Как защитить свои конфиденциальные данные?

28 января во всем мире отмечается Международный день защиты персональных данных.

Праздник учрежден для того, чтобы напомнить пользователям интернета о соблюдении правил поведения в Сети, которые помогают защитить конфиденциальную информацию от посторонних лиц.

О том, как избежать утечек информации, рассказал Даниил Чернов, директор центра решений безопасности ПО компании «Ростелеком-Солар».

Как защитить свои конфиденциальные данные?

Хакеры получили доступ к исходному коду Microsoft

Количество писем и сообщений, которые получает пользователь от брендов и онлайн-магазинов, постоянно растет.

Часто злоумышленники пользуются доверием людей и с поддельных email-доменов и номеров отправляют привлекательные спецпредложения, срок действия которых строго ограничен.

Их цель — побудить пользователей перейти на фейковый сайт, который практически полностью имитирует официальный, и совершить на нем ввод персональной информации и данных банковской карты. Торопясь воспользоваться предложениям, люди часто попадаются на эту уловку.

Оперативно ставьте программные обновления

Разработчики операционных систем и приложений систематически выпускают новые версии, в которых добавляют новые возможности для пользователей, а также исправляют уязвимости системы. Вместе с тем, когда выходит обновление, появляется его описание в сети.

Таким образом, злоумышленники получают сигнал о том, что в новой версии исправлена уязвимость, а значит могут направить усилия на атаку пользователей системы, которые еще не успели обновить программное обеспечение до новой версии и могут быть подвержены конкретной угрозе.

Как правило, эксплуатация этих уязвимостей приводит к утечке данных о пользователе.

Не загружайте программное обеспечение и любые другие файлы из непроверенных источников

Вместе с этими файлами пользователь рискует установить шпионское ПО, которое может долгое время скрываться в устройстве, ничем себя не выдавая. Программа-шпион коллекционирует данные о пользователе, записывает все нажатия клавиш и делает снимки с экрана. После этого информация отправляется владельцу вредоносной программы. Как он ей распорядится — неизвестно.

Остерегайтесь публичных сетей Wi-Fi

Как защитить свои конфиденциальные данные?

Чем опасен вирус, маскирующийся под самую обсуждаемую игру года

Точки доступа к бесплатному интернету окружают нас везде: вокзалы, аэропорты, кофе-поинты и т.д. Через них можно получить информацию о посещенных сайтах, логины, пароли, адреса электронной почты и т.д.

Организациям, которые ставят публичные Wi-Fi, эта информация, как правило, не интересна. Однако киберпреступники очень живо ею интересуются.

Чтобы выудить данные о пользователях, они ставят бесплатные Wi-Fi-ловушки, через которые могут украсть персональные данные и пароли пользователей, подключившихся к их сети.

Читайте пользовательское соглашение

Разработчики приложений обязаны запрашивать разрешения пользователей на обработку и передачу их персональных данных.

Эти пункты содержатся в больших лицензионных соглашениях, которые принимают пользователи при установке приложений. Подавляющее большинство людей их принимает, не читая.

Так, мы сами даем разработчикам софта разрешение на передачу персональных данных третьим лицам, которые используют их в своих целях.

Проверьте и настройте доступ приложений к камере, микрофону, геолокации, галерее и файлам

Бизнес-модель многих приложений основана на монетизации персональных данных. Они бесплатно предоставляют полезный и интересный для широкой аудитории функционал, но взамен требуют согласия на обработку и передачу персональных данных третьим лицам.

Лучше воздержаться от предоставления избыточной информации о себе, ограничив доступ приложения только к тем данным, которые требуются для функционирования системы.

Если приложение для чтения книг хочет получать доступ к вашей геолокации — это повод насторожиться.

Используйте сложные и разные пароли

Как защитить свои конфиденциальные данные?

Как узнать, что ваш телефон взломали. Пять признаков

Современные киберпреступники используют сложные технологии для подбора паролей. Эти системы подбирают стандартные пароли или простые связки. Если пароль короткий, в нем отсутствуют цифры, буквы разного регистра, специальные символы, его легче взломать.

При этом необходимо использовать разные пароли к учетным записям. Похитив или подобрав пароль к одной, злоумышленники обязательно попробуют использовать его для других. Если эти пароли совпадают, злоумышленник не только соберет данные со всех учетных записей, но и сможет совершать через них необходимые ему операции.

