+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Как избежать утечки персональных данных

Содержание

«При стоимости средства защиты в несколько миллионов рублей им проще заплатить штраф»

Как избежать утечки персональных данных

Как ведомства и госпредприятия хранят персональные данные граждан, в чем причины масштабных утечек и почему Татарстан является ролевой моделью для других регионов

Официальные ведомства и госпредприятия, наряду с телекоммуникационными компаниями и ретейлом, являются крупнейшими операторами персональных данных населения. Безопасность их хранения контролируется и Роскомнадзором, и Федеральной службой по техническому и экспортному контролю (ФСТЭК), и ФСБ.

Однако, как показывает практика, именно госсектор и связанные с ним организации остаются одними из главных источников утечек информации.

«Реальное время» вспомнило самые громкие скандалы в этой сфере и выяснило у экспертов, чем объясняется такая ситуация и стоит ли татарстанцам беспокоиться за свои персональные данные.

Один из последних громких скандалов с утечкой персональных данных граждан произошел в ноябре прошлого года: журналисты «Коммерсанта» прошлись по московским МФЦ и обнаружили, что на установленных в отделениях компьютерах хранятся копии паспортов, СНИЛС, анкеты с указанием мобильных телефонов, банковские реквизиты и другие документы граждан. Доступ к этой информации имел любой желающий.

За несколько месяцев до этого инцидента «отличилась» мэрия Москвы: обращения граждан, которые должны были поступать городским властям в зашифрованном виде, публиковались прямо на сайте и индексировались поисковиками. Как следствие, запросы и жалобы вместе с паспортными данными и сканами других документов оказались в общем доступе.

Летом 2017 года Пенсионный фонд РФ был вынужден провести проверку по факту утечки персональных данных более 17 тысяч человек.

Первым тревогу тогда забил web-разработчик Сергей Дерябин, случайно получивший массовую рассылку от одного из отделений ПФР: к письму был прикреплен документ, содержащий в себе даты рождения, адреса регистрации и номера СНИЛС нескольких тысяч граждан.

В том же году подведомственное МЧС ФГУП «Военизированная горноспасательная часть» опубликовало номера паспортов, адреса и должности 158 своих сотрудников.

Наступивший 2019 год еще не успел «подарить» нам ни одного нового скандала с утечкой персональных данных населения, однако нет никакой гарантии, что это не случится в любой момент.

Один из последних громких скандалов с утечкой персональных данных граждан в московских МФЦ произошел в ноябре прошлого года. Фото mosday.ru

Проще заплатить штраф, чем обеспечить безопасность

Нормативная база и требования к операторам персональных данных определены в России довольно давно.

Как поясняет руководитель службы информационной безопасности «БАРС Груп» Ильдар Гарипов, в части обработки персональных данных в России еще с 2006 года действует федеральный закон «О персональных данных», который распространяется на государственные и муниципальные органы, юридические и физические лица, обрабатывающие персональные данные. На основании этого ФЗ было разработано постановление правительства РФ, определяющее требования к защите данных в информационных системах.

Эти документы, в свою очередь, послужили фундаментом для приказа ФСТЭК, определяющего набор мер по обеспечению безопасности хранения личной информации граждан. Стоит заметить, что ФСТЭК рассматривает меры защиты некриптографическими методами — за защиту информации с помощью криптографических средств отвечает ФСБ. И последняя также разработала свой приказ о защите персональных данных.

— Соответственно, у нас есть федеральный закон, постановление правительства, а также приказы регуляторов, которые определяют то, каким образом необходимо обеспечивать защиту персональных данных в информационных системах, — комментирует Ильдар Гарипов. — Следующий шаг — это реализация мероприятий по обеспечению безопасности персональных данных. В этой части есть определенные вопросы.

Первый из них связан с ответственностью, которую несут операторы персональных данных: законодательством предусмотрены штрафные санкции в случае невыполнения требований по обеспечению безопасности. При этом величина штрафов несоизмерима с величиной затрат на приобретение средств защиты.

— Самое интересное здесь то, какие санкции накладываются в том случае, если произошел инцидент с утечкой. Штрафы измеряются десятками тысяч рублей.

При стоимости средства информационной защиты в несколько миллионов, при немалой оплате труда специалистов по информационной безопасности, выливающейся за год в круглую сумму, проще заплатить этот штраф.

В то же время, я уверен, что юридическое поле по данному вопросу обязательно будет двигаться в сторону ужесточения, — считает руководитель отдела аналитик компании «SearchInform» Алексей Парфентьев.

