Черный рынок данных: как защитить себя и своих клиентов

Продолжая тему заработка на информации о пользовательском поведении, сегодня подробно рассмотрим проблему нелегального использования наших персональных данных (ПД). Читайте в этой статье, сколько стоит паспорт на черном рынке, что делать, если на вас заочно оформили чужой кредит и как этого избежать.

Что такое персональные данные и куда они утекают

Федеральный закон № 152-ФЗ «О персональных данных» понимает под ПД следующие сведения о физическом лице (субъекте ПД), на основании которых его можно прямо или косвенно определить:

Фамилия, имя и отчество (ФИО);
дата и место рождения;
адреса мест регистрации (прописка) и проживания;
серия, номер и дата выдачи паспорта;
семейное, социальное и имущественное положение;
образование, профессия, доходы;
контактные данные - телефон и email.

Эта информация считается личной и охраняется законом: статья 24 Конституции РФ о недопустимости распространения информации о частной жизни человека, указ Президента РФ от 6 марта 1997 г. № 188, постановления правительства (№ 512 от 06.07.2008, № 687 от 15.09.2008, № 1119 от 01.11.2012), методические материалы ФСБ, Роскомнадзора и ФСТЭ [1]. Нарушение этих ФЗ регулируется статьей 13.11 КоАП РФ, которая предписывает предупреждение или административный штраф, а также статьями 137, 140 и 272 УК РФ, которые предполагают уголовную ответственность с наказанием в виде штрафа, принудительных работ, отзывом лицензии, лишением свободы до 2-х лет с прекращением права заниматься определенной деятельностью и занимать определенные должности [2].

Несмотря на такие серьёзные формулировки, наши ПД продолжают утекать: практически каждый месяц СМИ пишут о том, что очередная база личных сведений о гражданах РФ попала в открытый доступ. 2019 год был особенно богат на такие новости, в частности, в марте стало известно об утечке личных данных пациентов больниц Липецкой области, чьи имена, адреса и диагнозы были опубликованы региональным управлением здравоохранения при объявлении аукционов на сайте госзакупок. В апреле подобный инцидент случился с базой данных пациентов скорой помощи нескольких подмосковных городов (Мытищи, Дмитров, Долгопрудный, Королев, Балашиха) [3]. Тогда же в открытом доступе оказалось не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян. Это произошло по причине несогласованности требований законодательства об открытости информации на электронных торгах с необходимостью защиты личных сведений: для аккредитации организаций-участников на электронной торговой площадке необходимы подробные сведения об ее учредителях. Инцидент произошел с крупнейшими электронными торговыми площадками России, на которых размещаются коммерческие закупки и госзакупки по федеральным законам 44-ФЗ и 223-ФЗ: закупочного модуля ZakazRF (562 тыс. записей), «РТС-тендер» (550 тыс. записей), «Росэлторг» (468 тыс. записей), «Национальной электронной площадки» (142 тыс. записей), ЭТП РАД (18 тыс. записей) и «Сбербанк АСТ» (500 тыс. записей). Чтобы исключить подобные риски в будущем, необходимо оперативно внести изменения в статьи 24.2 и 62 44-ФЗ, которые будут четко регламентировать, какие данные участников закупок должны быть доступны в открытом доступе на площадках, а какие – предоставляться заказчикам в установленном порядке [4].

В июне в открытый доступ попала база с ПД почти миллиона россиян - клиентов Альфа-банка, ОТП-банка и ХКФ-банка. В августе были обнародованы ПД 703 тысяч сотрудников ОАО «РЖД»: имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС [5]. Самая крупная утечка на сегодняшний день ПД случилась в августе и сентябре 2019, когда с серверов оператора фискальных данных «Дримкас» утекло более 90 млн записей с различными данными о юридических и физических лицах, включающие порядковый номер, дату, время и место совершения покупки, ФИО продавца, количество товара, его название и цену. Эксперты по кибербезопасости предполагают, что инцидент возник по причине человеческого фактора - ошибки администраторов системы при конфигурировании сервера или настройке межсетевого экрана [6]. В октябре 2019 года на специализированном форуме анонимной файлообменной сети «черного интернета» (Darknet) появилось предложение о продаже базы с данными по 60 млн кредитных карт Сбербанка (действующих и закрытых) [7]. В этом же месяце в публичный доступ попали 8,7 млн записей с персональной информацией клиентов «Билайна», подключивших у него домашний интернет. От этого также пострадали клиенты веб-банка для предпринимателей «Точка», у которых пароль для входа в интернет-банк совпадал с паролем от личного кабинета у сотового оператора [8]. В ноябре в Даркнете продавалась база вкладчиков ВТБ, состоящая из 5 тысяч строк, включающая ФИО, домашний адрес с индексом, email, номера телефонов и сумма вклада, которая начинается от 1 млн рублей. Банк объясняет случившееся утечкой данных из компании-партнера, которая обслуживает VIP-клиентов ВТБ, например, обеспечивает трансфер из аэропорта [9]. Больше актуальных новостей и материалов об утечках информации и cybersecurity можно найти в специализированном телеграм-канале @dataleak [10].

