Начнем с определения. Нарушение данных — это нарушение безопасности, при котором конфиденциальные, защищенные или конфиденциальные данные копируются, передаются, просматриваются, крадутся или используются лицом, не уполномоченным на это. Здесь все довольно понятно, а вот кто и как давайте разберем.
Существует много разных факторов утечки персональных данных. Основные из них:
- от безалаберности сотрудников/разработчиков: открытые БД, открытые порты и т.п.;
- слив данных самими сотрудниками;
- дыры безопасности сайтов.
Давайте чуть более подробно расскажем про каждый пункт.
К нам приходил запрос от крупной сети АЗС, у которых злоумышленники воровали бонусные баллы клиентов. Для того чтобы понять в чем дело компания предоставила нам исходный код для анализа. Решение разрабатывала одна из топовых Российских IT команд, код был качественным, но без самой базовой проработки безопасности.
Элементарно: запросы в БД были не экранированы. Наша команда для проведения теста написала небольшой скрипт, который через эту уязвимость БД с помощью перебора за ночь подобрал несколько тысяч паролей. Предоставили клиенту полученные данные: найденную уязвимость и результаты полученные нашим скриптом.
Еще одна реальная история, которая длилась несколько лет. Все началось в 2013 году, когда сотрудник компании Allen&Hoshall Джейсон Нидхем покинул компанию и решил основать свою собственную HNA Engineering.
Продолжая поддерживать отношения с одним из бывших коллег, Джейсон мог спокойно периодически обращаться к сетевым дискам и почте своего прежнего места работы, загружая оттуда информацию о проектах, финансовые документы и проекты инженеров (в общей сложности — 82 документов AutoCAD и около 100 PDF-документов).
A&H долгое время пыталась отследить его действия, но все было неуспешно до 2016 года. Один из клиентов заметил схожесть в предложениях двух компаний и уже в 2017 году Джейсону предъявили обвинение.
Что касается дыр в безопасности сайтов. Они появляются в ситуациях, когда при разработке сайтов были использованы готовые решения.
Разработчики таких систем время от времени выкатывают различные «заплатки» для выявленных уязвимостей или предотвращения их появлений. А компании, которые использую эти решения просто не обновляют систему, в связи с этим и могут появляться так называемые «дыры» в безопасности сайтов.
Давайте немного обобщим виды утечки данных и разделим их на два типа: умышленные и неумышленные утечки данных.Чаще всего не умышленные утечки данных происходят в сфере медицинских услуг. На долю здравоохранения приходится до 60% утечек произошедших по вине сотрудников и только 20% сделаны умышленно, остальные произошли из-за некомпетенции сотрудников.Также большой процент не умышленных утечек данных происходит в сферах образования и ЖКХ. Но если говорить в общем, то в мире 72% утечек данных происходит умышленно. Чаще всего атакам подвергаются государственные учреждения, банки, страховые организации.
Где искать данные и к чему это может привести?
Несложно догадаться что утечки персональных данных ведут к повышению активизации мошенников. Поэтому если вам звонит незнакомый номер и уверяет вас что на другом конце провода сотрудник банка, то это скорее всего обман. Для каждого банка есть свой номер, как например для Сбербанка — 900, а ВТБ — 1000.
Также часто такие утечки могут быть использованы как ни странно в маркетинговых целях. Если провести небольшой ресерч, собрать слитые данные с нескольких сервисов, можно составить профиль человека. Узнать что он любит есть, где бывает, что смотрит. Когда у тебя есть такой портрет, можно выявить боли человека и знать куда «давить».
А найти эти самые слитые данные можно в даркнете, ведь не зря во всех хакерских фильмах используется. Как бы это не было грустно — в даркнете есть все.
***
Даркнет — это скрытый сегмент интернета, доступный только через специализированные браузеры. Для безопасности пользователей сети даркнет полностью анонимен — для доступа к нему используется зашифрованное соединение между участниками.
