Персональные данные – почти мифическая информация в современности. Почему-то одни панически боятся ее разглашения, а другие наоборот – хотят легально получить соглашение на использование. Что это такое? Где используется? И почему защита персональных данных – один ин столпов информационной безопасности в целом? О этом в нашей статье от аналитиков Falcongaze.
Определение
В общем понятии персональные данные – это любая информация, которая помогает идентифицировать человека. Сюда относятся как достаточно общая информация типа ФИО, даты и места рождения, проживания, образования, так и более конкретная и личная (медицинская история, банковско-кредитная история и так далее). С точки зрения цифровизации общества персональными данными может являться цифровой идентификатор пользователя в сети: ID-пользователя, IP-адрес, многочисленные файлы Cookies, история поисковых систем и многое другое.
За персональными данными сегодня началась целая охота, поэтому почти во всех странах мира разработаны нормативно-правовые акты, которые регулируют и защищают личную информацию.
Личная информация и персональные данные в чем разница
Необходимо договориться сейчас, «на берегу», есть ли разница между двумя понятиями, которые часто заменяют друг друга: личная информация и персональные данные. Так, под определением «персональные данные» принято понимать более общую частную информацию, которая не персонализированная. В то же время под «личной информацией» подразумевают те же данные (ФИО, работа, образование и т.д.), только с применением на конкретное лицо или организацию. Фактически это очень близкие понятия, применение которых обусловлено скорее закреплением определения в НПА конкретной страны или смысловой ситуативностью.
В законодательстве
В законодательстве персональные данные строго защищаются. При составлении законов в этой области как правило уточняются такие аспекты:
- оборот и обработка персональных данных;
- взаимоотношения сторон в процессе обмена ПД, необходимость получения согласия на предоставление и обработку данных, случаи исключения (доступ без согласия);
- обязательства по обеспечению хранения и использования данных, ответственные стороны;
- государственные органы-регуляторы процесса, ответственность за нарушение установленных норм и так далее.
Примерами НПА в области защиты персональных данных являются:
- Федеральный закон №152 «О персональных данных» от 27.07.2006 г. – для Российской Федерации.
- Закон №94-V «О персональных данных и их защите» от 21.05.2013 г. – для Республики Казахстан.
- Закон №99-3 «О защите персональных данных» от 07.05.2021 г. – для Республики Беларусь.
- Закон Азербайджанской Республики № 998-IIIQ «О персональных данных» от 11.05.2010 г..
- GDPR(General Data Protection Regulation (Общий/Генеральный регламент по защите персональных данных) от 25.05.2018 г. – для стран Евросоюза.
- Для США в области персональных данных актуальны НПА на уровне штатов, например, Закон штата Калифорния «О конфиденциальности потребителей (CCPA)».
Как используются персональные данные
С основными понятиями мы определились. Сейчас посмотрим зачем же существует персональная информация и что в ней такого ценного?
Для начала: зачем? Здесь все просто: персональная информация позволяет идентифицировать человека/компанию. Это достаточно удобно, особенно в эру цифровой экономики и общества. Большинство наших повседневных и не только сервисов завязаны на автоматическую идентификацию вас, вашей истории, и правдивости этой информации, доступной к анализу. Например, ваши данные обрабатываются при:
- приеме на работу и в процессе трудодеятельности;
- приходу в поликлинику, медучреждение;
- поиске товаров в интернете, покупках на маркетплейсах;
- обращении в банк, использовании мобильного банкинга;
- даже при обычном интернет-серфинге в сети.
Это только часть случаев. На самом деле с использованием личной информации мы сталкиваемся почти каждодневно.
Ответим на вторую часть: что ценного в персональной информации?
Ответ опять же лежит на поверхности. Персональные данные – это ключ доступа к вам. Вашим средствам, подробностям о жизни, вкусам, интересам и так далее. Все это можно использовать для таргетированного воздействия, с целью склонения к покупке, одобрению, восприятию в положительном ключе. Или для прямого мошенничества, угрозе нарушения конфиденциальности, шантажа и воровства средств различными способами.
