И снова о безопасности персональных данных или «Алло, вас беспокоит служба безопасности банка»

Повторение — мать учения и скучного текста, но как тут не повторяться, если что ни день, то новые утечки персональных данных, а по телефону теперь звонят только роботы и мошенники. Еще полноценная весна не наступила, а с начала года уже зафиксировано 27 крупных утечек, которые привели к публикации в сети 165 млн строк персональной информации россиян. Да-да, утекших данных больше, чем нас самих, потому что тут и наши заказы пиццы, и номер банковской карты, и сертификат о прививке от ковида.

В этой статье мы разберемся в трех китах безопасности персональных данных: в какие щели информационной безопасности утекают персональные данные, что делать бизнесу, чтобы избежать таких утечек, и что делать нам с вами — людям, которым даже в секс-шоп не зайти, не потеряв лица (в смысле персональных данных).

К персональным данным (ПД) относится очень широкий круг информации: от собственно имени, номера телефона до таких специфических данных, как цвет глаз или список покупок в маркетплейсе. Закон о ПД делит данные на четыре категории:

1. Общедоступные персональные данные: фамилия, имя, отчество, год и место рождения, адрес, номер телефона, адрес электронной почты, сведения о профессии и некоторые иные персональные данные. Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение (а значит, может потребовать их оттуда удалить).
2. Биометрические персональные данные: отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография). Да-да, фото тоже относится к биометрическим персональным данным. То есть, если компания хочет опубликовать у себя фотографии с корпоратива, она должна запросить у сотрудников разрешение на распространение биометрических данных.
3. Специальные категории персональных данных: сведения, касающиеся состояния здоровья; гендерная и расовая принадлежность; сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни; философские воззрения; религиозные убеждения; политические взгляды и т. д.
4. Иные персональные данные: четкого определения у них нет, законом отмечено лишь то, что они не относятся к предыдущим трем категориям. Сюда как раз можно отнести ваш список покупок, размер зарплаты или кличку домашнего питомца.

Если верить собственным ощущениям, то утечек данных с каждым годом (да что там, с каждым днем!) становится все больше. Но так ли это на самом деле или же информация об утечках теперь чаще становится публичной, чем раньше? Так, по новому закону, с сентября прошлого года операторы персональных данных обязаны направлять в Роскомнадзор информацию обо всех фактах компрометации своих систем, обрабатывающих персональные данные. С этого момента в ведомство поступило 130 таких сообщений.

По данным Infowatch, в 2022 году на утечки, вызванные действиями злоумышленников, пришлось 96%. Остальные 4% — собственная невнимательность владельцев ПД: не туда отправленный имейл, потерянные флешки и телефоны и т. д. При этом стоит отметить, что ⅔ «злоумышленников» — это не сериальные хакеры в черных худи с капюшоном, взламывающие Пентагон, а сами сотрудники компаний, которые допустили утечку или по ошибке, или намеренно продали информацию заинтересованным лицам.

Чаще всего данные собственных клиентов сливали сотрудники банков, микрофинансовых организаций, коллекторских бюро и операторов связи. Хакерам чаще других удавалось взломать базы данных интернет-магазинов и сервисных компаний, отелей и перевозчиков. Чаще других утекают клиентские базы: ФИО, контактные данные, данные о заказах, суммах, адресах доставки, история звонков.

Насколько в России все плохо (или хорошо?) с информационной безопасностью по сравнению с другими странами? По данным Global Cyber Security Index, который составляет Международный союз электросвязи, Россия занимает 5 место в мире по индексу кибербезопасности. Топ по итогам 2021 года (последние опубликованные данные) выглядит так:
• Самый высокий показатель у США: 100 пунктов.
• Второе место делят Великобритания и Саудовская Аравия: по 99,54.
• Дальше идет Эстония с 99,48 балла.
• На четвертом месте Южная Корея, Сингапур и Испания с показателем 98,42.
• Россия занимает в списке пятое место с показателем 98,06. На одной строчке с нами — Арабские Эмираты и Малайзия.

Для сравнения: в 2019 году Россия находилась на 29-й строчке этого рейтинга, результат 2021 года — максимальное значение за все время публикации индекса.

