Как интернет узнает ваши телефоны и адреса. Что не так с хранением персональных данных

Насколько легко узнать ваш домашний адрес, телефон и данные банковской карты и можете ли вы себя обезопасить?

Персональные данные россиян регулярно попадают в открытый доступ в результате утечек. Рассказываем, почему так происходит, чем грозит и можно ли это предотвратить.

Что такое персональные данные?

В законе "О персональных данных", принятом в 2006 году, объясняется, что это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". 

Проще: к ним относятся все данные, указанные в ваших документах: ФИО, дата и место рождения, адрес, семейное положение, данные об образовании, состоянии здоровья и профессии. Данные, написанные на вашей банковской карте, — тоже. И даже то, что открыто указано в вашем профиле в любой соцсети, — для них есть уточняющий термин "общедоступные персональные данные".

Я часто слышу об утечках персональных данных. Что это значит?

Речь о том, что преступники крадут базы с персональными данными, пользуясь уязвимостями в защите.

С начала пандемии утечек данных стало больше, как и в целом киберпреступности. По данным Генпрокуратуры РФ, в 2020 году (полных данных за 2021 год пока нет) произошло 510,3 тыс. преступлений в этой сфере. Они составили 25% среди всех преступлений, зарегистрированных в стране. Еще шесть лет назад в общей структуре преступности на их долю приходилось менее 2%. 

"За последний год количество утечек данных по всему миру выросло колоссально. У каждого человека сначала украли, а потом продали его данные больше чем один раз. В 75% случаев за утечки ответственны внутренние сотрудники, инсайдеры. И чем крупнее база данных у компании, тем более она интересна с точки зрения мошенников", — рассказала Наталья Касперская, президент группы компаний InfoWatch, председатель правления АРПП "Отечественный софт". 

По данным опроса "Лаборатории Касперского" в 2021 году, каждая четвертая организация в России (24%) столкнулась с утечкой данных о сотрудниках в результате киберинцидента. При этом вы можете не знать, что ваши данные утекали. Только каждая пятая из них (23%) рассказала о случившемся инциденте до того, как о нем узнали СМИ, а 74% вообще не комментировали его.

Как происходят утечки?

По-разному.

За данными охотятся хакеры — они могут использовать программы-вымогатели и взламывать корпоративную почту. В прошлом году, по данным "Лаборатории Касперского", стало больше атак с помощью шпионских программ. 

Исследователи безопасности — те, кто ищет уязвимости в системах защиты, — почти каждый день сообщают о незащищенных облачных серверах. "Зачастую технические специалисты забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы", — говорится в отчете InfoWatch. 

Во многих случаях пользователи становятся жертвами фишинга — мошеннических рассылок и уведомлений, нацеленных на то, чтобы вы ввели учетные данные на поддельной странице. 

Что дальше происходит с этими данными?

Обычно эти базы с украденными данными продают в даркнете ("темный", нелегальный интернет — это часть интернета, работающая по своим протоколам и алгоритмам для достижения максимальной анонимности). 

О каких ценах идет речь? В русскоязычном сегменте даркнета пакет со сканом паспорта, селфи с паспортом, ИНН, СНИЛС стоит от 300 рублей, а скан паспорта с ИНН — в среднем 100 рублей. То есть это цена за один контакт. В 2020 году хакеры украли 250 тыс. баз данных и продавали каждую по $500. В 2018 году на одном из форумов за 8 биткойнов продавали сведения о 70 млн пользователей Telegram. 

Я буду пользоваться услугами крупных и надежных компаний. Они не допустят утечки

Это не поможет. В разное время от утечек данных пострадали ЦРУ, ФБР, министерства обороны США, Великобритании, Международный олимпийский комитет, Народный банк Китая, Facebook, Skype, Tinder, WhatsApp, YouTube и так далее.

Неуязвимых систем нет. Все, что вы можете сделать для своей безопасности, — это выполнять базовые правила: использовать сложные пароли, подключить двухэтапную аутентификацию в своих аккаунтах в соцсетях, не переходить по подозрительным ссылкам в письмах, не выкладывать в открытый доступ данные документов. Здесь мы писали подробно о том, как обезопасить свои данные. А здесь разбирали, как защитить аккаунты в соцсетях.

Но повлиять на то, как компании защищают свои базы с данными, не во власти пользователей.

Кто-то несет ответственность за то, что мои данные утекли?

Формально для компаний, которые допустили утечку, есть штрафы. 

Если российская компания допустила утечку в результате хакерской атаки, на нее могут наложить административный штраф в соответствии со ст. 13.11 КОАП "Нарушение законодательства РФ в области персональных данных".

"Размеры штрафов — от 4 тыс. до 10 тыс. рублей для должностных лиц, от 10 тыс. до 20 тыс. рублей для индивидуальных предпринимателей, от 25 тыс. до 50 тыс. рублей для юридических лиц, — разъясняет Ашот Оганесян, основатель компании DeviceLock. — Но на практике в России контролируется скорее формальная сторона — наличие регламентов и прочих документов, и если они в порядке, компании ничего не грозит в случае утечки".

Наказание для российских и европейских компаний различается. Но есть тенденция: во всем мире требования к охране персональных данных становятся строже. "С мая 2018 года в Евросоюзе действует жесткий регламент обработки персональных данных (GDPR), — продолжает Оганесян. — Там и требования к защите данных сформулированы однозначно, и штрафы — до 4% общемировой выручки компании. GDPR только начинает действовать — ведомства, ответственные за его соблюдение, набираются опыта, приводится в соответствие местное законодательство — до совершенства новой норме еще далеко".

Для хакеров предусмотрены санкции в Уголовном кодексе РФ.

"Если персональные данные, входящие в базу, охранялись как коммерческая тайна и были похищены продавцами левых баз данных, то они должны отвечать по ст. 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну", — добавляет Станислав Мачихин, юрист. Максимальное наказание — лишение свободы на срок до семи лет.

"И не стоит забывать про ст. 137 УК РФ, которая запрещает незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия", — уточняет Мачихин.

По данным Генпрокуратуры РФ, раскрываемость таких преступлений составляет не более 25%.

Мне звонят из незнакомых компаний — предлагают услуги. Как у них оказались мои контакты? В результате утечки?

Не обязательно базу с вашими контактами купили на черном рынке. Ее могли и легально взять у компании, где вы обслуживаетесь. Подписывая стандартный договор с банком, фитнес-клубом или мобильным оператором, вы могли разрешить передавать ваши контакты третьим лицам.

Вы, кстати, можете отозвать согласие на обработку персональных данных у любой компании. Правда, не факт, что у вас получится остановить звонки и СМС. Одна компания может передавать сведения о вас не только двум-трем партнерам, а десяткам подрядчиков. К тому же оператор имеет право использовать их минимум, пока не закончился срок договора. Почитать об этом подробнее можно в нашем эксперименте (три редактора ТАСС разбирались, что компании делают с их данными).

Но в случае, если ваши данные незаконно передали и вы каким-то образом смогли установить этот факт, виновных накажут штрафами по ст. 13.14 КоАП РФ. Штрафы — до 50 тыс. рублей для юрлиц. А если клиентскую базу продали менеджеры, им грозит штраф до 5 тыс. рублей. Для оператора могут наступить и последствия гражданско-правового характера. Человек, который считает, что его права нарушены, может предъявить требования компенсации морального вреда, имущественного ущерба и убытков.

Анастасия Акулова