4 главных причины утечек ПД и способы их предотвращения

Проанализировав вышеприведенные случаи утечек ПД можно сделать вывод, что наиболее частыми факторами возникновения таких инцидентов являются следующие:

осознанная кража конфиденциальной информации, которую осуществляет должностное лицо, имеющее к ней доступ. Например, неблагонадежные сотрудники банков, операторов связи и даже госорганов [11];
хакерская атака, когда сервера с приватной информацией целенаправленно взламываются злоумышленниками с использованием вредоносных вирусов и других запрещенных приемов (скрипты перебора, сканирования директорий и пр.) [12];
халатность и неграмотность сетевых администраторов и разработчиков информационных систем, позволяющие получить приватные сведения путем простых запросов в адресной строке сайта благодаря некорректной настройке прав доступа к облачным хранилищам и ошибкам конфигурирования серверов [12];
несогласованность законодательства, когда отдельные законы требуют раскрытия конфиденциальной информации, как это было в вышеописанном случае электронных торгов [4].

Из всех перечисленных проблем наиболее очевидно решение последней, которое предполагает скоординированную проработку действующего законодательства, чтобы требования одного закона не противоречили другим. Также необходима более суровая ответственность операторов ПД за возникновение утечек по их вине. В частности, Роскомнадзор планирует ввести административную ответственность за незаконное распространение персональных данных и за покупку таковых. К весне 2020 года регулятор подготовит и вынесет на общественное обсуждение поправки об ответственности за покупку украденных личных данных [13]. Напомним, в настоящее время административная и уголовная ответственность полагается лишь за факт продажи ПД. При этом, несмотря на начавшуюся в 2018 году волну наказаний за незаконное копирование и передачу сторонним лицам конфиденциальной информации [11], количество постоянно происходящих инцидентов говорит о недостаточности этих мер.

Напомню, сегодня штрафы для юридических лиц за нарушение порядка обработки ПД составляют от 15 000 до 75 000 рублей. Такие суммы несущественны для бизнеса, особенно для крупных компаний. За рубежом к защите ПД подходят более ответственно: в частности, европейский Общий регламент о защите персональных данных (GDPR, General Data Protection Regulation), принятый в мае 2018 года, предусматривает штрафы до 20 миллионов евро или 4% от мирового оборота компании-нарушителя. При том, что GDPR не является российским законом, его требования распространяются и на территорию нашей страны: действие этих правил применяется к компаниям, обрабатывающим ПД резидентов и граждан ЕС, независимо от местонахождения организации (рис. 1). Уже существуют прецеденты привлечения предприятий к ответственности за нарушение GDRP, например, в 2018 году в связи с утечкой данных и нарушением условия о необходимости хранения данных пользователей в зашифрованном виде на 20 тысяч евро была оштрафована немецкая компания Knuddels GmbH&Co KG –владелец немецкого онлайн-чата и сервиса для знакомств Knuddels. За похожее нарушение, связанное с недостаточной степенью защиты пользовательских данных на случай утечки, на 183 млн фунтов стерлингов была оштрафована британская авиакомпания British Airways. Еще одним показательным примером является штраф американской компании Google регулятором Франции (CNIL) в размере 50 млн евро за предоставление неполной и непрозрачной информации владельцам ОС Android, а также за ряд иных смежных нарушений в области обработки ПД. Также штрафы по GDPR получили Uber и Facebook [14].

Таким образом, российское законодательство в сфере защиты ПД требует существенного дополнения, чтобы безопасное хранение и обработка пользовательских данных соблюдались как юридическими, так и физическими лицами. Технически защитить ПД можно с помощью шифрования, криптографических протоколов, грамотно настроенных политик безопасности (RBAC-модель, логгирование всех операций с базами данных), средств предотвращения несанкционированного доступа, DLP-систем (Data Loss Prevention), которые анализируют потоки данных, выходящие за пределы корпоративной сети, а также организации защищенного периметра и прочих методов обеспечения cybersecurity. Но все эти мероприятия будут эффективны лишь вместе с методологической компонентой, предполагающей активное вовлечение отечественного и зарубежного законодательств в деятельность по защите ПД. Однако, подобная законодательная проработка потребует достаточно много времени, поэтому пока о защите своих ПД должен, в первую очередь, заботиться их субъект, т.к. физическое лицо. Почему это действительно важно, я расскажу далее.

