Защита персональных данных: кто виноват в утечках и как их избежать

Если у вас есть имя и фамилия, то вы уже субъект персональных данных. Защита и правила обращения с личной информацией граждан регламентирует закон, а также существует целый комплекс мер, предотвращающих утечки. Рассказываем, как защитить свои персональные данные от злоумышленников.

Что такое персональные данные

Чтобы понять, какие меры безопасности принимать, нужно разобраться, что такое персональные данные (ПД). Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года в этом случае — основной достоверный источник юридической информации. Согласно ему, любая информация, которая связана с физическим лицом, — это его персональные данные. Примеры: фамилия, имя, возраст, дата рождения, вероисповедание и национальность. Человек, к которому относится эта информация, — субъект персональных данных.

Но есть загвоздка: не существует строгого списка, что именно входит в «персональные данные». Также у федеральных органов исполнительной власти недостаточно полномочий, чтобы уточнить их состав. С точки зрения юристов здесь остается возможность для разных толкований. На практике же каждая компания, которая взаимодействует с персональными данными сотрудников и клиентов, определяет их состав самостоятельно, опираясь на специфику своей деятельности.

Виды персональных данных

Есть ряд исключительных случаев, когда использовать персональные данные можно без получения согласия от субъекта:

• свободно обрабатывать и применять можно общедоступные данные — например, адреса и телефоны из специализированных справочников;
• если информация необходима государственным структурам для исполнения своих полномочий — например, полиции, службе судебных приставов;
• если получение и обработка данных нужны для судебного производства;
• если раскрытие и публикация данных требуются в соответствии с федеральным законом;
• если цель использования связана с международным договором или законом;
• если от получения информации зависят жизнь, здоровье субъекта, но согласие получить невозможно по тем или иным причинам;
• если ПД необходимо получить и обработать для достижения общественно значимых целей;
• журналисты могут использовать данные в своей профессиональной деятельности;
• обезличенные ПД можно использовать для проведения статистических исследований.

Организация, которая собирает информацию о человеке, становится оператором персональных данных — неважно, в интернете или нет. Основными операторами в сети сегодня являются госорганы, банки, мобильные операторы, торговые сети, в том числе маркетплейсы. Они и любые другие операторы онлайн и офлайн, а также другие лица, имеющие доступ к персональным данным, должны соблюдать конфиденциальность: не распространять информацию без согласия субъекта или наличия законного основания — например, по запросу полиции. 

Что будет, если произойдет утечка персональных данных?

Законодательство РФ определяет дисциплинарную, административную и даже уголовную ответственность за нарушение правил обращения с персональными данными. Чаще всего компании сталкиваются с проблемами, если:

• действуют без согласия от субъектов на обработку персональных данных;
• передают данные для обработки сторонним организациям или лицам без согласия;
• передают данные за границу, не получив письменного разрешения от субъектов;
• не получают согласие на обработку биометрических персональных данных — например, оформление пропуска при приеме на работу;
• нарушают правила защиты персональных данных.

В понятие «персональные данные» можно включить любую информацию о человеке, которая позволяет его идентифицировать. Большинство людей делится той или иной ее частью в интернете — например, в социальных сетях можно легко найти профиль с фотографиями в нужном ракурсе и качестве, именем и фамилией, телефоном и другими подробностями. Можно поспорить о безопасности, но с момента добровольного размещения информации в открытых источниках данные становятся общедоступными. При этом по требованию субъекта площадка должна немедленно удалить данные, но на практике это бывает сложно реализовать — интернет помнит всё. 

Персональные данные в интернете: опасные «печеньки» и часы-шпионы

Большинство людей сегодня пользуются социальными сетями, в результате на этих ресурсах копится много персональных данных. Также сейчас активно развиваются технологии интернета вещей — IoT, и устройства «умного дома» или смарт-часы также передают достаточно много личной информации о своих владельцах в сеть. Такие домашние устройства, как умные колонки, камеры видеонаблюдения, умные замки, очень удобны и создают ощущение, что будущее из старых фильмов наступило. Но в то же время это новый риск утечки личной информации владельцев.