Пользуйтесь антивирусным ПО

Антивирус анализирует файлы и элементы сети на предмет вредоносной активности, а в случае ее обнаружения устраняет проблему. Даже бесплатная версия программы способна защитить от основных видов кибератак, последствиями которых может стать кража персональных данных.

Настройте автоматическое резервное копирование данных

Хакеры прикладывают все усилия, чтобы найти лазейку в защите и доставить вредоносное программное обеспечение на устройство жертвы. Один из видов популярных среди хакеров вирусов — программа-вымогатель.

Она блокирует экран устройства и шифрует все данные на диске, требуя за ключи дешифрования выкуп. При этом оплата чаще всего не приводит к разблокировке устройства, а лишь стимулирует их распространять этот вирус дальше.

Украденные персональные данные уже не вернуть, но те пользователи, которые настроили автоматическое резервное копирование до атаки, смогут получить копию сохраненных данных.

Что такое приватность данных?

Объем цифровой информации в мире удваивается каждые два года. По большей части это личные данные пользователей.

Мы пользуемся смартфонами, компьютерами, планшетами, IoT-устройствами – все они собирают информацию об использовании. Мы оплачиваем покупки в онлайн-банках, бронируем билеты и общаемся с друзьями онлайн. Наши дети делают домашнее задание онлайн. В интернете мы работаем, общаемся и даже ищем вторую половинку.

Интернет-пространство меняется с бешеной скоростью, а проблемы с приватностью данных усугубляются.

Угрожает ли интернет вашей приватности?

Информация – это деньги. Это главная причина, по которой вашим личным данным угрожает опасность.

Рекламщики охотятся за вашей историей поиска в браузере – они могут извлечь большую выгоду из этой информации. Допустим, вы вбиваете в строке поиска «квартира в аренду» или «купить квартиру». Увидев историю вашего поиска, рекламщик поймет, что вы вскоре планируете переезжать. Это повод показывать вам рекламу грузового такси, мебели, магазинов стройматериалов и страховых компаний.

Это вполне законно. Однако на ваших данных могут зарабатывать и мошенники. В дарквебе в открытую торгуют данными кредитных карт, поэтому для киберпреступника получить доступ к системе бронирования авиакомпании или к базе клиентов онлайн-магазина – большая удача.

Злоумышленники могут использовать любую информацию, которую вы выкладываете в Сеть, – именно поэтому важно следить за безопасностью личных данных. Давайте разберемся, почему приватность в Сети так важна и как вы можете защитить личные данные.

Что такое приватность в Сети и почему она так важна?

Вмешательство в вашу личную жизнь в интернете несет реальную опасность. Злоумышленники могут взломать вашу электронную почту, украсть вашу личность, распространить информацию о состоянии вашего здоровья без вашего ведома или передать ваши банковские данные третьим лицам.

Риски намного серьезнее, чем думает большинство людей. Дело в том, что происходит с личной информацией после получения доступа к ней.

Использование больших данных предполагает, что вашу историю поиска могут проанализировать и сделать на ее основе нежелательные для вас выводы. Допустим, девушка заказывает добавки с фолиевой кислотой и увлажняющий крем без отдушек.

Маркетологи на основе ее покупок или истории поиска могут сделать вывод, что она ждет ребенка, и выслать на ее почтовый ящик рекламные материалы для беременных.

Если девушка живет с родителями или еще не рассказала о беременности партнеру, она вряд ли оценит такое внимание.

Это лишь один из многих примеров, доказывающих, что приватность в интернете касается не только защиты учетной записи в системе онлайн-банкинга или аккаунта в социальных сетях.

Каждый раз, когда вы заходите на сайт или скачиваете приложение, ваши данные сохраняются – возможно, без вашего согласия. Вы можете даже не подозревать об этом.

Вы, скорее всего, желаете знать, куда отправляются ваши личные данные и как они будут использованы, а может, и вовсе против того, чтобы их собирали.

Как защитить личные данные в интернете: безопасное соединение

Один из способов защитить свои личные данные в интернете – использовать безопасные соединения. Когда вы ищете что-то в интернете, отправляете письмо или пользуетесь навигатором в телефоне, вы обмениваетесь данными с сервером. Пока информация находится в пути, ее нужно защищать.