Генеральный директор IT-компании «Эттон» Ефим Климов подтверждает: ситуация сейчас складывается таким образом, что проще заплатить штраф, поскольку соблюдение законодательства требует определенных расходов.

— По опыту нашей компании могу сказать, что необходимо обеспечить отдельное помещение, в котором расположится специальное оборудование, также нужны специалисты, которые должны пройти обучение и получить специальные дипломы — это целый рад организационных мероприятий, а также расходы на само оборудование. Поэтому многим проще заплатить штраф, но, я вас уверяю, это происходит крайне редко — многие просто отписываются бумажками, — комментирует эксперт.

Технические решения против человеческого фактора

Второй вопрос связан с техническими средствами, обеспечивающими контроль и безопасность хранения данных. По словам аналитика компании SearchInform Алексея Парфентьева, необходимые продукты есть, но используются они не самым эффективным образом. Схожей позиции придерживается директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов.

— Основная проблема, с которой сталкиваются все отрасли, включая государственный сектор, — это не отсутствие решений информационной безопасности, а уязвимость используемого программного обеспечения, особенно прикладного. До недавнего времени владельцы государственных информационных систем стремились формально выполнить требования безопасности, а для этого устранять такие уязвимости необязательно, — констатирует эксперт.

В свою очередь аналитик SearchInform советует не перекладывать вину на юридические пробелы или отсутствие отечественного системного ПО, поскольку в прикладных продуктах по безопасности хватает недоработок. В частности, по его словам, все они так или иначе касаются необходимости оцифровать «человеческий фактор», мотив и намерения.

— Не только законодательство, но и здравый смысл делит угрозы на два типа: технические, а также со стороны человека.

Для того, чтобы справиться с техническими угрозами, средств достаточно, однако с человеческим фактором все обстоит гораздо сложнее, поскольку в этом случае появляется риск утечки данных, использования инфраструктуры компании в личных целях, да обыкновенных кражи или мошенничества, наконец.

Задача по выявлению «недобрых намерений» со стороны сотрудников, имеющих доступ к информации или инфраструктуре, сейчас остается острой в IT-мире. И здесь опять российские разработки выходят на первый план. Поэтому я бы не стал сгущать краски. Конечно, проблем хватает, но и успехи видны невооруженным глазом, — резюмирует Парфентьев.

Татарстан как ролевая модель и надежда на ФСТЭК

Если ситуацию с безопасностью хранения данных населения в целом по стране можно назвать не совсем стабильной, то в Татарстане, по словам экспертов, дела обстоят несколько иначе.

— В Татарстане с этим нет проблем. Все персональные данные, связанные с Порталом госуслуг, защищены — там есть оператор, который сертифицирован и ФСБ, и ФСТЭК. Плюс, все это находится в IT-парке, который также сертифицирован по очень жестким требованиям в плане безопасности. В целом по нашему региону вопросов нет. Татарстан в какой-то мере — уникальная территория, — считает Ефим Климов.

Позитивную оценку Татарстану дает и Ильдар Гарипов.

— Мы взаимодействуем с различными министерствами и ведомствами республики, и я вижу, что работы по обеспечению защиты информации проводятся, в том числе по защите персональных данных. Если мы говорим о государственных информационных системах, то нельзя ввести систему в эксплуатацию, не выполнив ее аттестацию по требованиям безопасности информации.

Да, возможно, это несколько затягивается во временном интервале, но стоит учитывать, что этот вопрос тесно связан с выделением средств. Я не могу сказать, что ничего не делается — мероприятия однозначно выполняются.

К примеру, если рассматривать ЦОДы республики, то они создают защищенные аттестованные контуры, в которые оператор может спокойно разместить свою информационную систему, — комментирует эксперт.

Как поясняют в Минсвязи РТ, безопасность хранения данных обеспечивается на техническом, нормативном и организационном уровне. В плане технической защиты внедряются передовые средства защиты как аппаратные, так и программные.

На нормативном уровне принимаются ведомственные нормативные акты, регулирующие правоотношения, которые возникают при обеспечении информационной безопасности, в том числе и персональных данных.

На организационном уровне сотрудниками, отвечающими за информационную безопасность, осуществляется контроль за безопасностью путем пресечения утечки персональных данных через сотрудников организаций и по техническим каналам.

На вопрос нашего издания о том фиксировались ли министерством недоработки в плане защиты персональных данных граждан в ведомствах и на госпредприятиях РТ, Минсвязи попросило обратиться в Роскомнадзор.

Безопасность хранения данных обеспечивается на техническом, нормативном и организационном уровне. Фото osp.ru

Ждать ли новых утечек?

