По данным Аналитического центра InfoWatch в 2016 году 93% утечек информации в мире были связаны с компрометацией персональных данных (ПДн) и платежной информации. Всего за 2016 год в мире было скомпрометировано более трех миллиардов записей ПДн — в три раза больше, чем годом ранее.
Информацию о гражданах хранит множество организаций. При этом во многих случаях источником информации выступает сам субъект данных — человек, многократно оставляющий информацию о себе на различных онлайн-сервисах и площадках или участвующий, например, в промо-кампаниях. По мнению международных экспертов в области информационной безопасности (ИБ), пользователи давно потеряли контроль над своими данными.
Вместе с тем, одним из главных факторов, которым обусловлена проблема утечек ПДн, по-прежнему остается чрезвычайно низкий уровень гражданской культуры обращения с персональной информацией. Пользователь предоставляет данные в распоряжение операторов ПДн, как правило, в полной уверенности, что они не окажутся в распоряжении третьих лиц. С одной стороны, конфиденциальность персональных данных гарантирована государством в виде законодательных требований к операторам ПДн и контроля их соблюдения, с другой — существует и гражданская ответственность самих операторов за нарушение конфиденциальности предоставляемых им данных. Однако даже такая «двойная» система ответственности часто дает сбой, и на практике наши данные все равно рано или поздно становятся доступными любому в виде очередного выброшенного архива.
Утечка
В июле 2017 года одно из ведущих мировых агентств финансовой информации Dow Jones & Company, которому также принадлежит издание The Wall Street Journal, из-за ошибки в настройках базы данных облачного хранилища опубликовало в открытом доступе данные нескольких миллионов своих клиентов, включая имена, внутренние идентификаторы, адреса, платежные реквизиты и данные банковских карт.
По словам представителей Dow Jones, в хранилище содержится информация о 2,2 миллионах клиентов, однако независимые эксперты считают, что число пострадавших может достигать четырех миллионов.
Позиция пострадавшей стороны
В Dow Jones подтвердили утечку данных. Однако, по мнению аналитиков Dow Jones, попавшие в открытый доступ данные не являются конфиденциальными, поскольку не содержат пароли в открытом виде. Поэтому компания не будет уведомлять своих клиентов об утечке.
История вопроса
Весной и летом 2017 года случаи потерь персональных данных организациями, предоставляющими сервисные услуги населению, фиксируются ежемесячно, они происходят в юрисдикции разных стран, на разных континентах, независимо от политического строя или экономического уклада. Фактически сегодня, передавая персональные данные третьим лицам, граждане должны быть готовы к тому, что эту информацию можно считать утерянной. Вопрос уже не в том, будут ли эти данные скомпрометированы или нет, а в том, когда именно это произойдет.
- В марте 2017 года в Республике Бурятия на свалке в лесу были найдены тысячи купонов одной из торговых сетей региона с заполненными персональными данными клиентов: именами, телефонами и адресами. Пострадавшие принимали участие в лотерее, организованной ритейлером.
- В апреле 2017 года в Нидерландах были скомпрометированы персональные данные около полумиллиона участников трех благотворительных лотерей. Их имена, места жительства, номера телефонов и адреса электронной почты появились в открытом доступе в сети Интернет. В 900 случаев доступными стали информация о банковских счетах участников лотерей и датах их рождения.
- В мае 2017 года были украдены данные пользователей популярного среди студентов в Австралии сервиса для организации общественных мероприятий Qnec.
- В июне 2017 года в интернете были опубликованы персональные данные 14 тысяч посетителей и служащих казино Cowboys Casino в городе Калгари, Канада. В результате умышленного взлома в руках злоумышленников оказались имена, адреса, номера удостоверений личности, банковские реквизиты, размеры выигрышей и другая ценная информация. Эксперты по информационной безопасности предупредили пострадавших, что скомпрометированные данные могут быть использованы для так называемой «кражи личности».
Позиция пострадавших сторон
- Позиция руководства торговой сети, выбросившей на свалку купоны с персональными данными клиентов, неизвестна. По словам представителей республиканского отделения Роскомнадзора, в случае обращения граждан будет возбуждено дело об административном правонарушении по статье 13.11 КоАП (в старой редакции) – «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Согласно санкциям статьи, нарушителю грозит предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
- Организаторы голландских лотерей обратились к пострадавшим игрокам через объявления в местной прессе. Они предупредили граждан о том, что их личная информация может быть доступна злоумышленникам.
- В обращении к клиентам сервиса Qnect, соучредитель и исполнительный директор Даниэль Лян сообщил, что об инциденте оповещена Федеральная полиция Австралии. Он также отметил, что финансовая информация клиентов сервиса в результате утечки не пострадала. По мнению руководства стартапа, рассылка была предпринята с целью нанесения ущерба деловой репутации компании.
- Руководство канадского казино отказалось от официальных комментариев. Известно только, что в 2016 году, когда была совершена кража базы данных, пострадавшие клиенты и сотрудники были оповещены об этом.
