники банковских учреждений, допустившие утечку сведений, например, паспортных данных, говорят о существовании проблемы и ее серьезности.
Последствия утечек могут оказаться серьезными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать:
- от разглашения любой информации, имеющей отношение к личности;
- от шантажа;
- от неправомерного списания средств с банковской карты;
- от вмешательства в личную жизнь;
- от угроз детям, например, в случае публикации в СМИ данных о школах, где они учатся.
Минимальным риском станет неправомерная передача сведений, например, адреса электронной почты, каким-либо компаниям, которые начнут преследовать их обладателя рекламными объявлениями. Но даже это дает возможность возбудить дело и о неправомерной рекламе, и об утечке данных и приведет к штрафам, налагаемым на операторов, если источник утечки или спама удастся достоверно установить.
Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:
- гражданскую, в виде взыскания в судебном порядке понесенных гражданами убытков и морального вреда;
- административную, в виде наложения штрафа, приостановления или запрета деятельности, связанной с обработкой персональных данных;
- уголовную, в случае неправомерного распространения ПДн, причинившего существенный ущерб и передаче информации в правоохранительные органы.
Пока серьезность исков о возмещении морального вреда, связанного с утечкой конфиденциальной информации, компаниями серьезно не рассматривается. Даже если судом установлен такой факт, размер присужденных сумм редко превышает несколько десятков тысяч рублей даже в столице. В регионе суд скорее откажет в удовлетворении требований, предъявляемых как к банкам, так и к интернет-магазинам. Более серьезными становятся ситуации, когда в спор вмешиваются регуляторы и доводят ситуацию до возбуждения уголовного дела.
Негативные последствия от утечек персданных
Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных. От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:
- установка межсетевых экранов, затрудняющих проникновение к массивам информации;
- внедрение системы идентификации и аутентификации сотрудников, имеющих к ним доступ;
- фиксация в журналах учета всех действий специалистов, осуществляющих обработку данных, позволяющая понять, что конкретно они делали с охраняемыми законом сведениями;
- установка средств антивирусной защиты;
- использование средств криптографической защиты для шифрования данных при хранении и передаче;
- применение способов и мер, которые могут предотвратить утечку данных по физическим каналам, например, путем фотографирования экрана компьютера, снятия звуковой информации, перехвата электромагнитного излучения.
Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам. Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз ПД является затратным мероприятием, которое не все могут себе позволить. Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:
- не передавать ПД компаниям, не зарегистрированным в качестве операторов;
- осторожнее относиться к любым платежам в сети Интернет;
- всегда изучать текст согласия на обработку ПД, определяя, какими способами она производится, каковы цели обработки, возможность передачи сведений третьим лицам и в каких случаях.
Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится.
https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/utechki-personalnyh-dannyh/posledstviya/
Цифровые технологии с каждым днем все больше проникают во все сферы человеческой деятельности. Поэтому перед многими руководителями достаточно острым стоит вопрос хранения и передачи данных в сети, а также обеспечения безопасности от утечки информации в цифровом поле.
Понятийный аппарат
Факт утечки является составным элементом иных правонарушений, установленных:
Из СМИ нам не понаслышке известно о разных примерах утечек, например, в 2020 году в сеть, утекли паспортные данные более 1,1 млн россиян, принимавших участие в голосовании по поправкам к Конституции РФ. А годом ранее общественности была представлена информация об утечке данных пользователей портала "Госуслуги".
Однако законодательство на сегодняшний день никак не регулирует способы защиты от утечки информации, поэтому как крупным организациям, так и представителям МСБ следует самостоятельно изучить наиболее возможные способы защиты от данной угрозы.
Работа с сотрудниками как способ защиты от утечки информации
Насколько банально это может показаться, но, согласно статистическим исследованиям "Лаборатории Касперского", более 60% корпоративных данных попадает не в те руки именно из-за действий самих работников компании без преднамеренного вмешательства. Причем зачастую это происходит именно из-за невнимательности либо халатности сотрудников. Так, наиболее примечательными примерами в данном случае могут быть:
- разговоры с коллегами либо третьими лицами, в ходе которых работник может неосознанно выдать конфиденциальную информацию;
- переход с корпоративной почты либо при веб-серфинге по ссылкам, содержащим "фишинговые" либо иные вредоносные программы;
- фотографии, аудио- и видеозаписи со смартфонов сотрудников, которые впоследствии могут быть взломаны либо же данные переданы третьим лицам по неосторожности;
- получение злоумышленниками доступа к конфиденциальной информации из-за слабого пароля почты либо другого корпоративного веб-инструмента работника.