Через какие «дыры» утекают персональные данные? Давайте посчитаем хотя бы самые распространенные:

Инсайдеры — самая большая «дыра» через которую утекают персональные данные. На противоправные действия сотрудников компаний приходится 67% всех утечек ПД в 2022 году.
Хакерский взлом — злоумышленники могут использовать различные методы для взлома баз данных, содержащих персональные данные, от уязвимостей в ПО до методов социальной инженерии. Это вторая по размерам, но первая по размерам ущерба «дыра», — на ее долю приходятся как самые большие утечки (данные миллионов или даже сотен миллионов пользователей), так и самые дорогостоящие (только у криптоинвесторов в прошлом году хакеры украли $3,8 млрд).
Фишинг — метод, при котором злоумышленник выдает себя за доверенное лицо (например, банк или интернет-магазин), чтобы получить доступ к вашим учетным записям или личным данным.
Ненадежные приложения: приложения, которые не были созданы или проверены надежными разработчиками, и могут использоваться для сбора или кражи персональных данных.
Незащищенные Wi-Fi-сети: использование общественных Wi-Fi-сетей может быть рискованным, так как злоумышленники могут перехватывать данные, передаваемые через них.
Утеря или кража устройств: если устройство, содержащее персональные данные, попало в руки злоумышленников, то вместе с ним и ваши персональные данные, если они не защищены паролем или двухфакторной аутентификацией.

Сначала люди боятся заполнять анкету при посещении врача, а потом сами вводят свои имена, номера телефонов и реквизиты банковских карт на страницах псевдоконкурсов, лотерей и опросов или на сайтах-двойниках. Не надо так!

Все советы для безопасности персональных данных давно известны, их уже чуть ли не в детском саду рассказывают, но вот следуют им далеко не все. Поэтому давайте повторим прописные истины. Абсолютно точно нужно:

Использовать надежный пароль для всех учетных записей. Пароль должен быть длинным (не менее 8 символов), содержать буквы, цифры и символы. Можете проверить, не входит ли ваш пароль в список самых популярных в мире.
Регулярно обновлять пароли (раз в 3 месяца) и не использовать одинаковый пароль для разных учетных записей. Это позволит избежать ситуации, когда злоумышленник получает доступ ко всем учетным записям пользователя после утечки пароля одной из них.
Использовать двухфакторную аутентификацию (лучше с использованием сервисов генерации одноразовых паролей, например Яндекс.Ключ или Google Authenticator) там, где это возможно. Это позволит обеспечить дополнительный уровень безопасности, требующий от злоумышленника не только знание пароля, но и наличие физического доступа к устройству.
Использовать защищенные соединения при работе с сайтами, которые содержат персональные данные, такие как номера кредитных карт, пароли и т. д. Для этого необходимо обращать внимание на наличие в адресной строке сайта протокола HTTPS и замочка. Также старайтесь не переходить на сайты по рекламным баннерам, лучше воспользуйтесь поисковиком, чтобы найти и открыть сайт.
Не открывать подозрительные электронные письма или сообщения в мессенджерах и социальных сетях, которые могут содержать вредоносные программы или ссылки на поддельные или зараженные сайты.
Внимательно подходить к установке мобильных приложений, которые получают доступ к вашим личным данным и записной книжке. Следить за разрешениями, которые приложение требует для работы, стараться ограничивать доступ к ненужным опциям и возможности отслеживания.

Очень желательно, если вы хотите обеспечить безопасность своих данных:

Избегать использования открытых Wi-Fi-сетей, в особенности не предусматривающих ввод пароля. Как со всем незащищенным, тут важно понимать, что сеть может быть использована злоумышленником для перехвата ваших данных.
Использовать антивирус и обновлять программное обеспечение и антивирусные базы на всех устройствах. Это позволит защититься об базовых угроз и исправлять уязвимости, которые могут быть использованы злоумышленниками для получения доступа к персональным данным.
Не класть все яйца в одну корзину: использовать несколько отдельных почтовых ящиков для рассылок, рабочей и личной почты, а также оповещений от критичных сервисов, таких как банки или портал госуслуг.
Использовать отдельные номера телефонов для регистрации на порталах объявлений. Сейчас некоторые операторы предлагают услугу второго номера, который можно без дополнительной сим-карты подключить на время, а после использования — отключить.