Почему и от чего нужно защищать свои данные

Согласно исследованиям компании Javelin Strategy&Research, ежегодные убытки американцев от кражи личных данных составили $16,8 млрд в 2017 году. При этом каждая жертва в среднем теряет $776 и тратит около 20 часов на восстановление данных. Например, случайный номер свидетельства социального страхования в американском Даркнете стоит всего 5 центов, а данные на конкретного человека — $3, его медицинская история — $5, а номер кредитной карты США — от $7 до $11. Дороже оцениваются логин и пароль от банковского аккаунта: с $2000–6000 на счету – $270 и с более чем $16 000 на счету — $1100. Доступ к корпоративным e-mail можно купить за $400–500 [15].

В российском «черном интернете» все гораздо дешевле, но также активно продаются фактически любые ПД, от фотографий паспорта и СНИЛС до детализации абонентский действий (звонки, СМС-сообщения), включая сведения о передвижения на самолётах, поездах, автобусах, паромах, штрафах за нарушение ПДД и т.д. К примеру, в 2019 году месячная выписка по банковскому счету или карте физлица оценивается в 1-10 тысяч рублей, а сведения по всем выданным внутренним и заграничным паспортам конкретного физлица – в 1 000 рублей [16].

Чем кража ПД опасна для простых граждан? Рассмотрим несколько случаев с разной степенью финансового ущерба, но все довольно неприятные для пострадавшего.

Истории о том, что по чужому паспорту можно заочно оформить кредит – это не городской фольклор. Например, сегодня мошенники успешно берут деньги в долг на сторонних лиц не только у микрофинансовых организаций, но и у крупных банков, предъявляя в качестве документов ксерокопии паспортов, справок с места работы и другие бумаги с ПД. В итоге должниками оказываются граждане, чьи ПД были использованы для получения денег по фиктивному договору кредитного займа. Доказывать свою невиновность пострадавшие должны за свой счет, тратя собственный деньги, время, силы и нервы на общение с банками и коллекторами, а также на обращения в полицию и суды, которые выигрываются далеко не с первого раза [17]. Такие прецеденты являются, пожалуй, наиболее критичными случаями ущерба, понесенного в результате утечек ПД.

Меньший финансовый (но не моральный) вред несет использование конфиденциальной информации о частной жизни физлица с целью навязывания ему различных услуг и агрессивной рекламы. Например, звонки с предложением приобрести какой-то товар или провокация жертвы к совершению каких-либо действий в пользу злоумышленника. В частности, благодаря умелому применению приемов социальной инженерии и осведомленности о ПД владельца банковской карты, мошенники притворяются сотрудниками банка и убеждают владельца перевести деньги на счета посторонних лиц для обеспечения их безопасности. В результате этого клиент теряет свои средства, поскольку доказать факт принуждения к совершению действий и откатить операцию назад не так-то просто [18].

Также стоит отметить, что во многих интернет-магазинах можно оплачивать покупки с банковской карты, просто зная ее номер и данные держателя, без ввода секретных кодов. Кроме того, злоумышленники могут использовать знания о частной жизни жертвы и для более тяжелых преступлений: вымогательств, шантажа, угроз и других противоправных деяний [19].

Впрочем, воруют и незаконно используют не только данные кредитных карт. Обычно у человека несколько десятков учетных записей, которые формируют его цифровую личность: аккаунты соцсетей, интернет-магазинов, форумов, электронная почта, развлекательные сервисы и т.д. (рис. 2). Мошенники взламывают даже учетные записи Uber, Airbnb и Netflix и продают их в Даркнете. Например, покупка чужого аккаунта Airbnb всего за 8 долларов позволит мошеннику забронировать проживание в дорогих отелях или подменить платежные реквизиты в учетной записи арендодателя, отправив таким образом деньги за аренду квартиры на свой счет. Взломанные учетные записи Skype могут использоваться для отправки спама, даже если была установлена двухфакторная аутентификация. Спам-сообщения иногда содержат фишинг-ссылки на популярные сайты, такие как LinkedIn и Baidu. Учетные записи мобильных телефонов – это вообще настоящая сокровищница для мошенников, с учетом СМС от банков [2]. В частности, стоит упомянуть мошенничество с SIM-картами, когда злоумышленник с помощью украденных данных убеждает мобильного оператора, что он настоящий клиент, который потерял свой телефон и хочет получить новую SIM-карту. После активации карты мошенник получает контроль над мобильным номером жертвы и использует его для смены паролей и получения доступа к банковскому счету. Также чужие ПД используются для изготовления поддельных паспортов и других фальшивых удостоверений личности, когда украденные данные накладываются на сделанные в редакторе фотографии [20].