Как правило персональные данные используются в:
Аналитическом маркетинге и таргетинге
Вся масса персональных данных позволяет выявить общий или сегментированный потребительский тренд, и учесть его в формировании рекламных компаний по продвижению товаров и услуг. Персональные данные помогают связать факт покупки товара/услуги с конкретными действиями человека, мотивами этих действий, персональными свойствами каждого потребителя, влиянием внешних факторов. Сформировать на основе этих данных целевую аудиторию и реализовать рекламную кампанию, которую наиболее воспринимает эта аудитория.
Агрессивном маркетинге и навязчивой рекламе
Полученные персональные данные (в основном незаконно приобретенные в даркнете или уже слитые в общую сеть) помогают в применении методов агрессивного маркетинга и навязчивой рекламы. Вы когда-нибудь видели спам-рассылку у себя в почте от сервисов, на какие вы даже не заходили? Если да, то поздравляем, ваши данные давно слиты и используются спамерами.
Мошенничестве
Любимая часть. Персональные данные (особенно информация о банковских картах, платежных сервисах, онлайн-кошельках) – желанный трофей всех мошенников. Конечно, только номера карты или кошелька будет недостаточно для получения доступа к средствам на банковском счете или кошельке. Необходимы Security Code, PIN-код для подтверждения и так далее. Здесь в захват персональных данных могут добавляться другие инструменты мошенничества: фишинг, социальная инженерия, внедрение вредоносного ПО, брутфорс-атаки (использование спецпрограмм по подбору паролей в автоматическом режиме).
Кто может обладать персональными данными по закону?
Во-первых, конечно, сам «источник» данных: человек или организация. Во-вторых, сторонние сервисы, подрядчики, организации, сайты и др., которые требуют идентификации согласно этих персональных данных. В таком случае каждый из этих объектов обязан получить соглашение на получение и обработку персональных данных (подписать физически, подписать в цифровом виде, согласиться на cookies), и выполнять обязательства по получению, хранению и использованию этих данных согласно законодательства каждой страны.
Во многих странах уже существуют отельные регуляторы для соблюдения этих требований хранения. Так, в Российской Федерации этим занимается Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), в Беларуси - Национальный центр защиты персональных данных Республики Беларусь, в США защитой персональных данных занимается сразу несколько регуляторов (Агентство по кибербезопасности и защите инфраструктуры (CISA), Национальный институт стандартов и технологий (National Institute of Standards and Technology NIST), Центр интернет безопасности (Center for Internet Security CIS) и др.
Информация, полученная от пользователей, хранится на серверах компаний и организаций. Это могут быть собственные датацентры, или арендованные вычислительные мощности.
Утечки персональных данных: наиболее существенные случаи
К сожалению, случаи утечки персональных данных – это не редкость. Срабатывает комплекс факторов: постоянные атаки мошенников с целью получения информации, частое использование сторонних сервисов для хранения информации (атаки на цепочку поставок), халатность по хранению и использованию данных и многое другое. И речь идет не о сотне-другой пострадавших, а о миллионах. Самые крупные утечки последнего десятилетия затронули работу известных на весь мир компаний:
- Yahoo(2017 год) – информация о 3 000 000 000 аккаунтов;
- Alibaba(2022 год) – информация о 1 100 000 000 пользователей;
- LinkedIn(2021 год) – о 700 000 000 пользователей;
- Facebook(2019 год) – о 533 000 000 пользователей;
- MySpace(2013 год) – 360 000 000 аккаунтов.
Все наиболее серьезные случаи утечки данных во всем мире по состоянию на январь 2024 г. (в миллионах) по количеству скомпрометированных записей данных и затронутым лицам (по данным Statista).
Самая крупная утечка на территории СНГ последнего десятилетия – это слив информации о ФИО, профилях пользователя, историях заказов, адресах, телефонах, комментариях к заказу в сервисе «Яндекс.Еда» в 2022 году. Всего 44 441 507 строк о пользователях из России, Казахстана, Беларуси и др. стан. Некоторые активисты под впечатлением даже создали интерактивную карту местности с отметками каждого слитого пользователя продукта Яндекс. Позже эта карта еще обновилась другими утечками: из ГИБДД, СДЭКа, Avito, Wildberries, «Билайна».