Один из первых шагов к защите личных данных в интернете – убедиться, что ваше соединение безопасно. На домашнем роутере нужно установить надежный пароль, который сложно подобрать.

Было бы неплохо поменять и имя пользователя: часто в нем фигурирует имя вашего провайдера или производителя маршрутизатора. Такая информация может пригодиться злоумышленникам.

Если у вас есть домашняя сеть Wi-Fi, применяйте протокол шифрования WPA, и тогда чужие ей не воспользуются.

Теперь бесплатный Wi-Fi есть во многих кафе, гостиницах и других общественных местах – вы можете сидеть в интернете практически где угодно. Но будьте осторожны: общественный Wi-Fi крайне небезопасен.

Если в открытой сети используется простая аутентификация, к ней легко подключиться. Однако так же легко вы можете стать жертвой киберпреступника.

Читайте также:  В иске просил рассмотреть дело в мое отсутствие, но требуют явиться в суд в обязательном порядке

Не используйте общественный Wi-Fi для оплаты покупок и перевода средств или обмена конфиденциальными данными.

Воспользуйтесь виртуальной частной сетью (VPN) – она поможет защитить Wi-Fi от взлома. Эта технология устанавливает между вашим устройством и сервером соединение, защищенное шифрованием. С ее помощью вы скроете свои действия в интернете от посторонних глаз. Так что VPN обеспечит вам безопасность, даже если вы пользуетесь общественным Wi-Fi.

Для передачи конфиденциальных данных лучше использовать безопасный браузер и сайты с протоколом HTTPS, а не HTTP. HTTP-страница может быть взломана шпионской программой, которая будет запоминать все введенные вами данные (например, логин и пароль от онлайн-кабинета в банке).

HTTPS-сайты используют протоколы SSL и TSL для шифрования вашего соединения.

Проще говоря, такой протокол создает защищенную цифровую среду, в которой вы можете обмениваться данными через браузер без риска быть «подслушанными» – что-то вроде безопасного рукопожатия.

При использовании SSL в адресной строке вашего браузера появится изображение замка, а само название веб-сайта будет начинаться не с http, а с https. Если хотите узнать больше о сертификате сайта, нажмите на замок.

Конфиденциальная информация: как защитить корпоративные данные

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд.

Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру.

Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).
  • Документы материальные и представленные в электронном виде.
  • Технические средства носителей информации и их обработки.
  • Выпускаемая продукция.
  • Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.
  • Искажение информации.
  • Утеря информации.
  • Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.
  • Запросы из государственных органов.
  • Проведение переговоров с потенциальными контрагентами.
  • Посещения территории предприятия.
  • Документооборот.
  • Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

  • Акустический канал утечки информации.
  • Визуальный канал.
  • Доступ к компьютерной сети.
  • Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).
  • Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).

  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).

  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).

  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).

  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Курс «Специалист по информационной безопасности» в Русской школе управления

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.
  • Оптимизировать защищаемые информационные потоки.
  • Определить формы представляемой информации.
  • Установить виды угроз защищаемой информации и варианты их реализации.
  • Установить, кому может быть интересна защищаемая информация.
  • Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
  • Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
  • Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.
  • Удаленный доступ к информации.
  • Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.
  • Настройка программного оборудования (особенно после обновления).
  • Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.
  • Разграничение доступа к информации.
  • Дробление информации на части.

5 принципов информационной безопасности

  1. «Принцип системности».

    К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

  2. «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

  3. «Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

  4. «Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

  5. «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в х к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

  • Руководителям и ведущим специалистам служб безопасности и информационной безопасности; 
  • Владельцам бизнеса; 
  • Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесь

Защита конфиденциальной информации: утечка данных по вине сотрудников

«Лаборатория Касперского» совместно с аналитической компанией B2B International выяснила, что 41% российских компаний задумываются о безопасности корпоративной информации и предотвращении утечек данных.

Правда, пока большинство игроков на рынке ставят во главу угла технические методы защиты: 28% респондентов рассказали, что внедряют политики восстановления IT-систем после сбоев, а 26% — увеличивают отказоустойчивость внутренних систем.

Уделять внимание человеческому фактору в информационных преступлениях компании не спешат: всего 20% респондентов запускают программы по обучению персонала грамотной работе с IT-системами и чувствительной информацией.