Одна из основных угроз — «умные» устройства можно взломать. Если преступники получат доступ к одному из приборов, взломать вашу домашнюю сеть и другие устройства — вопрос небольшого времени. Это может привести к утечке данных банковских карт, личных сообщений и другой конфиденциальной информации.

Кроме того, некоторые умные устройства могут собирать и передавать данные о вашей жизни и привычках. Например, умный термостат может собирать информацию о вашем расписании работы, а умный холодильник может знать, какие продукты вы покупаете и потребляете. Если эти данные попадут в руки третьих лиц, возникнет угроза вашей безопасности, риск ограбления или репутационных потерь.

Cookies, которые собирает большинство сайтов в интернете, — это тоже персональные данные. Интернет-провайдеры аккумулируют информацию о поведении пользователей в сети, мобильные операторы — о перемещениях пользователей. Грубо говоря, если вы ввели свои имя и фамилию на сайте, все остальные сведения, которыми вы делитесь, становятся персональными данными. Чтобы вся эта информация не обернулась против людей, каждая компания обязана соблюдать меры по защите персональных данных.

Что такое защита персональных данных и кто за нее отвечает

Защита персональных данных — это весь набор мероприятий, помогающих обезопасить данные физических лиц. Операторы данных собирают информацию о своих сотрудниках, клиентах, пользователях и по закону обязаны надежно их хранить и защищать от утечек. 

Так, когда новый сотрудник устраивается в компанию, он передает информацию о себе в отдел кадров. Ее заносят в базу, и HR-специалисты должны соблюдать ряд правил, которые снизит риск утечки: например, использовать сложные пароли для своих рабочих аккаунтов, не записывать их нигде и не передавать посторонним.

Уровни защиты персональных данных

От степени конфиденциальности информации зависят меры ее защиты. Всего есть четыре уровня защищенности персональных данных: УЗ1, УЗ2, УЗ3 и УЗ4. Наиболее тщательно охраняют УЗ1. 

Часто предприятия используют специальные системы защиты персональных данных, чтобы обеспечить безопасность хранения информации. Чтобы избежать утечек и несанкционированного доступа к личным данным пользователей, необходимо принять комплекс организационных и технических мер.

Чтобы определить, какой уровень защиты нужен в конкретном случае, важно знать:

• вид персональных данных, которые обрабатывают;
• категория субъектов ПД — сотрудники организации или другие лица;
• количество субъектов;
• тип актуальных угроз:
  • 1-й тип: наличие уязвимостей в системном программном обеспечении, которое используется в информационной системе персональных данных — например, в операционной системе;
  • 2-й тип: наличие уязвимостей в прикладном программном обеспечении — например, в рабочих программах;
  • 3-й тип: угрозы, не связанные с уязвимостями ПО, — самый «безопасный» вариант.

Все эти показатели нужно ввести в специальном калькуляторе на сайте ФСТЭК, чтобы определить уровень защищенности. При выработке стратегии снижения риска также нужно оценить возможное воздействие угроз на бизнес и вынести решение:

• принять риск, если воздействие допустимо;
• устранить компоненты, которые приводят к возникновению угрозы;
• добавить проверки, которые смягчают воздействие риска или снижают вероятность его возникновения.

Как защищают персональные данные в компаниях

В каждой системе защиты персональных данных в организации есть организационные и технические меры.

К организационным относятся:

• разработка и внедрение четкой политики защиты данных, правил использования, обработки и хранения персональной информации;
• проведение регулярных тренингов и обучения сотрудников правилам обработки данных и процедурам безопасной работы;
• разграничение доступа к информации в зависимости от ролей сотрудников, использование двухфакторной аутентификации и регулярное обновление паролей.

Технические меры по защите персональных данных:

• шифрование для защиты информации в хранилищах данных, а также при передаче через открытые сети;
• установка систем мониторинга и аналитики для раннего обнаружения аномального поведения и попыток несанкционированного доступа;
• постоянное обновление программного обеспечения и установка патчей безопасности для защиты от известных уязвимостей;
• создание регулярных резервных копий данных для снижения рисков потери информации и возможности быстрого восстановления после инцидентов.

Если организация заботится о конфиденциальности информации и доверии пользователей, то внедрить систему защиты нужно обязательно. Спросили у эксперта, как это происходит.