В других же регионах России новые утечки персональных данных, по мнению главы компании «Эттон», вполне возможны.

— Приходя в различные ведомства в тех или иных регионах, мы наблюдаем ситуацию, когда информационная безопасность находится на крайне неудовлетворительном уровне. Мы, естественно, предупреждаем, что могут произойти кражи персональных данных, могут быть взломы. Если злоумышленник захочет, то он обязательно это сделает, — уверен Ефим Климов.

В этом вопросе директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов возлагает надежды на уже неоднократно упомянутый ФСТЭК.

— В последние годы Федеральная служба по техническому и экспортному контролю изменила подход к обеспечению информационной безопасности.

Теперь, в соответствии с требованиями ФСТЭК, информационная система не может быть сдана в эксплуатацию, пока не будет проведен анализ уязвимостей и все выявленные уязвимости не будут устранены. Такая работа должна проводиться периодически в ходе эксплуатации системы.

Усиление контроля ИБ привело к повышенному спросу со стороны органов власти на услуги тестирования на проникновение, а результаты таких тестов заставляют более трезво оценивать уровень защищенности своих систем, — резюмирует спикер.
ТехнологииIT Татарстан

Источник: https://realnoevremya.ru/articles/130913-v-chem-prichina-utechek-personalnyh-dannyh-rossiyan

Утечка персональных данных

Как избежать утечки персональных данных

Утечки персональных данных нередки в работе компаний и государственных органов. Часто они связаны с недобросовестным отношением к их защите. Следствия утечек могут быть и очень серьезными, и незначительными. Защита от них должна стать задачей и операторов, и субъектов персональных данных.

Кто может пострадать

Персональные данные – это любая информация о человеке, которая связана с ним, позволяет идентифицировать его в полной мере, получить иные сведения о нем, совершать какие-либо посягательства на тайну его личной жизни или на имущество. В группе риска утраты важной информации при проведении обработки персональных данных оказываются многие люди, среди них: 

  • граждане, пользующиеся банковскими картами;
  • граждане, получающие медицинские услуги;
  • владельцы пенсионных накоплений;
  • вкладчики банков;
  • владельцы недвижимости.

Это не исчерпывающий перечень, пострадать от утечки персональных данных могут и многие другие. Поэтому государство выстроило систему защиты персональных данных. В ее основу лег Федеральный закон «О защите персональных данных», систему технических мер регламентируют правительство, ФСТЭК, ФСБ.

Причины утечек

Любая организация, которая в своей деятельности обрабатывает персональные данные, обязана предпринять комплекс организационных и технических мер, направленных на их защиту. Перечень этих мер и способов регламентируется для каждой группы данных. При разработке системы таких технических и административных решений используется модель угроз, в которой учитываются риски двух типов:

Первый тип угроз, представляющих собой неправомерное проникновение в защищенный информационный периметр организации-оператора, – хакерские атаки, которые в России редко становятся серьезными угрозами для жизни и здоровья граждан.

Прекратились появления в Сети баз данных ЦБ РФ, ГИБДД, Пенсионного фонда – информационные системы защищены серьезно, а утечка массива сведений, защищенных средствами криптографической защиты, без возможности персонификации, не несет серьезных рисков.

Сократилось и количество внешних атак на сайты банков.

Вторые реализуются наиболее часто. Гражданин предоставляет сведения о себе во множестве случаев в медицинском учреждении, в туристическом агентстве, в котором для оформлении визы он практически полностью раскрывает сведения о своем финансовом статусе.

Согласие на обработку персональных данных зачастую не подписывается. Таким образом, паспортные данные, сведения о недвижимости, доходах, операциях по банковской карте оказываются в незащищенном виде в компьютере, на котором может не быть даже антивирусной защиты.

В этом случае доступ к ним становится возможным:

  • при прямом проникновении недобросовестного сотрудника агентства в компьютер или к материальным носителям информации;
  • при размещении их в облачных сетях, иногда на множестве серверов, зачастую расположенных не в России. Законодательство требует обязательного хранения персональных данных внутри страны, но эти требования выполняют не все операторы, зачастую даже не знающие о существовании такой обязанности;
  • при хищении ноутбука или портфеля сотрудника компании, в котором находится интересующая злоумышленника информация.

Частые случаи, появляющиеся в судебной практике, в которых штрафуются или наказываются иным образом врачи или сотрудники банковских учреждений, допустившие утечку сведений, например, паспортных данных, говорят о существовании проблемы и ее серьезности.