Рис. 2. Стоимость аккаунтов к разным сервисам в Darknet [2]

Как защитить персональные данные: бережем себя и своих клиентов

Прежде всего отметим, что объявления о продаже ПД в даркнете – это не только результат действий коррумпированных сотрудников или дело рук злобных хакеров, которые взломали банковскую базу данных или сайт интернет-магазина. Зачастую сами субъекты ПД относятся к своей частной информации весьма легкомысленно. Например, заходят в собственный почтовый ящик или банковский аккаунт, подключившись к публичным интернет-сетям (WiFi-точкам) в кафе, аэропорту или просто на улице. Также имеет место самостоятельное оставление личной информации в местах общественного пользования, например, при сканировании документов в МФЦ [21].

Не стоит освещать все подробности своей личной жизни в соцсетях, отмечая собственные геолокации и размещая сведения о малолетних и пожилых родственников (имя, возраст, степень родства), чтобы у злоумышленников не было шанса использовать эти знания в преступных целях. Например, большинство из нас знакомы со схемой мошеннического развода, когда с неизвестного номера звонит якобы ваш близкий человек и сообщает, что попал в беду (авария, арест и т.д.) и срочно нужно перевести крупную сумму денег для его освобождения. Несмотря на известность такого преступления, до сих пор многие поддаются влиянию нечестных лиц и добровольно расстаются с собственными деньгами. Более того, чтобы избежать влияния «черных мастеров» социальной инженерии, рекомендуется быть аккуратнее в отношении различных телефонных опросов, собирающих сведения на ту или иную тему. Без необходимости не стоит принимать участие в таких мероприятиях, как и увлекаться аналогичными анкетными приложениями в соцсетях (рис. 3).

Рис. 3. Пример анкетного приложения в соцсетях

Для защиты паспортных и других ПД, которыми вы делитесь, например, с банком при заключении кредитного договора, или в случае прикрепления к поликлинике, имеет смысл наложить водяные знаки на сканы или ксерокопии этих документов – вручную или в любом графическом редакторе. В качестве такой защиты укажите адресата ПД, например, название ресурса, чтобы быстро идентифицировать источник распространения в случае утечки (рис. 4). Кроме того, даже с наложением такой информации на сканы и ксерокопии, не стоит сообщать свои ПД операторам, в надежности которых вы не слишком уверены. Например, многочисленные магазины, банки, даже школы, детские сады, конторы ЖКХ и прочие сервисы [22].

Рис. 4. Пример наложения водяных знаков на скан паспорта [22]

А чтобы избежать навязчивого спама от различных торговых и развлекательных сервисов при заполнении анкетной информации имеет смысл не указывать там про себя все подробности, а также не сообщать основной номер телефона, который вы используете для работы и общения с близкими. Заведите для таких случаев дополнительную SIM-карту. Аналогично с адресом электронной почты – отдельный email для регистрации в разных интернет-сервисах и не слишком важных подписок сохранит ваше время, снизив риск утечки ПД.

Что касается технических рекомендаций по защите своих ПД, хранящихся в электронном виде, они соответствуют элементарным мерам бытовой кибербезопасности [23]:

регулярно обновляйте операционную систему;
пользуйтесь надежным антивирусом с регулярно обновляемой базой данных вредоносного ПО;
установите пароль на домашний WiFi-роутер и настройте файрвол;
используйте двухфакторную аутентификацию при доступе к особенно важным сервисам (интернет-банки, государственные услуги и пр.);
придумывайте сложные и разные пароли (нет, qwerty, 123456 и дата вашего рождения не подойдут)) ко всем интернет-сервисам и к локальным устройствам (компьютер, телефон);
своевременно и окончательно удаляйте не используемую информацию из облачных хранилищ и локальных носителей (жесткие диски, флэш-карты);
избегайте очень личных ответов на типовые вопросы при восстановлении доступа к некоторым сервисам. Например, девичья фамилия вашей матери – не очень хороший способ аутентификации.
пользуясь публичными интернет-сетями и аппаратным обеспечением, не заходите в приватные аккаунты, при сканировании личных документов на чужом оборудовании безвозвратно удаляйте сохраненные изображения;
помните о том, что уровень безопасности мобильных приложений гораздо ниже, чем у их десктопных версий, в частности, веб-сайтов. Например, по результатам комплексного тестирования защищенности мобильных приложений в 2018 году, уязвимости высокого уровня риска были обнаружены в 38% программ для iOS и в 43% - для Android (рис. 5) [24]. Поэтому по возможности стоит обойтись без установки мобильных приложений на свой смартфон.
оплачивайте покупки в интернет-магазинах через защищенный банковский шлюз, чтобы недобросовестный продавец не мог скопировать данные вашей карты. А лучше всего для веб-шопинга использовать виртуальную карту с ограниченным лимитом средств [25].
отключите автозагрузку изображений в электронных письмах – они могут содержать javascript или невидимую пиксельную картинку, с помощью которых можно отслеживать ваше перемещение по сайтам, формируя таким образом портрет вашего потребительского поведения. Подобная технология используется при сборе пользовательских данных с помощью cookie, о чем я подробно рассказывал здесь.

Рис. 5. Доля уязвимостей различной степени риска [25]

На корпоративном уровне принципы и условия безопасной обработки ПД регламентируются уже упомянутым 152-ФЗ, который регламентирует ответственность оператора, работающего с такой информацией. Оператор ПД обязан иметь пакет документов, подтверждающих защищенность ПД своих сотрудников и клиентов. Перечень необходимых документов зависит от специфики обработки ПД, рабочих процессов и структуры каждого отдельного предприятия. В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты ПД [26].

В нашей стране корпоративная защита ПД сводится к созданию режима их обработки, включающего [27]:

создание внутренней документации по работе с ПД;
создание организационной системы защиты ПД;
внедрение технических мер защиты;
получение лицензий регулирующих органов (ФСБ, ФСТЭК);
лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только если организация оказывает услуги по созданию системы защиты ПД для других лиц. При создании системы защиты ПД силами организации для собственных нужд как техническими средствами, так и организационными — данная лицензия не нужна.
получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации.

Если российская компания обрабатывает информацию о гражданах и резидентах ЕС, она должна провести аналогичные мероприятия в соответствии с GDPR. Сегодня это можно сделать с помощью внешних подрядчиков, специализирующихся на ИТ-безопасности [28].

Заключение

Подводя итог теме защиты ПД в современном мире, подчеркну, что под этой аббревиатурой скрыты не только ФИО с номерами паспорта и кредиток. Цифровая личность каждого человека состоит из множества аккаунтов к различным сервисам – от интернет-магазина до государственных электронных сервисов. Поэтому важно защищать личный кабинет клиента на любом сайте, к чему сегодня и стремятся законы. Тем не менее, современное законодательство в этом плане пока далеко от совершенства. Поэтому помните о том, что защита своих ПД – это, в первую очередь, ваша личная забота. Лучше предупредить потенциальную угрозу, чем разбирать ее последствия. Не сообщайте конфиденциальную информацию без особой необходимости, а если такая возникла – накладывайте водяные знаки на копии своих документов, позволяющие идентифицировать утечку данных при ее возникновении. Не стесняйтесь спрашивать у оператора ПД, каким образом он обеспечивает защиту вашей личной информации. Соблюдайте правила бытовой кибербезопасности также, как противопожарные рекомендации или ПДД.

Разумеется, современное законодательство, в частности, 152-ФЗ, позволяет физическим лицам требовать в суде возмещения имущественного и морального вреда, причиненного вследствие нарушения требований к обработке ПД. Однако, на практике очень трудно доказать размеры убытков. Кроме того, отечественное судопроизводство, как правило, не высоко ценит моральные страдания [14]. Поэтому для простого обывателя, который не может позволить себе долгий и затратный судебный процесс, самый эффективный способ борьбы с уже случившейся утечкой ПД – это прямое обращение к той площадке, где эти данные были опубликованы с просьбой их убрать. Большинство сайтов отреагируют незамедлительно, т.к. подобная «небрежность» грозит репутационными рисками и санкциями Роскомнадзора. Напомню, у регулятора есть право по сообщению в прессе об утечке персональных данных, даже без жалоб со стороны физических лиц, оштрафовать электронную площадку [4].

Если же мошенники уже успели использовать ваши ПД, заочно оформив на вас фиктивный договор займа или залога имущества, следует оперативно обратиться в полицию, прикрепив свидетельства того, что вы физически не могли совершить такую операцию (например, находились в другом месте и т.д.). В общем, всегда будьте настороже своих ПД!