«Технические средства не могут решить проблему утечек корпоративной информации, — уверен Александр Писемский, руководитель направления компьютерной криминалистики PwC Russia. – Только здоровая корпоративная культура может предотвратить информационные преступления сотрудников».

Согласно исследованию «Лаборатории Касперского», три из пяти главных причин утечек корпоративной информации связаны с действиями людей: это и случайные утечки, спровоцированные сотрудниками (8% случаев), и утечки с мобильных устройств работников (7%), и корпоративный шпионаж (7%).

В США ежегодно проводится конкурс по социальной инженерии Social Engineering CTF, на котором участники соревнуются в умении добывать корпоративную информацию о гигантах мирового бизнеса: UPS, FedEx, Verizon, AT&T, Shell, Wal-Mart, Cisco, HP. Баллы конкурсантам начисляются за выяснение, какие антивирусные решения установлены в корпоративной системе объекта, название и версию используемого браузера, имена сотрудников обслуживающего персонала и другие интересные данные.

Победитель прошлогоднего конкурса Шейн Макдугалл выиграл соревнование всего за 20 минут.

Корпоративную информацию он выведал у менеджера одного из отделений Wal-Mart в небольшом канадском городке: представившись государственным служащим, он предложил «сделку, на которой Wal-Mart заработает много денег».

Доверчивый менеджер рассказывал обо всем, что его спрашивали: графике работы IT-персонала его отделения, используемых антивирусных решениях и т д. В конце этот сотрудник даже открыл продиктованный Макдугаллом URL-адрес со страницей регистрации и ввел на ней свои конфиденциальные данные.

Александр Писемский советует компаниям, которые не хотят оказаться на месте Wal-Mart, уделять внимание корпоративной культуре и открыто наказывать нарушителей.

Поймите, кто ваш враг

Гораздо реже случаются утечки с вмешательством третьих лиц. Такие атаки еще реже раскрываются и почти никогда не предаются огласке, ведь каждое такое дело — серьезный ущерб для имиджа компании.

Преднамеренные утечки информации по вине внутренних сотрудников также случаются. Часто это плохо спланированные или эмоциональные действия: например, месть начальству или коллегам, обида за понижение и штраф. Как правило, такие преступления легко раскрываются — найти виновного сотрудника довольно просто: его выдают либо оставленные в спешке улики, либо явный мотив.

Гораздо сложнее вычислить нечистого на руку работника — того, кто целенаправленно и последовательно «крадет» или «сливает» корпоративную информацию.

Например, он хочет начать бизнес в той же сфере, что и его работодатель, или собирается сменить место работы, поэтому «уводит» из компании базу клиентов, рассказывает конкурентам о тендерном предложении своей компании. Часто такой сотрудник может вступать в сговор с контрагентами, поставщиками, партнерами своего работодателя и получать от них деньги.

Читайте также:  Можно ли ускорить сроки вступления в законную силу решения суда о взыскании долга по алиментам?

Сузьте круг подозреваемых

На самом деле в компании не так много конфиденциальной информации, раскрытие которой способно нанести серьезный ущерб.

Крупные фирмы предпочитают заранее сузить круг лиц, имеющих к ней доступ. Я всегда советую всем применять умный подход к защите данных: сфокусируйтесь на информации, от которой зависит успех вашего бизнеса, и выберите удобные и простые средства контроля доступа к ней. Руководители компании должны четко понимать, какую информацию стоит защищать, а какая не несет в себе серьезных рисков.

Как только мы понимаем, сотрудники какого отдела имеют доступ к ускользнувшим данным, мы начинаем проводить интервью и собирать электронные доказательства с компьютеров и мобильных устройств.

Обратите внимание на поведение: преступников выдает нервозность. Проверить стоит и наличие конфликтов с руководством, планы по увольнению из компании или потенциальная аффилированность к другим компаниям.

Чтобы заранее как-то обезопасить себя от нечестных сотрудников, следует при трудоустройстве проводить проверку благонадежности соискателя. Чем выше должность, тем глубже и тщательнее должна быть проверка. Для особо рисковых групп сотрудников проверки надо устраивать на постоянной основе.

Соберите улики

Важно понять, каким образом информация утекла из компании. Мы работаем с электронными данными: проводим анализ рабочего компьютера, мобильных устройств, электронной переписки, серверов и журналов активности пользователя в сети.