Последствия утечек

Последствия утечек могут оказаться серьезными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать:

  • от разглашения любой информации, имеющей отношение к личности;
  • от шантажа;
  • от неправомерного списания средств с банковской карты;
  • от вмешательства в личную жизнь;
  • от угроз детям, например, в случае публикации в СМИ данных о школах, где они учатся.

Минимальным риском станет неправомерная передача сведений, например, адреса электронной почты, каким-либо компаниям, которые начнут преследовать их обладателя рекламными объявлениями. Но даже это дает возможность возбудить дело и о неправомерной рекламе, и об утечке данных и приведет к штрафам, налагаемым на операторов, если источник утечки или спама удастся достоверно установить.

Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:

  • гражданскую, в виде взыскания в судебном порядке понесенных гражданами убытков и морального вреда;
  • административную, в виде наложения штрафа, приостановления или запрета деятельности, связанной с обработкой персональных данных;
  • уголовную, в случае неправомерного распространения ПДн, причинившего существенный ущерб и передаче информации в правоохранительные органы.

Пока серьезность исков о возмещении морального вреда, связанного с утечкой конфиденциальной информации, компаниями серьезно не рассматривается.

Даже если судом установлен такой факт, размер присужденных сумм редко превышает несколько десятков тысяч рублей даже в столице. В регионе суд скорее откажет в удовлетворении требований, предъявляемых как к банкам, так и к интернет-магазинам.

Более серьезными становятся ситуации, когда в спор вмешиваются регуляторы и доводят ситуацию до возбуждения уголовного дела.

Как избежать негативных последствий от утечек данных

Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных.

От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:

  • установка межсетевых экранов, затрудняющих проникновение к массивам информации;
  • внедрение системы идентификации и аутентификации сотрудников, имеющих к ним доступ;
  • фиксация в журналах учета всех действий специалистов, осуществляющих обработку данных, позволяющая понять, что конкретно они делали с охраняемыми законом сведениями;
  • установка средств антивирусной защиты;
  • использование средств криптографической защиты для шифрования данных при хранении и передаче;
  • применение способов и мер, которые могут предотвратить утечку данных по физическим каналам, например, путем фотографирования экрана компьютера, снятия звуковой информации, перехвата электромагнитного излучения.

Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам.

Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить.

Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:

  • не передавать персональные данные компаниям, не зарегистрированным в качестве операторов;
  • осторожнее относиться к любым платежам в сети Интернет;
  • всегда изучать текст согласия на обработку персональных данных, определяя, какими способами она производится, каковы цели обработки, возможность передачи сведений третьим лицам и в каких случаях.

Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится. 

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/utechki-personalnyh-dannyh/posledstviya/

Как избежать утечки информации в своей компании

Как избежать утечки персональных данных

Большинство предприятий, независимо от их размера, хранит у себя конфиденциальные данные о клиентах или сотрудниках, будь то их имена, адреса и даже номера банковских карт. Защита данной информации от злоумышленников является чрезвычайно важной задачей, требующей большой ответственности и профессионализма.

Ведь утечка подобных данных может быть разрушительной не только для репутации компании, но и для ее деятельности в целом. О том, как этого избежать, нам рассказали специалисты по информационной безопасности рекламного интернет-агенства OLIT.

Они дали 6 основных советов, которые помогут предотвратить утечку важной информации в любой компании и избежать дальнейшей головной боли, выраженной как денежными потерями, так и репутационными.

Один из лучших способов избежать утечки данных — убедиться, что конфиденциальная информация не разбросана по всем цифровым устройствам предприятия, включая смартфоны сотрудников и USB-флешки.

Особенно важные данные, например банковские реквизиты, не должны храниться на ноутбуках или внешнем жестком диске во избежание их физического похищения. Лучше хранить конфиденциальную информацию централизованно в надежно защищенной базе данных, к которой будут иметь доступ только обладатели специальной учетной записи.

2. Ограниченный доступ сотрудников к конфиденциальной информации

Представь себе следующий корпоративный сценарий. Егор — сотрудник call-центра компании, отвечающий на жалобы клиентов по поводу заказов.

Выполняя свои профессиональные обязанности, он должен иметь возможность просматривать учетные записи клиентов и истории их заказов.

Тем не менее Егор также имеет неограниченный доступ к данным платежных карт клиентов по причине того, что штатный айтишник, раздавая учетные права, забыл ограничить ему доступ к этой информации.

И вот однажды Егор открывает неопознанную ссылку в своем электронном ящике и, послушно следуя инструкции, натыкается на фишинг. А через пару дней кто-то под учетной записью Егора крадет данные платежных карт каждого клиента компании.

