Понятие и причины утечки персональных данных

Утечка персональных данных — это несанкционированный доступ к конфиденциальной, личной или защищенной информации, который может осуществляться лицами, не обладающими соответствующими полномочиями. В результате файлы с личной информацией становятся доступными для просмотра или публикации без ведома их владельца.

Несохраненные данные могут стать жертвой утечки как у индивидуумов, так и у крупных организаций или правительственных учреждений. Более того, существует риск того, что любой пользователь может непреднамеренно подвергнуть окружающих опасности, если их информация недостаточно защищена.

К основным причинам утечек данных относятся:

• Технологические уязвимости.
• Поведение пользователей.

С каждым днем, когда наши устройства получают новые онлайн-функции, возрастает и риск утечек личных данных. Разработка новых технологий происходит быстрее, чем способы их защиты, что существенно увеличивает угрозы.

Устройства интернета вещей ясно подтверждают, что удобство часто оказывается важнее безопасности.

Множество новейших цифровых продуктов, услуг и инструментов проходит лишь минимальные тесты на безопасность, что делает эту проблему крайне актуальной.

Источник: Song_about_summer / shutterstock.com

Даже если создатели будут разрабатывать идеальные технологии, вряд ли пользователи будут соблюдать необходимые меры цифровой гигиены. Один-единственный пользователь может спровоцировать заражение сайта или даже всей сети.

При отсутствии комплексных мер безопасности как на уровне компаний, так и среди сотрудников риск утечек персональных данных остается чрезвычайно высоким.

Чтобы защитить себя и окружающих, необходимо понимать механизмы, лежащие в основе утечек информации.

Многие думают, что утечки персональных данных в 2024 году происходят исключительно из-за действий злоумышленников. Однако на практике это не всегда так.

Хотя иногда она вызывается хакерскими атаками, чаще всего она становится следствием ошибок сотрудников или уязвимостей в системе.

Рассмотрим возможные случаи утечек персональных данных:

• Случайные действия сотрудников. К примеру, работник может воспользоваться компьютером коллеги и, не имея разрешения, просмотреть содержащиеся на нем файлы. Хотя он не имел намерения передать информацию, сам факт ее доступа посторонним считается утечкой.
• Умышленные действия сотрудников. В этом случае работник намеренно получает доступ к защищенной информации или распространяет ее, намереваясь причинить вред компании или индивиду. У него может быть законный доступ к ней, но он использует его с недобрыми намерениями.
• Потеря или кража устройств. Это относится к утере любого устройства, содержащего конфиденциальные данные, например ноутбука или внешнего жесткого диска с незашифрованной информацией.
• Умышленные действия сторонних лиц. Это включает действия хакеров, которые, используя различные методы атак, получают доступ к личным или корпоративным данным.

Последствия утечки персональных данных

Риски утечек персональных данных могут иметь серьезные последствия как для владельцев информации, так и для операторов, управляющих ими.

Для первой группы существует множество рисков стать жертвой злоумышленников. Лица, чьи данные утекли, могут столкнуться с:

• разглашением личной информации: неавторизованный доступ к данным может привести к открытию конфиденциальных сведений;
• шантажом: злоумышленники могут использовать личные данные для давления на жертв;
• неправомерными списаниями с банковских карт: доступ к финансовой информации может позволить мошенникам незаметно выводить деньги;
• вмешательством в личную жизнь: утечка данных может позволить другим влезть в жизнь жертвы и нарушить ее покой;
• запугиванием детей: опубликованные в СМИ данные о них, например о школах, могут использоваться для угроз.

Читайте также! Финансовая безопасность предприятия: риски, меры обеспечения

Наименьшим риском может быть неправомерная передача информации, такой как адрес электронной почты, третьим лицам, что может привести к агрессивному рекламному преследованию. Однако даже этот случай может стать основанием для подачи иска по поводу неправомерной рекламы или утечки персональных данных, что несет за собой ответственность и штрафы для операторов, если источник утечки будет установлен.

