Кража персональных россиян данных вышла на новый уровень. Крупнейшие банки и сотовые компании в стране были вынуждены признаться, что допустили утечку. И никто не гарантирует, что подобное не повторится и завтра жертвами мошенников не станут еще 200 или 200 тысяч человек. Есть ли универсальные способы защиты личных данных и насколько каждый из россиян сегодня уязвим, выяснял «ФедералПресс».
Сразу несколько громких скандалов с утечками персональных данных произошли в России за последнее время. На «черном рынке» оказалась информация о клиентах или сотрудниках Сбербанка, Альфа-банка, РЖД, «Билайн», ОТП-банка, ХКФ-банка. Совокупное количество утечек затрагивает данные более миллиона россиян.
Компании на это, конечно, отреагировали. Сбербанк провел служебное расследование и выявил злоумышленника. Им оказался один из сотрудников, который в конце сентября продал 5 тысяч учетных записей кредитных карт Уральского банка, которые были переданы несколькими траншами и через «даркнет» теневой преступной группе. По информации банка, большинство карт является «устаревшими и неактивными», их банк их выпустит заново. Данных о возмещении убытков пострадавшим пока нет.
«Сливают» базы за центы
Найти в интернете способ купить персональные данные – не проблема. На «черном рынке» такие услуги варьируются в среднем от 4 до 8 рублей за контакт. Продают базы блокчейна, «Форекс», регистрационные данные ГИБДД, номера телефонов и адреса электронных почт для «холодных обзвонов». Связь с покупателями держат через «скайп» или «телеграм».
Корреспондент ФедералПресс в качестве эксперимента тоже попробовал «купить» базы персональных данных россиян. Оказалось, что база Пенсионного фонда РФ, в которую входят фамилия имя отчество гражданина, его домашний адрес, электронная почта и номер пенсионного свидетельства, стоит всего 10 центов (6,47 рубля) за контакт. За эти деньги вам могут сделать выборку по региону, учитывая пол, возраст людей, наличие образования или даже их предпочтения (по ключевым словам). Примерно столько же стоят базы данных клиентов «Форекс». Узнать, реальны ли эти данные, почти невозможно, поскольку тестовое пользование тоже платное и не самое дешевое. Правда, если хорошо попросить, можно получить скан регистрационных данных какого-то гражданина наугад.
«Пробить» данные на автомобиль можно в среднем за 600 рублей. За 4-8 тысяч можно получить записи с видеокамер ГИБДД по отслеживанию автомобиля в течение месяца. Причем данные по Москве, Московской области и Санкт-Петербургу стоят в два раза дешевле, чем по другим регионам страны. Продавец сообщил, что данные ему приходят от сотрудников компаний и бывших сотрудников правоохранительных органов. От хакеров обычно открещиваются.
Помимо данных ГИБДД, можно было купить: информацию об имуществе и СНИЛС от Федеральной налоговой службы, выписку из Росреестра без паспортных данных, информацию о прописке и наличии либо отсутствии судимости из МВД, получить детализацию звонков по номерам МТС, Билайн, Мегафон, Теле2 и Yota.
За отдельную плату есть такие виды услуг, как полная информация на человека из разных регистрирующих служб, а также социальных сетей (возраст, предпочтения, место жительства, профессия, вкусы, интересы, любовь); определение местоположение любого лица и предоставление информации о недвижимости любого физического лица в иностранных государствах.
«Простому смертному защититься от этого почти никак нельзя. Разве что перестать коммуницировать с банками и другими институтами. Единственный совет в таких случаях – держать деньги в чулке, чтобы их никто не украл»+, – говорит политический и бизнес-консультант Алена Август.
По словам эксперта, это наша расплата за цифровизацию.
«Как на заре человечества люди перестали ходить на четвереньках, и вот вам проблемы со спиной, коленями и головокружение, так и переход на «цифру» неизбежно принесет болячку в виде утечки личных данных», – добавила Август.