Пусть данный способ хакерского проникновения описан несколько архаично, тем не менее он демонстрирует важную закономерность: поскольку сотрудник call-центра не должен был иметь доступ к конфиденциальной информации, он не обладал нужными знаниями по информационной безопасности предприятия.

В результате произошла утечка важных данных, которую можно было предотвратить несколькими способами.

Но первое, что необходимо сделать, — это предоставить каждому сотруднику доступ лишь к тем данным, которые непосредственно связаны с его должностными функциями.

Таким образом, удастся поддерживать «политику эксклюзивных прав», при которой доступ к конфиденциальной информации имеет только узкий круг лиц.

3. Тренинги персонала по информационной безопасности

Как уже было сказано выше, если бы Егор смог вовремя распознать попытку фишинга, его аккаунт не был бы взломан, и информация осталась неприкосновенной.

Поэтому важно обучить своих сотрудников основам кибербезопасности, чтобы в случае попытки взлома они могли не только распознать атаку, но и грамотно ей противодействовать.

В данную программу обучения могут входить: способы распознавания угроз, советы по созданию и хранению паролей, правила пользования интернетом на работе, стратегия поведения в случае хакерского проникновения.

4. Работоспособность базовой системы кибербезопасности

Хоть такие элементарные средства сетевой безопасности, как антивирусы или брандмауэры, не остановят опытного хакера от взлома базы данных компании, они могут помочь минимизировать потери. Установка таких программ и их регулярное обновление необходимы, чтобы распознавать наиболее очевидные угрозы и своевременно предпринимать шаги по их нейтрализации.

5. Закрытый доступ для уволенных сотрудников

Неважно, уволился работник по собственному желанию или нет, остались вы при этом хорошими друзьями или теперь не будете здороваться, в любом случае следует лишить его доступа к любой конфиденциальной информации предприятия. Собственно, почему это важно для кибербезопасности — и так понятно, но на всякий случай напомним тебе уместную в данном случае английскую поговорку: Caution is the parent of safety.

6. Анализ существующей системы информационной безопасности

Лучший способ избежать войны — это быть к ней готовым. Эта расхожая истина в более пацифистской формулировке проецируется и на работу предприятия.

Чтобы предотвратить любую кибератаку, лучше сыграть на опережение и выявить уязвимые места в собственной системе защиты. Этот процесс является чрезвычайно ответственным, а потому требует высокого профессионализма.

Рекламное интернет-агенство OLIT осуществляет комплексное тестирование информационной безопасности компании, в которое входят:

— внешний анализ сети и периметра; — тест на проникновение; — внутреннее тестирование сети; — поиск уязвимостей и эксплуатация; — тестирование web-сайтов компании; — тестирование мобильных приложений компании;

— отчет о тестировании и рекомендации.

Разумеется, лучше всего работу по защите от хакерских атак способны выполнить те, кто знаком с оборотной стороной процесса, что называется «знает врага в лицо». Поэтому агентство OLIT тесно сотрудничает с White-hacker.

io, которые, как ты мог догадаться из названия, являются хакерами «наоборот» (их еще называют «белыми» хакерами).

Если злоумышленник нацелен взломать твою систему безопасности для похищения ценных данных, фактически нарушая закон, то «белые» хакеры делают эту защиту максимально неприступной, используя те же навыки, но только в легитимных и благих целях.

И если ты владелец небольшого бизнеса, то не стоит думать, что кибератака тебе не угрожает. Для «черного» хакера важен не объем компании, которую он собирается взломать, а количество таких компаний. В этом смысле под угрозой находятся все, так же как и все нуждаются в надежной информационной защите.

Заказать тестирование информационной безопасности→

Источник: https://BroDude.ru/kak-izbezhat-utechki-informatsii-v-svoej-kompanii/

Предотвратить и обезвредить: утечки персональных данных — Билай — статьи, вакансии, контакты на vc.ru

Как избежать утечки персональных данных

Как хранить персональные данные, не допускать их кражи и не получать штрафы от регуляторов

Утечки персональных данных – одна из главных тем 2019 года, и едва ли не первостепенный враг цифровизации бизнеса.

Например, 10 июня стало известно об очередной массовой краже данных – под угрозой оказалась персональная информация 900 тысяч пользователей.

А такие технологические гиганты, как Google или и вовсе предстают империями зла на фоне частых сообщений об их утечках персональных данных.

Но если вы владелец бизнеса, подмоченная репутация – еще не конец ваших проблем в случае кражи персональной информации.