Для операторов, допустивших утечку персональных данных, ответственность будет следующей:

• Гражданская ответственность: они могут быть обязаны возместить убытки и моральный вред, причиненные гражданам в судебном порядке.
• Административная ответственность: включает наложение штрафов, приостановление или полный запрет на деятельность, связанную с обработкой персональных данных.
• Уголовная ответственность: может наступить в случае неправомерного распространения персональных данных, если это привело к значительному ущербу или если информация передана в правоохранительные органы.

Предотвращение утечки персональных данных компаниями

Предотвратить утечки данных значительно проще, чем справляться с их последствиями. Вот несколько полезных рекомендаций для повышения безопасности вашей информации.

• Создавайте сложные пароли и используйте многофакторную аутентификацию

При настройке административных и рабочих аккаунтов сотрудников выбирайте пароли, которые трудно угадать злоумышленникам. К сожалению, многие люди отдают предпочтение простым комбинациям: последовательности цифр, имени, дате рождения или кличке любимца. Такие пароли могут быть взломаны всего за минуту.

Чтобы обеспечить надежную защиту вашего аккаунта, создавайте пароли длиной не менее восьми символов, включающие специальные знаки, такие как # или *. Чтобы облегчить процесс их генерации, вы можете воспользоваться специальными сервисами или проявить творческий подход и придумать комбинацию самостоятельно.

Если запомнить сложный пароль трудно, используйте в его основе название любимой книги, песни или имя близкого персонажа, что поможет создать уникальный и запоминающийся код доступа.

• Закрывайте внутренний доступ для учетных записей уволенных сотрудников

Часто бывает так, что после увольнения сотрудник продолжает иметь доступ к внутренним системам компании, что создает риск несанкционированного доступа к критически важной информации, например базе клиентов. Поэтому важно незамедлительно деактивировать учетные записи таких людей, чтобы исключить возможность злоупотребления.

• Предоставляйте сотрудникам минимально необходимый доступ к информации

Это правило, известное как «доступ с наименьшими привилегиями», подразумевает открытие его исключительно к тем данным, которые нужны для выполнения рабочих задач. Так вы ограничите объем информации, доступной в случае компрометации аккаунта, что существенно снизит риски.

• Организуйте обучение по кибербезопасности

Важно объяснить сотрудникам распространенные ловушки и мошеннические схемы, а также способы создания надежных паролей и предостеречь их от перехода по подозрительным ссылкам или загрузки файлов из ненадежных источников.

Источник: Nichcha / shutterstock.com

• Регулярно проверяйте уровень осведомленности работников

Можно воспользоваться специальными сервисами для моделирования фишинговых писем и провести тестовую рассылку. Это поможет оценить, насколько сотрудники умеют распознавать опасные письма и что они будут делать с подозрительными ссылками.

• Обновляйте антивирусные программы и все программное обеспечение.

Современные антивирусы могут автоматически блокировать потенциально опасные угрозы до того, как они доберутся до сотрудников. Регулярные обновления программного обеспечения важны для устранения уязвимостей, которые были выявлены в предыдущих версиях.

• Используйте резервное копирование данных

Настройте регулярное резервное копирование информации в защищенном хранилище с ограниченным доступом. В случае кибератаки возможность восстановить данные из резервных копий поможет избежать необходимости выкупа информации у злоумышленников.

Защита персональных данных гражданами

Не забывайте соблюдать ключевые правила информационной безопасности.

• Не делитесь данными своей банковской карты. Никогда не публикуйте и не отправляйте ее фотографии или полные реквизиты. Для перевода денег достаточно указать номер карточки, а если вы используете систему быстрых платежей, то телефона будет вполне достаточно.
• Активируйте двухфакторную аутентификацию. Убедитесь, что на всех ваших аккаунтах в социальных сетях она подключена. Это значит, что для входа вам помимо пароля нужно будет вводить код, полученный через смс или из приложения.
• Регулярно обновляйте пароли. Меняйте их как минимум раз в год; идеальный вариант — каждые три месяца. Выбирайте надежные, сложные и ни с кем ими не делитесь.
• Избегайте отправки отсканированных или фото документов через социальные сети. Взлом аккаунта может привести к утечке конфиденциальной информации.