Отказаться от благ цивилизации люди уже не смогут. Сегодня, по мнению эксперта, можно о человеке узнать все: куда он путешествует, какая у него любимая авиакомпания, вегетарианец он или мясоед, чем человек болеет и так далее. И в большинстве случаев даже не надо ничего взламывать: люди с удовольствием делятся этими данными либо в своих соцсетях, либо у друзей. Организации гарантируют, что данные их клиентов под надежной защитой, но очевидно, что это не так. Большую роль играет пресловутый человеческий фактор: везде работают живые люди, которые могут ошибаться и идти на преступления. По мнению Алены Август, с развитием цифрового мира будут появляться все новые способы увода данных. За последние недели появилось, как минимум, 15-20 новых методов обнаружить информацию о нужном человеке, которыми с радостью делятся хакерские группы в «даркнете».
Как мобильные операторы и банки «любят» нас
Журналист Оксана Саницкая столкнулась с ситуацией, когда мобильный оператор просто продал действующий номер другому лицу.
«Моему возмущению нет предела. Пользуюсь своим номером телефона с 2003 или 2004 года. При этом у меня красивый номер, заканчивающийся на одинаковые цифры. Отобрали за задолженность 30 рублей. И, когда номер появился в продаже, предложили купить как серебряный за полторы тысячи. Обращение в техслужбу результата не дало. Спустя пару-тройку месяцев при наборе номера появились гудки – его выкупила бабушка, чтобы пользоваться планшетом. С трудом дозвонилась ей и уговорила продать мне мой собственный номер телефона, заменить его на обычный другой», – рассказала Оксана.
Другой случай. Алена Шумакова является обычным клиентом банка. У нее, как и у многих, установлено мобильное приложение – вещь достаточно удобная. Несколько дней назад ей в день рождения пришло уведомление: «Поздравляем! Вам как постоянному клиенту банк дарит подарок – бесплатная подписка на кинотеатр онлайн в течение месяца. Подробности – по ссылке».
«Я перехожу по ссылке, действительно, месяц подписки на кино бесплатно. Ну, хоть что-то хорошее, – подумала. Захожу в форму регистрации и вижу надпись «введите данные своей банковской карты – номер, ФИО и CVС код». Это для бесплатной подписки!» – восклицает Алена Шумакова.
Москвичка позвонила в банк, ей подтвердили информацию.
«Да, у нас заключен контракт с этой организацией, если вы хотите бесплатную подписку, вы должны выполнять их условия», – сказал сотрудник банка по телефону.
Иными словами, одна из крупнейших банковских организаций, которая должна защищать персональные данные клиентов, сама же рекомендует сообщать эти данные третьим лицам. Причем речь идет не о рядовых ошибках сотрудников, а о целенаправленной маркетинговой политике.
«В этом случае банку ничего предъявить нельзя. С точки зрения закона он ваши данные не разглашал. Он лишь предложил клиенту сообщить свою банковскую карту третьим лицам», – прокомментировал исполнительный директор Российской ассоциации криптоиндустрии и блокчейна, руководитель Союза защитников информации России Александр Бражников.
Лучший способ защититься от этого, по словам эксперта, – вообще не устанавливать мобильные приложения либо устанавливать все приложения на другой телефон (не тот, которым вы часто пользуетесь). Кроме того, не нужно участвовать в акциях и переходить по ссылкам, даже если они приходят от вашего банка либо оператора связи.
А можно ли получить данные, например, с портала Госуслуг?
«Мы нигде не защищены. Я не могу дать рекомендацию, какой сервис надежнее других. Причем мошенникам даже не нужно напрягаться и контактировать с банками. Достаточно взять любую небольшую организацию, договориться с кадровиком либо специалистом по работе с клиентами. Обыкновенный промышленный шпионаж», – отмечает Бражников.