Так можно понять, как пользователь работал с данными в течение последнего времени: какие файлы открывал, кому отправлял, с кем переписывался по Skype, не пересылал ли их на почту, не печатал ли документы, не грузил ли их на «Яндекс.Диск» или Dropbox? Часто, проводя такой анализ, можно восстановить хронологию действий пользователя длительностью до года.

Сбор электронных доказательств необходимо производить с использованием специальной методики и инструментов, это гарантирует вам полноту информации для анализа, а также ее юридическую значимость.

Перед тем как приступить к расследованию мы всегда производим оформление всех необходимых разрешений на доступ к корпоративной и персональной информации. В нашей практике крайне редко встречались случаи, когда подозреваемые отказывали в доступе к своим корпоративным устройствам. Такое поведение сразу наталкивает на определенные выводы.

Привлечь сотрудника к ответственности за нарушение режима конфиденциальности зачастую сложно.

Во-первых, из-за несовершенства внутренних политик в компании, во-вторых, из-за отсутствия подготовленных специалистов для проведения расследований. Поэтому часто виновных в утечке конфиденциальной информации увольняют за какие-то другие проступки, например, за нарушение трудовой дисциплины или расторгают трудовой договор по соглашению сторон.

Иногда руководители решаются на возбуждение гражданских дел или обращаются в полицию, но такие действия редко заканчивается успехом. Да и далеко не все компании готовы раскрывать такие дела.

Проведите культурно-воспитательную работу

Лучшее предотвращение утечек — воспитание правильной корпоративной культуры. В компании должна быть постоянная программа по обучению работе с конфиденциальной информацией. Формальный подход не работает.

Если вы просто введете режим коммерческой тайны и напишите соответствующий регламент, это вряд ли даст нужный результат.

Когда человек приходит на работу, на него вываливают кучу всяких политик, он их читает, расписывается и забывает.

Каждый работник должен понимать, какие данные конфиденциальные и как с ними обращаться. Например, у нас в PwC регулярно проходят тренинги и мастер-классы по этой теме, обязательные для каждого сотрудника.

Плюс мы постоянно получаем письма от партнеров, касающиеся практик обращения с чувствительной информацией. Без развитой корпоративной культуры по работе с конфиденциальной информацией  даже самое дорогое и продвинутое техническое средство не даст нужного результата.

Устройте публичное наказание

Показательные наказания — крайне эффективны. Ощущение неизбежности наказания и страх перед ним — это отличный мотиватор для того, чтобы не нарушать правила работы с информацией.

Если такие дела будут спускаться на тормозах, люди в компании почувствуют безнаказанность. Если с виновным сотрудником разойдутся по-хорошему, другие тоже могут последовать его примеру.

Ведь в компании скрыть что-то невозможно: слухи быстро распространяются.

Проведите расследование и сделайте его результаты публичными внутри компании, продемонстрируйте, что кража информации точно такое же преступление, как мошенничество или любое другое, и оно несет за собой вполне осязаемое и суровое наказание.

Об эксперте

Александр Писемский, руководитель направления компьютерной криминалистики PwC Russia. До работы в PwC был одним из руководителей и сооснователем компании Group-IB. Под его руководством лаборатория компьютерной криминалистики Group-IB заняла лидирующую позицию на территории России и СНГ.

Специалисты лаборатории выполняли исследование цифровых доказательств по различным преступлениям, связанным с компьютерной информацией, и корпоративным инцидентам: мошенничества в системе дистанционного банковского обслуживания, хакерские атаки, хищение конфиденциальной информации.

DDoS-атаки, нарушение прав интеллектуальной собственности и др.

Александр является сертифицированным специалистов в области информационной безопасности и компьютерной криминалистики: GCFA (GIAC Certified Forensic Analyst), CISM (Certified Information Security Manager), CISA (Certified Information System Auditor), MCP (Microsoft Certified Professional).

Ничего личного: как защитить свои персональные данные от излишнего любопытства банков

Защита персональных данных все больше заботит банковских клиентов коллаж Banki.ru

Клиенты все чаще подозревают банки в некорректной работе с персональными данными. Где границы дозволенного законом и как на них указать финансовым организациям?

В 2018 году россияне подали свыше 10 тыс. жалоб на банки по причине некорректной работы с персональными данными, следует из статистики Роскомнадзора.