Однажды внедрив систему защиты данных на предприятии, расслабляться не стоит. Обеспечение безопасности персональных данных — процесс, а не единичное действие. Злоумышленники придумывают новые способы получить банковские пароли или данные паспортов. Поэтому необходимо регулярно обновлять систему, добавлять защиту от новых типов угроз. Для этого могут понадобиться услуги «белых» хакеров — пентестеров, которые на практике проверят систему на уязвимости, попытавшись ее взломать. То, что смог взломать один хакер, сможет и другой.

Как защитить свои персональные данные в интернете

О безопасности личных данных должны заботиться не только операторы, но и сами люди. Яркий пример — телефонные мошенники, которые используют схемы давления и запугивания, чтобы получить CVC-код банковской карты или заставить человека перевести деньги на подставной счет. В этом случае сохранность данных и финансов зависит исключительно от субъекта. 

В интернете также много опасностей, которые угрожают конфиденциальности данных: кибермошенники, фишинговые сайты, вредоносные программы и многое другое. Мы привыкли делиться информацией о себе в соцсетях и не всегда задумываемся о риске утечки персональных данных. Каждый раз, когда человек регистрируется на сайте, делает покупки онлайн или использует облачное хранилище, он оставляет следы, которые могут стать «дверью» для хакеров. Утечка персональных данных может привести к краже личной информации, финансовым и репутационным потерям и даже угрозам личной безопасности. Поэтому любому пользователю сети важно позаботиться о защите. 

Для отдельно взятого человека все достаточно просто — он сам себе директор по информационной безопасности и сам себе инженер. Начать можно с анализа своей цифровой гигиены и выявления слабых сторон. Например, составить график смены паролей на всех ресурсах, постараться заметить, сколько раз вы заходите на сомнительные ресурсы, сколько раз вам звонят с подозрительных номеров и любезно предлагают озвучить данные банковских карт. А затем приступить к действиям:

• начать периодически менять пароли;
• сделать отдельную почту для сомнительных сайтов;
• обращать внимание на ссылки и адреса сайтов во избежание фишинга;
• пользоваться персональными средствами защиты информации;
• обновлять программы и операционную систему. 

Все это звучит сложно, но на самом деле, как только такое поведение входит в привычку, никакого дискомфорта оно уже не вызывает. Что касается рисков при совершении покупок в интернете, здесь все предельно просто. Если нужно купить что-то на крупном маркетплейсе, то стоит только проверить, действительно ли вы находитесь на сайте маркетплейса, а не на его клоне. Во всем остальном — за вашу безопасность отвечает маркетплейс, и делает это хорошо, иначе ему придется платить огромные штрафы. Все меняется, если вы решили купить что-то у частного лица, на барахолке или с помощью перевода средств на карту. В таком случае ваша безопасность — ваших рук дело. И подходить к таким сделкам нужно со всей ответственностью: проверять владельца карты, не соглашаться на предоплату без подтверждения наличия товара, обязательно требовать чек, договор или иное подтверждение сделки. Вернуть деньги в случае мошенничества вероятность есть, а вот нервные клетки, к сожалению, не возвращаются.

Коротко о том, что такое персональные данные и как их защитить

Персональные данные сотрудников, клиентов, других пользователей — это любая информация о человеке от имени и фамилии до банковских реквизитов и биометрии.

Если организация собирает, обрабатывает и использует ПД в своей деятельности, необходимо провести аудит и внедрить систему защиты — комплексное решение для снижения рисков утечки. Это поможет минимизировать риски финансовых потерь, сохранить доверие клиентов и сотрудников компании и избежать проблем с законом — внушительных штрафов и уголовной ответственности.

Защита информации — задача не только для крупных организаций. Каждый человек, пользователь интернета должен защищать свои данные. Для этого:

• используйте надежные пароли, которые сложно подобрать, регулярно их меня их меняйте;
• используйте антивирусное ПО;
• внимательно относитесь к ресурсам, на которых нужно ввести фамилию, имя и тем более номер карты;
• если у вас есть дети, позаботьтесь об их безопасности: объясните базовые правила информационной безопасности, установите родительский контроль там, где возможно.