А вот что точно не поможет, так это запрет на передачу персональных данных третьей стороне. Практически невозможно определить источник утечки данных, поэтому большинство операторов, в том числе систем лояльности, будут продавать ваши данные сторонним компаниям, независимо от того, дали вы согласие на это при заполнении анкеты или нет.

Любая утечка данных бьет по бизнесу сразу с трех сторон. Во-первых, с репутационной: даже если информация окажется бесполезной для злоумышленников, сам факт взлома или утечки компрометирует бизнес в глазах пользователей и инвесторов. Во-вторых, с регуляторной: за утечки персональных данных для бизнеса предусмотрены штрафы — до 18 млн руб. за повторное нарушение при сборе ПД. В-третьих, с финансовой: потеря коммерческих секретов, ноу-хау и технологических разработок может стоить в разы больше, чем любой штраф.

Давайте пройдемся по пунктам, которые являются универсальными для всех компаний:

Для успешной защиты от атак, включая целевые и сложные, необходим системный подход к обеспечению безопасности. Распространенной ошибкой в построении системы ИБ является приобретение и настройка средств защиты без учета особенностей бизнеса конкретной компании. Аналогично строительству дома без проекта, это даст экономию на стадии разработки, но приведет к дорогим последствиям в будущем.
Важным элементом системы ИБ является разграничение доступа и контроль за ним. Прежде всего, необходимо провести инвентаризацию информационных активов, определить данные, которые требуют защиты, и смоделировать возможные угрозы. А уже после этого следует внедрять организационные и технические меры защиты.
Технические средства защиты включают разнообразные системы: Data Leak Prevention, Next-Generation Firewall, Web Application Firewall, Network traffic analysis, Privileged Access Management, Sandbox, Endpoint Protection и Endpoint Detection and Response и т. д. Однако для полноценной защиты недостаточно просто внедрить какое-то из средств, необходимо выстраивание эшелонированной системы безопасности.
Организационные меры и регулярное обучение сотрудников базовым навыкам кибербезопасности также являются важными компонентами системы ИБ. На рынке существуют платформы, которые позволяют не только обучать сотрудников, но и проверять, как они усвоили знания. Такие платформы могут использовать тестовые фишинговые письма, которые отслеживают, как сотрудник отреагировал на сообщение, перешел ли по ссылке, и предоставляют информацию об этом в виде отчета.
Не стоит забывать о базовых принципах цифровой гигиены даже при внедрении технических средств защиты. От надежности паролей и двухфакторной аутентификации до менеджмента уязвимостей. Ведь пароль, перехваченный злоумышленником через незакрытую уязвимость, например, в устаревшем ПО, может скомпрометировать всю сеть компании. В случае необходимости передавайте учетные данные только в защищенном виде, например, в архивах с паролем, а для его передачи используйте самоуничтожающиеся заметки, например, privnote.com.

Отдельные (конечно же, более жесткие) требования предъявляются компаниям, которые государство относит к объектам критической информационной инфраструктуры, — от районной поликлиники до атомной электростанции. Их случаи мы разобрали в предыдущей статье.

Единственный способ как людям, так и бизнесу на 100% избежать утечки персональных данных — не иметь их. Но даже в XIX веке это было уже не особо возможно, а в XXI — и подавно. Поэтому остается из раза в раз повторять одно и то же и давать старые (но действенные!) советы. Поэтому, если вы дочитали до этого момента и узнали что-то новое или просто решили пойти обновить пароль или включить двухфакторную аутентификацию, мы не зря написали эту статью.

12 комментариев

Инга Семёнова

29.03.2023

Я меняю один раз в год пароли, и первую половину года тупо все время путаюсь. Пока привыкнешь - уже пора занова менять.

Ответить

Цифроматика

Автор

Очень вас понимаем, в этом случае можем рекомендовать использовать приложения-менеджеры паролей, типа 1Password или LastPass. Они поддерживают как телефоны на Android/iOS, так и Windows/Mac.