По данным ведомства, последние пару лет количество таких обращений снижается, но кредитные организации по-прежнему остаются в топ-листе «нарушителей».

В отчете за прошлый год нет информации о доле поданных банковскими клиентами жалоб, которые были признаны обоснованными. В 2015-м по итогам проверок нарушения подтвердились в 35% случаев.

Банки.ру изучил отзывы на форуме и в «Народном рейтинге» и выявил пять распространенных поводов для недовольства клиентов.

Атака рекламой

«Достали уже! Никакой управы на них нет! Постоянно звонят и предлагают свои кредитные карты и кредиты!! Сколько можно уже?! Когда уже все это закончится!» — возмущался один из пользователей «Народного рейтинга». Он, как и многие клиенты банков, готов получать услуги, но без лишнего рекламного сопровождения.

«Угораздило меня полгода назад открыть в Восточном Банке депозит на небольшую сумму. С тех пор на мой телефон регулярно идут холодные звонки с различными предложениями финансовых услуг от банка.

При этом я ставлю контакт в черный список, но в следующий раз мне звонят с другого номера. Присылаете СМС, шлете спам в почту, ну этого хватит.

Зачем человеку мешать работать?» — писала еще одна недовольная клиентка.

Согласно законодательству, кредитные организации считаются в России операторами персональных данных, то есть той информации, которая необходима для однозначной идентификации клиента.

К персональным данным относятся фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное, социальное или имущественное положение, образование, профессия, уровень дохода, перечисляет партнер юридического бюро «Замоскворечье» Дмитрий Шевченко.

Сюда же попадает биометрическая информация, банковская и кредитная история, если верить условиям обработки персональных данных на сайтах финансовых организаций. И это только очевидная часть обрабатываемых персональных данных, подчеркивает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Подобные сведения необходимы не только для проверки личности, но и для оценки платежеспособности клиента, замечает зампред правления банка «Ренессанс Кредит» Сергей Королев.

Банки, как и любые операторы персональных данных, могут работать с личной информацией клиента только с его согласия, которое он дает, как правило, при первом обращении в кредитную организацию.

«Согласие должно быть конкретным, информированным и сознательным», — подчеркивает руководитель практики интеллектуального и информационного права юридической группы «Яковлев и партнеры» Анна Никитова.

Кредитные организации включают в подобные документы весь перечень действий, которые они хотели бы совершать с информацией о клиенте. Речь может идти в том числе о передаче данных партнерам, использовании их для рекламной рассылки или для анализа.

«Все, под чем подпишется клиент, тем и распоряжаются. Передают внутри своей группы компаний, в маркетинг, коллекторам — в зависимости от того, какой список компаний присутствует в соглашении на обработку персональных данных», — отмечает руководитель практики «ИТ-безопасность» «КСК Групп» Алексей Работягов.

Если бланк согласия не предусматривает точных формулировок, стоит выяснить пределы этого согласия, рекомендует Никитова. По словам специалистов, человек может одобрить одни операции и запретить другие.

Например, клиент может отказаться от получения рекламной рассылки, говорит Королев из «Ренессанс Кредита». Наличие такой опции также подтвердили в Сбербанке.

Еще порядка 15 крупных кредитных организаций, в которые обратился корреспондент Банки.ру, не дали ответа на этот вопрос.

Отказаться только от рекламной рассылки получается не всегда и не сразу. Чаще приходится сначала согласиться со всем, а потом отзывать согласие на использование персональных данных для рекламных целей, поясняет Работягов.

Юрист Дмитрий Шевченко сомневается, что такие отказы дадут эффект: «Направление банком СМС-сообщения не может нарушить прав клиента применительно к положениям закона о персональных данных.

Более того, в направляемых сообщениях обычно не указываются персональные данные либо другая информация, по которой возможно идентифицировать конкретного клиента банка».

Прости-прощай

Если клиент хочет расстаться с кредитной организацией, это не означает автоматического удаления персональных данных. В теории они хранятся и используются, пока действует договор сторон. А в реальности многие игроки не спешат избавляться от ценной информации.

Читайте также:  Как проверить, действительно ли существует банк, если известно его название?

«Столкнулся с такой проблемой: не могу отозвать из ряда банков свои персональные данные! Прихожу в офис Россельхозбанка, озвучиваю свое пожелание, а на меня таким взглядом смотрят и говорят, что они про такое не слышали! Я, конечно, настоял на заявлении, но ответа не получил по истечении уже четырех месяцев!» — делился негативным опытом на форуме Банки.ру пользователь под ником savelich74.