• Совершайте покупки только в проверенных интернет-магазинах. Перед оплатой убедитесь, что сайт не является фишинговым. Проверьте правильность написания URL-адреса и обратите внимание на наличие замка в адресной строке браузера, что указывает на защищенное соединение.
• Сохраняйте конфиденциальность данных своей карты. Никогда не сообщайте свои банковские реквизиты, пин-коды или одноразовые коды из смс, даже если вам звонит человек, представляющийся сотрудником банка.

Что делать, если произошла утечка персональных данных

Куда обращаться при утечке персональных данных? Их проверка теперь стала доступной с помощью телеграм-бота от сетевого сообщества Data1eaks. Пользователь просто вводит свой номер телефона и получает информацию о сервисах, через которые могли быть скомпрометированы его данные.

В таком случае рекомендуется немедленно сменить пароли и отвязать все банковские карты, которые могли быть связаны с аккаунтом.

Банки активно мониторят утечки банковской информации и предпримут действия, выпуская новые карты, если у них появятся сомнения. Тем не менее если пересоздание карты не произошло автоматически, стоит самостоятельно заблокировать старую и выпустить новую. Также необходимо обновить пароли для всех банковских приложений, социальных сетей и почтовых сервисов.

Читайте также! Безопасность бизнеса: составляющие и принципы построения

К сожалению, после утечки приходится принимать это как данность. В сети можно встретить предложения о платном удалении информации, однако нет никаких гарантий, что исполнители не просто исчезнут после получения предоплаты.

Что касается возможности подачи иска к компании, то это действительно возможно, но слишком затруднительно без юридической помощи. Доказать убытки, понесенные из-за утечки информации, весьма сложно, не говоря уже о моральном вреде. Максимум, что можно ожидать, — это штраф для компании, который может составлять до 1 миллиона рублей, и компенсация размером от 10 000 до 150 000 рублей.

Если же в сети появились нежелательные фотографии или видео, стоит обратиться в правоохранительные органы. В этом случае речь идет о нарушении неприкосновенности частной жизни (ст. 137 УК РФ) и тайны переписки (ст. 138 УК РФ), что требует более серьезных юридических мер.

Часто задаваемые вопросы об утечке персональных данных

Когда начинается уголовная ответственность?

Физические лица, которые намеренно распространяют персональные данные другого человека без его согласия, могут быть привлечены к уголовной ответственности за нарушение неприкосновенности личной жизни (ст. 137 Уголовного кодекса). В качестве предмета данного преступления рассматриваются личные и семейные тайны.

Ответственность возникает только в случае сбора и распространения тех персональных данных, которые гражданин не раскрывает неопределенному кругу лиц. Например, личные сведения о дате и месте рождения или образовании могут быть разрешены к раскрытию, если человек сам их не скрывает.

Читайте также! Конкурентная разведка: понятие, цели, этапы проведения

Какие данные наиболее часто становятся объектом похищения?

Команда антивируса McAfee выделила несколько категорий информации, которая наиболее часто оказывается в распоряжении злоумышленников:

• комбинации «логин — пароль»;
• адреса электронной почты;
• номера телефонов;
• физические адреса и информация о месте работы;
• данные о подключенных устройствах;
• даты рождения.

Что нового планируется в законодательстве о защите персональных данных?

Госдума в первом чтении одобрила поправки, касающиеся штрафов и уголовной ответственности за нарушения закона о персональных данных. С вступлением их в силу ответственность организаций за действия или бездействие, приведшие к утечкам баз данных, увеличится в 300 раз. Если ранее максимальные штрафы достигали 1,5 миллиона рублей, то новой редакцией предполагается их повышение до 500 миллионов рублей.

Соблюдение осторожности со стороны как операторов, так и граждан поможет минимизировать риски. Важно помнить, что полное возмещение материального и морального ущерба в большинстве случаев для гражданина может быть недостижимо.

Источник изображения в шапке статьи: Chor muang / shutterstock.com