Многие даже крупные компании зачастую пренебрегают обучением IT-культуре собственных работников, ограничиваясь лишь такими формальностями, как заключение соглашения о неразглашении коммерческой тайны и персональных данных. Руководству в первую очередь следует разъяснить персоналу важность кибер-безопасности, провести соответствующий обучающие тренинги самостоятельно либо с привлечением сторонних специалистов.
Например, в ноябре 2020 года произошла утечка данных программы лояльности "РЖД Бонус". Причиной тому стала халатность сотрудника, который оставил информацию в открытом доступе.
Работодателям следует установить дисциплинарную ответственность за утечку информации в ТК РФ. Напомним, ст. 192 Трудового кодекса установлено три вида дисциплинарных взысканий – замечание, увольнение, выговор, а для государственных служащих еще и предупреждение о неполном должностном соответствии (ч. 1 ст. 57 Федерального закона от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации"). При этом в локальных нормативных актах необходимо не просто указать причину применения наказания "за утечку информации", а максимально детально изъяснить все возможные факторы.
Если говорить о сотрудниках, то также достаточно распространенной причиной утечки данных являются и преднамеренные действия. Чаще всего это происходит из-за отсутствия мотивации у работников, харрасмента со стороны коллег либо руководства, а также неправомерного увольнения. Способы защиты для руководителей в данном случае схожи с описанными выше – поддержание корпоративной культуры, материальная и нематериальная мотивация сотрудников и соблюдение требований трудового законодательства.
Если же правонарушение все-таки было совершено и повлекло негативные последствия, следует обращаться в правоохранительные органы с целью привлечения виновного к административной либо уголовной ответственности.
На сегодняшний день утечка информации участилась из-за введенных в результате пандемии COVID-19 ограничительных мер. Так, многие работодатели, которые перевели сотрудников на дистанционную работу, не обеспечили должным образом сохранность конфиденциальной информации, например, не предоставив им рабочие ПК, а предоставив возможность трудиться на личных.
Как защититься от утечки информации при помощи кибербезопасности
Далеко не всегда утечка данных в организации происходит исключительно из-за действий работников, часто виной этому становится слабая защищенность именно с технической точки зрения. Способов защиты в данном случае множество, следует выделить лишь основные из них:
- использование системы контроля и управления доступом (СКУД). Подразумевается многоуровневая программная и аппаратная система, которая ограничит доступ к конфиденциальной информации третьим лицам;
- ведение корпоративных аккаунтов. Сюда входит и корпоративная почта, и аккаунты для работы в специализированных программах. Крайне важно, чтобы доступ был только у действующих сотрудников, ключи увольняющихся сотрудников необходимо удалять в момент увольнения;
- установка сложных паролей. Наряду с использованием корпоративных аккаунтов необходимо позаботиться об их достаточной защищенности. Наиболее оптимальным вариантом в данном случае является двухфакторная аутентификация (подтверждение входа с помощью СМС, одноразового кода, распознавания лица и т. д.);
- установка антивирусных программ. Современные антивирусы способны бороться с большинством известных способов кражи конфиденциальной информации;
- проведение "стресс-тестов" систем безопасности. Многие крупные компании специально нанимают сотрудников либо проводят конкурсы, в которых предлагают взломать действующую систему безопасности. Делается это для того, чтобы обнаружить возможные причины утечки информации и ликвидировать их;
- обеспечение личного пространства. При выполнении своих обязанностей сотрудники чаще всего контактируют с коллегами, клиентами и другими лицами. Поэтому крайне важно обеспечить безопасность рабочего места. Так, наиболее подвержены риску быть причиной утечки информации сотрудники, работающие в опен-спейсах;
- контроль документации (как электронной, так и бумажной). Сюда входит и работа с действующими документами, то есть использование систем шифрования, защиты от ознакомления третьими лицами, так и с недействительными, то есть использование соответствующих архивов либо удаление ненужных данных.
Вышеописанный перечень является далеко не исчерпывающим, однако при соблюдении этих требований руководителям бизнеса будет значительно проще обезопасить себя от утечки ценной информации.