Если вы заранее не позаботились о безопасности хранения персональных данных своих клиентов, а вездесущие русские хакеры слили вашу базу данных клиентов, помимо скандала вы получите еще и значительные штрафы.

Чтобы с вашим бизнесом такое никогда не случилось, мы расскажем вам, как собирать и хранить персональные данные.

Никто не знает о персональных данных

Сначала разберемся, какие данные и почему оказываются у компании на руках. Допустим, у вас интернет-магазин с доставкой – и чтобы ее организовать, вам нужен телефон, ФИО, адрес клиента, серия и номер паспорта. Такая и другая личная информация и есть персональные данные.

Персональные данные (ПДн) обозначены и регулируются Федеральным законом №152. Но в законе не перечислены все возможные виды персональных данных. Сказано, что это любая информация, которая относится к конкретному человеку. Но их можно поделить на три группы: общие, специальные и биометрические.

К общим относятся ФИО, дата рождения, сведения об образовании, паспортные данные и тому подобное. К специальным – политические и религиозные взгляды, национальность, судимость. Биометрические данные – это рост, вес, отпечатки пальцев, фотографии и видеозаписи.

Когда мы понимаем, о ком идет речь, данные становятся персональными. В противном случае речь идет об агрегированных (деперсонализированных) данных. Даже имя само по себе — это еще не ПДн.

Если у авиакомпании покупают билеты два человека с одинаковым ФИО, то точно определить, о ком речь, можно по дате рождения и паспорту, или по номеру телефона.

Тогда ПДн становится комбинация имя + телефон + дата рождения.

Оператор персональных данных — это компания, которая собирает и использует персональные данные. Школа иностранных языков собирает данные для имейл-рассылок, а косметолог сохраняет карточки клиентов. Владелец сайта с личным кабинетом, формой подписки, регистрации или обратной связи — тоже оператор.

Обработка персональных данных — это любая манипуляция с личной информацией клиента: копирование ФИО посетителя в клиентскую базу, обновление номера телефона клиента, распечатка карточек пациентов клиники. Каждый человек, который делает что-то с данными — обработчик.

Собираем персональные данные правильно

Закон “О персональных данных” строго регламентирует все процедуры, которые касаются сбора ПДн. Вот что важно помнить.

  • Собирайте только необходимые данные. Компания имеет право собирать только те персональные данные, которые необходимы для продажи товара или оказания услуги. Для доставки товара нужны ФИО и адрес, для подписки на рассылку — имя и электронная почта. Нельзя в таких случаях спрашивать о месте работы, весе или отношении к Владимиру Владимировичу.
  • Не забудьте взять согласие клиента. Строго запрещено собирать данные без согласия клиента. Согласием считается бумажный документ, подписанный лично клиентом, или галочка в поле «я соглашаюсь на обработку моих персональных данных».

Как не получить штраф в 250 000

Подготовьте официальные документы. Закрепите регламент работы с персональными данными в официальных документах компании. Распишите все до мельчайших подробностей, например, как и где вы собираетесь хранить данные, кто конкретно имеет к ним доступ, как защищать персональные данные, когда их уничтожать.

Будьте начеку, убедитесь, что у вашей фирмы есть:

  • Политика обработки персональных данных. Если у компании есть сайт, документ нужно разместить там на видном месте.
  • Приказ о назначении сотрудника, который отвечает за организацию обработки персональных данных.
  • Правила доступа к персональным данным.
  • Правила защиты персональных данных.
  • Правила ведения учета материальных носителей персональных данных.
  • Правила учета носителей биометрических данных. Это нужно банкам, частным клиникам или косметологическим салонам.

Проявляйте бдительность — не раскрывайте данные третьим лицам, даже если те просят очень вежливо. Если вы храните ПДн на компьютере или в локальной сети компании, защитите все документы или папки с данными паролем. Желательно, чтобы он был чуть сложнее, чем 12345qwerty. Чтобы любопытствующие не получили доступ к данным на бумаге, спрячьте папки в шкафу под замком или в сейфе.

Обезвредить интернет-угрозы

Чтобы минимизировать риск кибер-утечек, можно удалять персональные данные в течение 30 дней после того, как клиент получил товар или услугу.

Но если вы хотите сохранить ФИО, телефон или имейл для того, чтобы рассказывать о своих акциях и приглашать клиента на реснички, запросите бессрочное согласие на обработку и хранение его персональных данных. Кстати, такое согласие можно отозвать — для этого нужно написать заявление на имя компании о прекращении обработки данных.