Простые советы от эксперта: когда получаете зарплату, переводите ее основную часть с банковской карты на личный банковский счет. Оттуда украсть деньги гораздо сложнее. Лучше иметь несколько банковских карт: одна – зарплатная, другая – та, с которой оплачиваются покупки. В идеале, лучше планировать максимальную сумму ежедневных трат – так можно еще и рассчитывать бюджет.
Проблема общемировая
В мае прошлого года вступил в силу регламент Евросоюза General Data Protection Regulation (GDPR). Он установил единые требования к операторам персональных данных не только в странах Евросоюза, но и в других, включая Россию. Правда под действием регламента оказываются только те российские компании, которые предлагают товары и услуги в Европе.
Согласно документу, европеец имеет право, даже дав согласие на обработку персональных данных (например, поставил галочку на сайте), в любое время это согласие отозвать. Но даже такие меры не позволяют защитить персональные данные граждан на сто процентов. И развитие технологий лишь усугубляет проблему.
Например, в США утечки персональных данных тоже, к сожалению, не редкость.
«Мы не справляемся с этим вопросом лучше, чем вы, – рассказал «ФедералПресс» американский журналист Майкл Васюра. – Например, два года назад компания Equifax допустила утечку персональных данных 150 млн наших граждан. Теперь фирма заплатит пострадавшим около 700 млн долларов».
По словам Майкла Васюры, общего федерального закона в США нет, но есть законы штатов, которые обязывают компании уведомлять граждан о том, что их персональные данные были украдены третьими лицами. Однако, кроме репутационного ущерба для фирм, других последствий практически нет, — считает журналист. Поэтому его главный совет – это не использовать один и тот же пароль для разных сайтов. Это хоть немного, но обезопасит пользователей.
Закон защитит нас
Законодательство в России уже сегодня позволяет в достаточной мере защитить персональные данные граждан. Вопрос – в правоприменении.
«Нам не нужно изобретать велосипед и создавать почву для пиара. Если компании будут выполнять все действующие нормы, они могут обеспечить безопасность клиентов. Однако выполнение нормативов стоит определенных денег, которые фирмы тратить порой не хотят», – считает эксперт Александр Бражников.
Но в Госдуме уверены, что нет предела совершенству. Депутатами Виктором Пинским и Даниилом Бессарабовым внесен законопроект, по которому компаниям, нарушающим правила хранения персональных данных россиян, возможно, придется выплачивать кругленькую сумму. Если закон вступит в силу, граждане-нарушители, нелегально распространяющие персональные данные, будут штрафоваться на 30-50 тысяч рублей, должностные лица – на 200-500 тысяч, а организации – на 2-6 млн рублей. За повторное правонарушение юридическим лицам придется заплатить от 6 до 18 миллионов. Соответствующую норму планируется внести в Кодекс об административных правонарушениях.
«Существующие меры реагирования на подобные правонарушения недостаточно эффективны, – прокомментировал автор законопроекта, депутат Государственной думы Даниил Бессарабов. – Последние события, связанные с утечкой персональных данных россиян и осознанными атаками на поисковики, говорят о том, что интерес к таким сведениям только растет».
Как считает депутат, кто владеет информацией, тот владеет миром, поэтому нужно выстраивать законодательные меры защиты. Инициатива направлена на то, чтобы механизм был действенным.
«Проанализировав практику, мы пришли к выводу, что ответственности за неисполнение закона о защите персональных данных фактически не существует. Локализация, обработка и хранение должны осуществляться только на территории России под контролем оператора персональных данных и государства в лице Роскомнадзора», – отметил Бессарабов.
По его словам, такие жесткие меры вынудят организации более ответственно относиться к исполнению закона.
Но защититься можно уже сейчас. Эксперты советуют смело обращаться в суд с иском к организации, которая допустила утечку персональных данных в сеть. Даже по действующему законодательству компания обязана компенсировать убытки. И такая судебная практика в России уже есть.
http://fedpress.ru/article/2337094