Проблема защиты персональных данных имеет несколько аспектов
Первый – технический. Внутри любого документа, базы данных или электронного письма легко выделить фамилию, имя, номер паспорта, банковского счета или кредитной карты. Персональные данные хранятся в виде упорядоченных массивов информации и легко формализуются. Поэтому с учетом современных технологий анализа трафика, технических проблем защиты организаций от утечек ПДн фактически не возникает.
Второй – формально-юридический, в рамках которого во многих странах, включая Россию, на законодательном уровне закреплено понятие персональных данных, правила их хранения, обработки и передачи, а также определены сами операторы персональных данных, которые и несут ответственность за соблюдение требований закона в части их защиты.
Казалось бы – нормативно необходимость защиты ПДн закреплена, ответственные определены, технических препятствий нет, но почему же тогда утечки все-таки происходят?
Обратим внимание на третий, один из ключевых аспектов этого процесса – организационный. Здесь, если разобраться, и кроется основная причина нынешнего положения дел, при котором утечка ПДн из организаций стала широко распространенным и фактически неизбежным явлением в мире.
Попробуем ответить на вопрос о том, кто действительно заинтересован в защите данных граждан, и подойти к ответу не с формальной стороны, а, что называется, по сути вопроса. Глобально в этом процессе участвуют три стороны – это государство, бизнес и сами субъекты данных – граждане.
Государство, по сути, навязывает бремя заботы о защите данных граждан бизнесу, который в реальности также не заинтересован в этой нагрузке. Ответственность организаций за персональные данные скорее является номинальной. Отсюда и существующее представление о том, что операторам ПДн достаточно «бумажной» безопасности на уровне принятия регламентов, приказов, наличие которых проверяют регулирующие органы, не более.
Бизнес не видит ценности персональных данных, и, как правило, не ощущает реальной опасности. Если за утечками баз ПДн не следует крупный штраф или необходимость выплатить компенсации пострадавшим, то любой «слив» даже очень большого количества персональных данных клиентов или сотрудников для компании не несет серьезной угрозы. Основные риски при утечке данных связаны со штрафными санкциями регуляторов, в то время как суммы таких штрафов смехотворны.
Исключение составляют так называемые «мега-ликвидные» персональные данные — сведения о состоянии счетов, данные о доходах в сочетании с личными сведениями о гражданине, которые могут привести к крупным финансовым потерям. Более-менее о безопасности данных задумываются в отраслях, для которых ПДн являются бизнес-активом, как страхование и финансовый сектор. Например, база данных клиентов страховой компании, утекшая к конкурентам, приводит к оттоку минимум 10% клиентов. Причем самых платежеспособных. Просто потому, что в типовом страховании очень короткий цикл продаж, а предпочтения клиента очевидны.
Сами пользователи, как правило, тоже не проявляют большой заинтересованности в защите своих данных и не заботятся о них. В силу общей низкой культуры в области информационной безопасности большинство пользователей с легкостью предоставляют свои ПДн практически по любому требованию, и в случае утечек за редкими исключениями не обращаются в органы судебной власти и не требуют компенсации. До сих пор реальных потерь от утечек данных пользователи практически не ощущают, и сложно представить, что граждане добровольно примут на себя издержки, связанные с защитой ПДн.
Усилия глобальных компаний и геополитические риски просто не оставляют государствам выбора – они либо заботятся о защите данных своих граждан самостоятельно либо об этом «позаботятся» другие.
Основной механизм, который использует любое государство в процессе защиты пользовательских данных – это введение нормы обязательного опубликования компаниями сообщений об утечках и выплат компенсаций пострадавшим. Сегодня в России операторы данных не обязаны разглашать информацию об их утечке, однако с недавнего времени этот путь имеет шансы укорениться и в нашей стране.
В таком случае по существу, рядом с государственным «кнутом» в виде системы штрафов за нарушения правил обработки персональных данных появляется и «пряник» — система, в которой компаниям становится действительно невыгодно допускать утечки. А значит, появляется и смысл инвестировать в реальную, а не номинальную безопасность.
Такая система позволяет государству замотивировать бизнес на соблюдение социальной ответственности за безопасность персональных данных граждан. Бизнес же сможет рассчитывать на легитимный доступ к агрегированным данным пользователей для удовлетворения своих нужд, например, проведения рекламных и маркетинговых активностей, анализа потребительского поведения.
Как это будет работать на практике, пока неизвестно. По словам генерального директора InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации, и о подобных инцидентах компаниям как правило проще умолчать. «Что касается штрафных санкций, то если они будут небольшими, то некоторым компаниям будет проще умолчать, чем допускать репутационные риски, — отметил Алексей Нагорный. — С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять».
Но такая модель, где государство задает рамки для саморегулирования целой сферы (а обязанность информировать об утечках общественность – не что иное, как саморегулирование), выглядит наиболее многообещающей перед лицом растущей год от года ликвидности персональных данных, стремительно увеличивающихся объемов утечек и все новых способов мошенничества с использованием личной информации граждан.