Просьба удалить персональные данные должна подаваться в письменной форме — сразу в отделении или по почте. При этом банк должен уведомить клиента, что требование выполнено, объясняет Никитова.

Закон определяет 11 случаев, когда банк может обрабатывать персональные данные без согласия клиента, подчеркивает Дмитрий Кузнецов.

Например, если информация необходима для защиты законных интересов банка.

Даже при отзыве согласия банк будет хранить данные в связи с требованиями исковой давности и финансового контроля, замечает Работягов.

«Персональные данные хранятся в течение сроков, установленных действующим законодательством, например, при отсутствии действующего договора — в течение пяти лет с даты прекращения договора», — подтвердили в Райффайзенбанке.

В Сбербанке озвучили тот же срок хранения личной информации клиента, сославшись на требования 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». — Прим. ред.).

Получается, что право на отзыв своих персональных данных у клиента есть, а вот шансов на положительный результат — гораздо меньше.

Предложение от незнакомца

Рекламные и продуктовые предложения поступают клиентам от банков и организаций, с которыми те никогда не связывались.

«Прекратите названивать с различных номеров с вашими предложениями! Согласие на обработку данных в вашем банке я не давала!» — жаловалась пользователь «Народного рейтинга» на Тинькофф Банк.

Зачастую подобное взаимодействие с клиентом дает обратный эффект. Вместо интереса к продукту банк провоцирует раздражение.

«Сегодня на почту приходит предложение оформить кредит. Никаких контактов с банком у меня не было. С чего бы банк стал предлагать мне кредиты? В общем, крупный банк занимается рассылкой спама. Всех бесят спамерские рассылки с любыми предложениями. Теперь я ни за что не обращусь в этот банк для получения банковских услуг», — писала несостоявшаяся клиентка Хоум Кредит Банка.

Закон не запрещает банкам получать персональные данные граждан из общедоступных источников. Аналогичный пункт есть в большинстве документов, которые описывают политику кредитных организаций в отношении персональных данных. Вопрос в том, что считать общедоступным источником.

Например, в 2017 году Сбербанк сообщал о намерении проверять заемщиков по «цифровому следу» — открытым данным из соцсетей. Неясно, широко ли это применяется на практике госбанком и другими игроками, но некоторые участники рынка обращают внимание на то, что такой подход несет определенные риски.

Национальное бюро кредитных историй пробовало собирать открытую информацию в соцсетях, но в итоге столкнулось с судебным иском, рассказал на Scoring Case Forum директор по маркетингу НБКИ Алексей Волков.

«Дело даже не в вопросе, чьи это данные, а в вопросе самого субъекта и его согласия. Суд решил, что данные в соцсетях не являются открытыми, кто бы что ни считал.

Исходя из понимания, что для нас как для бюро, для структуры сверхпубличной, продолжение этой практики является токсичным, мы этот проект свернули», — пояснил эксперт.

Использование открытых данных для «холодных звонков» — это тоже нарушение закона, утверждают собеседники Банки.ру. «Организация должна получить ваше согласие еще до того, как сотрудник кол-центра наберет ваш телефонный номер», — поясняет Кузнецов. Другой вопрос, как пресечь эту активность банка.

«Можно оставить требование о прекращении обработки по телефонному номеру, а также получить информацию о юридическом адресе, на который вы впоследствии направите письменное заявление об удалении ваших персональных данных.

А также предупредить об ответственности за нарушение законодательства (КоАП РФ, статья 13.11) и обозначить намерение направить жалобу в Роскомнадзор», — советует Никитова.

Все так, но банки изворачиваются, замечает Работягов: «Говорят, что по телефону такой информации не дадим, приходите, пишите официально. Клиенты «забивают», а банк тихонько удаляет их из обзвонной базы».

По словам Кузнецова, обзвоны, как правило, делают не банки, а сторонние организации, поэтому привлечь к ответственности такой кол-центр крайне сложно.

За того парня

Посторонним может оказаться не только банк, но и клиент. Нередко людям поступают сообщения, которые их вообще не касаются. Например, банк звонит по поводу чужого долга. «Названивают каждый день. Какой-то человек оставил в качестве контактного мой номер телефона.