Чтобы у вас не спарсили всю БД и не добавили штраф в придачу, создавайте разные базы с данными клиентов для разных целей. Например, вы собираете персональные данные клиентов интернет-магазина.

75 человек дали согласие на получение рекламных материалов по электронной почте, а 100 человек — на получение подарков в день рождения.

По закону, нужно создать две разные базы клиентов, потому что у их персональных данных разные цели обработки. Объединять базы нельзя.

Храните деньги в сберегательной кассе, а персональные данные

По разному, в зависимости от способа, которым вы их собирали. Данные можно получить через интернет, вручную или отсканировав документы, которые заполнял клиент.

Собрали данные в Интернете. Что было в Интернете, остается в Интернете. Это касается и оставленных на сайте персональных данных клиента. Обычно данные из форм хранятся на сервере и защищаются компанией-провайдером. Запомните, что база персональных данных обязательно должна находиться на сервере отечественного производителя.

Собрали данные вручную. Все, что вы оставляете в анкетах после успешно сделанного маникюра или когда заполняете форму для карточки лояльного покупателя – имя и номер телефона, имейл, пол — сотрудники компании сами вбивают в базу данных. Это может быть простая табличка в Excel или база клиентов в CRM-системе.

Отсканировали данные. Если вы собираете сканы документов, нужно обеспечить для них специальное хранилище. Это может быть жесткий диск компьютера, флэшка, локальная сеть компании или облачное хранилище.

Собрали данные на бумаге. Как ни крути, а до тотальной цифровизации и мечты экологов о бизнесе без бумажек еще далековато. Пока мы не вступили в светлое будущее, неустанно плодящиеся бумажные документы с персональными данными клиентов нужно хранить под замком или в сейфе.

Папки с бумажными документами нужно разделить на группы, где одна группа — одна цель передачи персональных данных. Например, персональные данные клиентов и сотрудников нельзя хранить вместе.

Всегда запирайте кабинет с этими папками и составляйте официальный документ со списком людей, которые обрабатывают ПДн или имеют доступ в это помещение.

Нарушители будут наказаны

Вот какие штрафы грозят тем, кто невнимательно читал нашу инструкцию:

  • Хранение персональных данных без согласия их владельца — штраф 15-75 тысяч рублей.
  • Игнорирование вопросов о способах обработки персональных данных — штраф 10-40 тысяч рублей.
  • Игнорирование просьб уточнить, заблокировать или уничтожить персональные данные — штраф 10-45 тысяч рублей.
  • Ненадежная защита данных — штраф 10-50 тысяч рублей.
  • Нет политики конфиденциальности — штраф 5-30 тысяч рублей.

Не забывайте, что штрафы за нарушение закона о персональных данных могут суммироваться. Это значит, что за неправильную обработку и хранение данных одного клиента вы можете получить сразу несколько штрафов. А санкции в виде подпорченного общественного мнения могут оказаться еще вреднее штрафов.

#утечкиданных #инструкция

Источник: https://vc.ru/beeline/74294-predotvratit-i-obezvredit-utechki-personalnyh-dannyh

Обзор: как снизить вероятность утечки персональных данных

Как избежать утечки персональных данных

С момента разоблачений Эдварда Сноудена прошло уже шесть лет, но ситуация с приватностью в интернете не становится лучше. Спецслужбы всего мира по прежнему стремятся узнать как можно больше информации о простых пользователях сети, а киберпреступники стремятся использовать эти данные для личной выгоды.

Регулярно появляются сливы о новых программах глобальной слежки, ботнетах из сотен тысяч взломанных домашних устройств.

И хотя понятно, что полностью защитить приватность, если спецслужбы вам заинтересовались, получится вряд ли, все же есть средства, позволяющие снизить вероятность утечки своих данных в руки правительственных агентств и злоумышленников со всего мира.

Инструменты шифрования

Инструменты, которые позволяют пользователям шифровать данные и коммуникации, очень не нравятся спецслужбам во всем мире. Они ищут уязвимости в алгоритмах шифрования, внедряют в них бэкдоры, пытаются блокировать доступ к таким сервисам.

Стопроцентной гарантии защиты не даст ни один инструмент, однако их комбинация может значительно снизить вероятность утечки ваших личных данных.

Вот, какие из них стоит использовать:

  • Установите Tor и VPN (я пользуюсь iNinja), всегда используйте их для веб-серфинга.
  • Для email-коммуникаций используйте клиенты с поддержкой шифрования, вроде ProtonMail.