***
Еще один набирающий популярность способ «пробить человека» различные Telegram-каналы или боты, где за небольшую сумму вы получите необходимую информацию, просто предоставив ФИО или номер телефона. Существую два типа работы таких сервисов:
- Большинство ботов Telegram работают по схеме OSINT, то есть опираются на открытые и доступные источники. Для этого они используют API различных служб и интернет‑ресурсов.
- Другие используют слитые базы данных. Но такой способ менее достоверный, так как они не всегда функционируют стабильно, и у них есть проблема с актуализацией информации: любая утекшая в паблик база со временем устаревает и, разумеется, не обновляется
Сейчас самыми популярными ботами являются: Get Contact, «Глаз Бога», AVinfo, и другие.
Соглашаясь на обработку ПД мы сами даем информацию мошенникам?
Мы как пользователи тех или иных сервисов часто даем согласие на обработку персональных данных при получении определенных услуг, при покупке товаров через онлайн-сервис и так далее.
Порядок работы с личными нашими сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из статьи 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.В том числе к таким сведениям можно отнести:
• Ф. И.О.;
• адрес проживания;
• паспортные данные;
• сведения о месте рождения;
• прочие данные.
Как можно себя обезопасить? Когда мы совершаем покупку товаров можно давать согласие на обработку персональных данных, но ограниченных видов , т. е. только имя, телефон ( в идеале иметь запасной номер на случаи, куда приходят коды, но не прикреплены карты), оплату производить с карты банковской, но неосновной, а завести такую, которую вы можете пополнять на сумму товара.
Согласно статьи 9 вышеуказанного закона можно отзывать согласие на обработку персональных данных, что позволяет наложить запрет на работу оператора с личными сведениями о человеке.
Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:
• суды при участии гражданина в судопроизводстве;
• приставы при исполнении судебного акта;
• государственные органы при исполнении своих полномочий;
• стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
• любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
• журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
• субъекты, участвующие в реализации международных договоров;
• органы статистики, если личные данные обезличиваются.
Блокировка своих данных.
Представим ситуацию, вы обнаружили свои персональные данные в открытом доступе. Сразу возникает вопрос а что же делать?
Можно запретить поисковым системам их отображать в поиске. В федеральном законодательстве говорится о праве на забвение, позволяющее гражданам обращаться с заявлением о прекращении выдачи в поисковике личных данных.
Суть такая: каждый человек может обратиться к администрации поисковика и попросить удалить ссылки на его страницы из списка поиска. Поисковик перестанет показывать эту информацию, ннформация, конечно, останется и найти ее уже сможет только тот, кто знает конкретный адрес.
Можно попросить «удалить» информацию, которая явно наносит вред чести и достоинству заявителя, а также можно удалить неактуальную информацию. Еще отметим, что закон не распространяется на внутренний поиск по соцсетям.
Для каждого поисковика есть свои собственные статьи, поэтому при подходе к данному вопросу стоит хорошо изучить информацию.
Если же Вы обнаружите свои персоналии на каком-либо сайте, необходимо сообщить об этом администратору, модератору или владельцу веб-ресурса (отправить электронное письмо по реквизитам сайта). То есть требовать, чтобы сведения удалили или хотя бы обезличили.
Еще один вариант, который может помочь — подать в суд на компанию которая слила эти самые данные. Наверное, самый непредсказуемый вариант, ведь все может пройти быстро, а может затянуться на долгое — долгое время.
И также не стоит забывать, что извлечь данные из интернета практически не возможно. Как говориться «интернет помнит все«.
Как защититься?
Как мы уже поняли безопасность это самое важное и касается всего: сайтов, мобильных приложений, компьютеров, телефонов. Защите сервера от взлома — мера комплексная. Ниже мы приведем небольшой, но очень важный список мер, чтобы защитить себя от взлома:
- Аутентификация при помощи SSH-ключа.
- Использование файерволов
- Старый добрый VPN
- Используйте SSL или TLS
- Изолированная среда для важных компонентов
- Программы помогающие в автоматическом режиме блокировать подозрительные и частые подключения к вашим ресурсам.
- Настройте бэкапы
- Двухфакторная аутентификация
- Аудит экспертов.