Что происходит с персональными данными после утечки?
Возможно, вам покажется странным, что весь мир так настороженно относится к информации о всяких там Васях и Петях, которые между собой даже не знакомы. Однако это не так. Персональные данные – востребованный ресурс. Существует даже отдельный сегмент бизнеса: «Торговля персональными данными». Правда, этот бизнес незаконный, и кроме порицания продавец, если его вычислят, может получить достаточно ощутимое административное или уголовное наказание. Также за несоблюдение мер по обеспечению защиты персональных данных взысканиям будут подвержены ответственные должностные лица организаций и сами компании.
Сколько стоит купить личную информацию? Все зависит от ценности этих данных и объема слитых пользователей. Так, всего за 2$ в 2019 году можно было приобрести 3,27 млрд украденных учетных данных пользователей Netflix, LinkedIn, Exploit на одном из даркнет-форумов.
В этом же году на даркнет-рынке Dream Market были выставлены на продажу 617 000 000 учетных записей пользователей 16 взломанных сайтов: Dubsmash, MyFitnessPal, MyHeritage, ShareThis, HauteLook, Animoto, EyeEm, Whitepages, Armor Games, CoffeeMeetsBagel и других. Мошенники оценили эту информацию в круглую сумму в 20 000$ в криптовалюте.
Кроме продажи персональные данные могут быть просто выложены в сеть. Это действие также достаточно травмирующее, поскольку получить доступ к данным может любой желающий, независимо от мотивации (позитивной или негативной). К тому же сам владелец информации почти никаким способом не может ее удалить из сети.
Как защитить личную информацию?
Меры информационной защиты для персональных данных могут пересекаться с основными способами защиты информации: создание безопасного доступа, идентификация подключения, применение современного и надежного программного обеспечения и так далее. Рассмотрим подробнее.
Надёжные пароли
Один из самых простых и в то же время эффективных способов защиты доступа к персональной информации. Особенно необходимо позаботиться о надежности паролей к банковским и платежным сервисам, цифровым кошелькам, приложениям для торговли активами, биржам криптовалют и так далее.
Надеемся, что не стоит напоминать, что каждый пароль к новому аккаунту должен быть уникальным. Не используйте один и тот же набор цифр и слов для входа в разные приложения. Способ хакерского внедрения, когда один скомпрометированный пароль обеспечил вход в несколько аккаунтов – один из самых распространенных.
Используйте для создания пароля сложные комбинации букв, цифр и знаков.
Не храните пароли: на бумаге, в заметках смартфона, в сохраненных паролях поисковика.
Своевременное обновление ПО
Своевременно обновляйте все приложения, сервисы, программное обеспечение рабочей станции и т.д. Производители постоянно улучшают свои программные продукты, в том числе с учетом самых последних проблем в безопасности. Поэтому не тяните с обновлениями.
Антивирус в помощь
Антивирусы обнаруживают и блокируют вредоносные программы, которые пробуют попасть на ваше устройство (смартфон, ПК). Это самый главный помощник в защите от прямого внедрения извне.
Двухфакторная аутентификация (2FA)
Защищайте не только устройство и программы, но и процессы. В этом поможет двухфакторная аутентификация (двух или более шаговое подтверждение личности пользователя с помощью дополнительного пароля, СМС-оповещения, пуш-уведомления, ввода биометрических данных и др.). 2FA вводится во время осуществления входа, попытки получения доступа к информации, и помогает реагировать на инцидент в самый нужный момент.
Цифровая гигиена
Придерживайтесь правил цифровой безопасности и гигиены: не кликайте необдуманно ссылки, не вводите персональные данные сами (и тем более данные карт), читайте цифровые соглашения, которые подписываете. Одним словом – будьте внимательны и сдержаны в интернете.
Безопасность локальных сетей
Используйте только доверенные Wi-Fi сети, избегайте подключение к общественным сетям. Часто такие доступные сети становятся источником распространения вредоносного ПО, используются как анализатор и зеркало трафика.
А вы сталкивались со случаями потери своих личных данных? Становились жертвами охотников за персональной информацией? Если да, делитесь в комментариях, мы будем рады услышать!