  • Файлы на диске можно шифровать с помощью FileVault для Mac и BitLocker для Windows.
  • Используйте мессенджеры, которые позволяют шифровать переписку (Signal, Telegram).

Ограничения по выходу в интернет для разных гаджетов

Развитие интернета вещей с одной стороны удобно, а с другой к сети сейчас подключается все больше устройств, и даже те, кому этого не очень-то и нужно. Smart TV, видеоняни, веб-камеры – все эти устройства можно взломать, зачастую удаленно и без всяких затрат.

Исследования показывают, что разработчики подключаемых гаджетов не очень заботятся о безопасности и оставляют в прошивках множество уязвимостей, включая вшитые пароли по умолчанию – не нужно быть хакером, чтобы прочитать их в документации, найти «торчащий» в сеть девайс через Shodan и захватить полный контроль над ним. В итоге возможны ситуации, когда взломщикам удавалось подглядывать за семьями, которые использовали видеоняни, и даже разговаривать с детьми через встроенный микрофон или фотографировать их и выкладывать снимки в сеть.

Один из утекших снимков

Исследователи безопасности установили, что пароли примерно 15 из 100 девайсов никогда не менялись с дефолтных значений. И зная всего пять самых популярных пар, можно получить доступ к «админке» каждого десятого устройства:

Популярные стандартные логины/пароли, которые устанавливаются по-умолчанию производителями IoT-устройств

Поскольку вы не сможете повлиять на уязвимости такого рода, выход один – отключать доступ в интернет для всех устройств, которым он не нужен для выполнения основных функций. Если умный холодильник может охлаждать еду без подключения к сети – пусть так и работает.

Установка обновлений

Удивительно, как много людей не следуют этому простому, но эффективному совету. По статистике, средний возраст прошивки на среднестатистическом домашнем роутере составляет 3–4 года.

За это время в них находят десятки уязвимостей, в том числе критических. В итоге любому, кто захочет проникнуть в домашнюю сеть, не нужно предпринимать усилий, а просто использовать эксплоит к уже известной ошибке.

Установка обновлений – не самое веселое занятие в мире, но оно реально повышает уровень защищенности.

Нельзя разменивать безопасность на удобство

Главным образом этот совет подразумевает ограниченное использование облачных сервисов. Вы не можете быть уверены в безопасности своих данных и файлов, если они хранятся не на вашем сервере, агде-то в облаке. Даже в случае утечки с личного сервера, отследить ее источник будет проще.

Спецслужбы США и других стран используют системы фильтрации интернет-трафика, поэтому данные, отправляемые в сторону облачных сервисов можно перехватить. Используйте сервисы и инструменты с фокусом на приватности Понятно, что полностью отказаться от использования различных цифровых сервисов не удастся, но вы всегда можете отобрать те, что помогут защитить приватность.

Вот список полезных инструментов:

  • DuckDuckGo – поисковик, главным приоритетом которого является приватность.
  • Haveibeenpwned.com – сайт, с помощью которого вы можете найти информацию о наличии своих данных среди утечек, доступных онлайн.
  • Fastmail – email-хостинг, который позволяет использовать множество разных доменов и одноразовых адресов вида first@me.

    nospammail.net. Если вы регистрируетесь где-то с их помощью, а потом получаете спам, то точно знаете, кто именно слил ваши данные.

  • Tails OS – полноценная операционная система, главная задача которой – защита приватности пользователей. Запускается с диска или флешки, позволяет использовать Tor Network и Tor Browser, а также встроенный мессенджер.

    Она не предназначена для использования в ежедневном режиме, но может быть крайне полезна.

Скриншот Tails OS

Заключение: только комплексные меры дают результат

Обеспечение приватности – это процесс, который никогда не должен заканчиваться. Чтобы добиться результата необходимо погрузиться в тему глубже, чем чтение пары поверхностных статей в интернете.

К примеру, в сети немало статей, которые рассказывают о пользе использования режиме инкогнито в браузере – на деле же он никак не помешает спецслужбам и обычным хакерам отследить онлайн-активность пользователя.

Точно также многое написано об анонимности биткоина, но на практике криптовалюта не является приватной – все транзакции записываются в блокчейн, а использование сервисов вроде криптокошельков позволяет связать личность с конкретными транзакциями.

Только комплексные меры, включающие анализ подключений к сети, установку обновлений, шифрование и использование защищенных инструментов позволят усложнить работу тем, кто хочет шпионить за вами.

  • приватность
  • информационная безопасность
  • слежка
  • сноуден
  • privacy

Хабы:

  • Информационная безопасность

Источник: https://habr.com/post/453398/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.