Персональные данные – фундамент для атаки

Мошенники, пытавшиеся средствами социальной инженерии выманить у людей материальные ценности, были всегда. Но явление не было массовым. В реальном мире много потенциальных жертв «обработать» нелегко, да и наказание вполне реально.

Ситуация изменилась с появлением мобильной связи и интернета. Утечки и продажа в даркнете номеров телефонов, адресов и аккаунтов граждан позволили поставить обман на поток, личное общение с потенциальной жертвой перешло в безопасный виртуал. Злоумышленников стало труднее найти, а в случае звонков из кол-центров недружественных стран практически невозможно привлечь к ответственности.

Наличие в сети информации о жертве дает возможность перейти на кастомизизованные сценарии обмана, а использование искусственного интеллекта — легко создавать дипфейки. Например, сгенерированные нейросетью видео из фотографий бывших руководителей жертвы, «лично» обращающиеся к ней через мессенджер.

Фундамент атак — персональные данные жертвы. Их утечку в интернет считают серьезной проблемой все большее число людей: согласно проведенному компанией «Гарда» исследованию, за последний год доля таких граждан увеличилась на 5% (до 55%). 

Закон «О персональных данных» (№ 152-ФЗ) принят еще в 2006 г., но первоначально наказания не были строгими, и многие компании не инвестировали в защиту, считая, что дешевле заплатить штраф. Однако в этом году ситуация изменилась: с 30 мая вступили в силу поправки к закону № 152-ФЗ, предусматривающие обязательное уведомление о факте утечки и штрафы до 500 млн руб. или до 3% выручки компании за повторную утечку данных.

Главной задачей поправок, как подчеркнул глава Минцифры России Максут Шадаев на конференции «Гарда. Сохранить всё. Безопасность информации», был не сбор штрафов, а увеличение инвестиций бизнеса в информационную безопасность за счет понимания того, что в случае утечек персданных придется отвечать деньгами и деньги будут серьезными. При этом существенные инвестиции в ИБ в течение трех лет рассматриваются как смягчающее обстоятельство и уменьшают сумму штрафа.

В 2024 г., по данным Роскомнадзора, произошло 135 крупных утечек персональных данных, а в текущем году – только 65, что может свидетельствовать о положительном эффекте действий регулятора. Причем «тяжелую артиллерию» – оборотные штрафы еще не применяли. «Преобладает чувство осторожного оптимизма. Наблюдаю перелом и надеюсь, что в ближайшее время это подтвердится реальными данными», – отметил глава Минцифры.

Работа по защите данных будет продолжена. «Готов второй пакет поправок по борьбе с кибермошенничеством, с преступлениями, совершаемыми с использованием цифровых технологий. Предусматривается хорошая мера – платформа согласий», – сообщил М. Шадаев. Организации, собирающие согласия на обработку персональных данных, будут обязаны уведомлять пользователя через портал госуслуг, что у них такие согласия есть, указывать, разово или на постоянной основе обрабатываются персональные данные. И гарантировать их удаление, если пользователь согласие отзывает.

Подход понятный, но на практике при отзыве согласия удалить данные будет не просто. Персональные данные клиентов используются в бизнес-процессах, поэтому компании не заинтересованы в их удалении. Да и собирают персональные данные чаще всего из-за требований регулятора. Как показало обсуждение на конференции, бизнес уже готовится к посылке в ответ на отзыв согласия автоматически сгенерированных сообщений, что сбор проводился в соответствии с законодательством и согласно требованиям регуляторов данные определенное время должны храниться. 

Кроме того, есть проблемы со сведениями, передаваемым подрядчикам. Организациям придется приложить дополнительные усилия для юридического разграничения ответственности и создания механизмов передачи и контроля уничтожения персональных данных у них. Трудно придется компаниям с разветвленной филиальной сетью, где в удаленных точках для выполнения работ по удалению не хватает людей и ресурсов.

Еще труднее организовать удаление данных после их передачи за рубеж, особенно в текущей геополитической обстановке. 25 июня в Госдуму внесены поправки в закон № 152-ФЗ, меняющие подход к тому, какие страны считать адекватно обрабатывающими персональные данные. Сейчас таковыми считаются страны – участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. И среди них – Украина, публикующая данные российских граждан в открытом доступе, что создает угрозу их благополучию.

В случае принятия законопроекта для отнесения к «неадекватным» Россия будет использовать перечень недружественных стран, что усложнит многие бизнес-процессы. Согласно закону, компании не могут передавать персональные данные россиян в «неадекватную» юрисдикцию, пока не пройдет 10 рабочих дней с момента направления в Роскомнадзор уведомления об осуществлении такой передачи. При этом регулятор имеет право ее запретить. 

Еще один сложный момент — используемая при трансграничных передачах криптография. Сертифицированная в России может не признаваться разрешенной в других странах, и наоборот. В итоге часто данные проще не передавать, а обрабатывать на месте. И получать к ним из другой юрисдикции только удаленный доступ в режиме чтения. 

Звонки и сообщения от мошенников поступают почти каждый день. Одни утверждают, что в подъезде сменился домофон, другие требуют к телефону престарелых родителей, чтобы обновить данные для диспансеризации, совсем отсталые пытаются действовать по сценарию со службой безопасности банка. Складывается впечатление, что у них есть информация об адресе, телефоне, наличии счетов в банке. Это необязательно так, но в целом число украденных записей с персональными данными в несколько раз превышает число граждан страны. Так что многими данными о нашем поколении мошенники уже обладают. 

Это надо понимать и действовать, исходя из реальной ситуации. Легко сменить аккаунт и пароль, сложнее — паспорт и водительские права, совсем сложно купить другую квартиру и невозможно изменить биометрию. Но защитой персональных данных все равно заниматься нужно, чтобы как минимум затруднить работу мошенникам, как максимум сделать недоступными для кражи еще не созданные персональные данные будущих поколений.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!