Ищут должника, выпытывают мою личную информацию, разговаривают так, как будто это я им должна, грубо, требовательно.

Почему при взятии кредита вы не обзваниваете оставленные вам дополнительные номера телефонов??? Я запрещаю вам беспокоить меня, человека, который не знает никаких ваших должников», — жаловалась пользователь «Народного рейтинга» на банк «Восточный».

Кредитные организации могут попросить заемщика оставить контакты третьих лиц для связи. У экспертов нет единого мнения, считается ли это нарушением закона «О персональных данных». «Банк может попросить предоставить телефоны родственников для связи с самим клиентом, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться.

Отдельного согласия от них не требуется: либо клиент сам уведомляет третьих лиц о дальнейшей обработке их персональных данных банком, либо их уведомляет непосредственно банк», — поясняет зампред «Ренессанс Кредита». В Райффайзенбанке противоречия также не увидели: «Набор таких данных, как имя и телефон, не позволяет определить конкретное физлицо».

«Такой подход не совпадает с основной идеей закона, но банки изворачиваются. Иногда платят штрафы, но в целом принимают риски», — резюмирует Работягов. В таких случаях юристы рекомендуют клиентам обращаться в банк и писать заявление на отзыв персональных данных. Основанием, в частности, может служить то, что вы не являетесь стороной договора.

Утечка без доказательств

Реклама — меньшая из бед, которые могут произойти. Клиентов банков больше волнуют ситуации, когда есть признаки утечки персональных данных из банка.

«Уже несколько лет храню вклады в Московском Кредитном Банке, вклады достаточно крупные.

И каждый раз, стоит мне пополнить вклад, как через день начинают поступать звонки от всяких коммерческих организаций с предложениями вложить мои деньги на более выгодных условиях, ситуация тянется не первый год…

Посоветуйте, пожалуйста, что делать?! Получается, что сотрудники продают или передают бесплатно информацию о моих счетах, мой адрес и т. д.!» — писала пользователь форума Банки.ру под ником KateV.

Аналогичные подозрения возникают у клиентов, когда от имени банка им начинают звонить мошенники.

«Когда звонят конкретно клиенту банка, владея персональными данными, звонят высокопрофессиональные подготовленные мошенники, как в моем случае, звонили с номеров горячей линии банка (на другой номер я бы не повелась).

Многие пишут, что работники банка слили инфу (в некоторых банках мне сказали, что за деньги купить можно все)», — отмечала форумчанка под ником 777kolibri_2010.

Российское законодательство предусматривает ответственность оператора за утечку персональных данных или некорректную работу с ними. Это может быть административный штраф до 75 тыс. рублей за каждое нарушение, говорит Дмитрий Шевченко.

В 2018 году Роскомнадзор выписал таких штрафов на 3,9 млрд рублей.

«Если разглашение персональных данных привело к гражданско-правовым последствиям, к примеру, причинен моральный вред, либо разглашение привело к убыткам субъекта персональных данных, то может быть предъявлен иск о возмещении убытков и компенсации морального вреда», — отмечает Никитова.

Однако утечку личной информации еще нужно доказать, подчеркивают собеседники Банки.ру. «Это практически нереально, так как не доказать, что есть ущерб.

Вот утекут данные и деньги, тогда другой вопрос», — констатирует Работягов.

«Чтобы привлечь оператора, допустившего утечку, к ответственности, придется доказывать, что он или нарушил требования по обеспечению безопасности, или слил данные сознательно», — заключает Кузнецов из Positive Technologies.

Мнения экспертов подтверждает статистика. По данным Право.ru, в прошлом году российские суды рассмотрели всего 160 исков клиентов к банкам, которые касались нарушения закона «О персональных данных». Лишь 16% обращений были удовлетворены полностью или частично.

В 2017-м этот показатель был на уровне 15,5%, хотя самих споров суды рассмотрели в пять раз больше. В последние годы россияне стали с большим трепетом относиться к теме персональных данных, говорит Никитова. Кроме того, ужесточилась ответственность бизнеса за нарушения закона.

Это влияет на судебную практику, хотя с цифрами не поспоришь: россияне редко идут в суд для защиты своих персональных данных и еще реже выигрывают в спорах.

Юлия КОШКИНА, Banki.ru

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *