Утечка персональных данных что делать
Утечки персональных данных из банка: насколько это опасно и как защитить себя
6 Время прочтения: 5 минут
Данные из банков утекают редко, но метко: опасность стать жертвой мошенников, получивших доступ к персональной информации, велика. Разбираем правила защиты со специалистом в области расследований Никитой Артемовым.
Персональные данные — спорный термин. Под ним могут подразумеваться базы данных социальных сетей, списки сотрудников организаций, информация о клиентах интернет-магазинов и многое другое. И эти базы данных из разных компаний периодически «утекают».
В связи с этим у обычного человека возникают вопросы:
Разберемся по порядку.
Почему наши данные «утекают»
Утечки персональных данных из банков случаются намного реже, чем из небанковских организаций. Банки могут позволить себе ставить дорогостоящее программное обеспечение, которое сильно снижает риски утечек.
Многие считают, что банки подвергаются только атакам извне и всему виной хакеры. На самом деле обойти защищенный информационный периметр банка сложно и потому безумно дорого. Особенно когда конечной целью является получение базы данных клиентов. Результаты расследований самых крупных инцидентов утечек говорят о том, что данные «утекают» именно по вине рядового персонала, который допускает ошибку либо осознанно продает информацию. Поэтому демонизировать «страшных хакеров» не стоит.
Какая информация может быть в утечках
Ценность любой «уплывшей» базы зависит от конкретных данных, которые в ней содержатся. Сведения о номерах карт или счетов клиентов в связке с Ф. И. О. по понятным причинам считаются очень ценными. Также в базе могут содержаться данные об остатках средств на счетах клиентов, что тоже полезно для реализации многих мошеннических действий в дальнейшем. А вот ценность базы, которая содержит, например, только контактные данные (почта и номер телефона), название банка и Ф. И. О. клиентов, будет на порядок ниже.
Самую большую опасность несут «обогащенные» базы данных. Предположим, «утекли» данные из какого-нибудь банка и крупного интернет-магазина. Злоумышленник может дополнить общий «цифровой профиль» конкретного человека, используя данные двух баз, так как объект может одновременно находиться в обеих. В этом случае из одной базы можно получить контактную информацию, а из другой — платежную.
В чем опасность
Векторов атак, доступных злоумышленникам после получения на руки базы персональных данных, не так много, как может казаться. Ключевой тип атаки — социальная инженерия. Рассмотрим два самых частых сценария.
1. Массовая фишинговая рассылка. Составляется письмо, внутри которого будет ссылка, ведущая на вредоносный ресурс (например, сайт, который просит ввести данные банковской карты или нечто подобное). Эффективность этого метода до сих пор составляет порядка 10—12%. Это довольно большая цифра при условии того, что все слышали про такой тип мошенничества. «Второе дыхание» у фишинга открылось в последний год благодаря пандемии.
2. Вишинг. Это «легендированный прозвон», задача которого — сделать так, чтобы жертва сама сообщила нужную злоумышленнику информацию. Для увеличения доверия к мошеннику используются персональные данные, полученные из той самой утечки. Соответственно, чем больше информации есть у злоумышленника, тем больше вероятность, что жертва поверит в «развод».
Полученные в результате фишинга и вишинга сведения могут быть использованы как для похищения денег со счетов, так и для оформления кредитов на жертву.
Пример из практики. В 2019 году один из моих клиентов случайно обнаружил у себя задолженность по платежам в нескольких кредитных организациях. Общая сумма долга составила более 350 тыс. рублей. Мошенники получили доступ к его персональным сведениям после утечки данных 900 тыс. человек клиентов Альфа-Банка, ОТП Банка и Хоум Кредит Банка в мае 2019 года. Все кредиты на клиента были оформлены в нескольких микрофинансовых организациях ровно через сутки после той самой утечки, причем он одновременно являлся клиентом ОТП Банка и Альфа-Банка. Примечательно, что кусок базы, относящийся к Альфа-Банку, был составлен по жителям Северо-Западного федерального округа, в котором как раз и проживал мой клиент. В той утечке были паспортные данные, сведения о месте работы и номера телефонов. Для многих кредитных организаций этих данных вполне достаточно, чтобы оформить кредит дистанционно. В тех организациях, где необходимо прислать фото паспорта, злоумышленники пользуются сервисами, которые генерируют сканы паспортов. Туда достаточно ввести данные паспорта жертвы.
К сожалению, для моего клиента эта история закончилась печально: доказать, что кредиты были оформлены без его ведома, не удалось, и ему пришлось самостоятельно погашать задолженность.
Как с этим бороться?
Повлиять на уменьшение числа утечек мы с вами не можем никак. Со стороны государства недавно начались подвижки в эту сторону за счет ужесточения ответственности и увеличения штрафов. Также в Госдуме недавно предложили законопроект, который позволит гражданам заранее отказываться от любых кредитов и не платить по ним, если их все-таки оформят. Правда, об эффективности этого проекта говорить пока сложно. Например, не ясно, на какие именно финансовые организации будет распространяться запрет. Также всегда остается риск недобросовестных действий со стороны сотрудников этих финансовых организаций. И наконец, мошенники могут посредством того же вишинга получить доступ к учетным записям граждан на «Госуслугах» и снять запрет. В общем, такая мера может снизить число пострадавших, но полностью проблему не решит.
Что можете сделать лично вы?
Главный способ минимизировать возможный ущерб — быть внимательным. Нужно сразу же вешать трубку в случае звонка из любого банка. Лучше перезвонить самому на официальный номер и спросить, звонили ли вам из банка. В 99% случаев вам скажут, что никто не звонил. То же касается и писем. Всегда проверяйте ссылки специальными сервисами, хотя бы банальным VirusTotal, а лучше вовсе не переходите ни на какие сайты с подозрительным содержанием. И в целом повышайте свой уровень знаний в области цифровой гигиены. В современных реалиях это стало одним из важнейших навыков.
Никита АРТЕМОВ для Banki.ru
\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t
Как реагировать на утечку персональных данных клиентов
Своевременное принятие эффективных мер при нарушении конфиденциальности данных клиентов компании позволит снизить их отток и уменьшить размеры возмещаемого ущерба и санкций
Из новостей мы нередко слышим о крупных утечках персональных данных. Но что делать, если это случилось в вашей компании?
Грамотное реагирование на подобные инциденты требует серьезной подготовки. И хотя это не избавит вас от всех негативных последствий произошедшего, но может значительно уменьшить ущерб.
Как утекают данные и почему это опасно?
Сценарии утечки персональных данных и связанные с этим риски индивидуальны для каждой компании и зависят от специфики ее деятельности, используемых технологий, внедренных механизмов защиты и др. Причинами утечки могут стать, например, деятельность хакеров, ошибочное или злонамеренное действие сотрудника.
Последствия для клиентов, конфиденциальность чьих данных была нарушена, во многом зависят от состава раскрываемой информации. Мошеннические действия от имени пострадавшего, спам, шантаж, дискриминация (например, в результате раскрытия сведений о заболеваниях) – вот далеко не полный их перечень. Убытки может понести и компания, которая допустила утечку данных.
Снизить негативный эффект помогает продуманное и оперативное реагирование, а потому к утечке нужно быть готовым.
Почему важно реагировать на утечку персональных данных?
Уменьшение оттока клиентов
Согласно исследованию PwC в России, потребители обеспокоены атаками и хотят знать о них. Так, 89% опрошенных согласны, что компании должны извещать о таких атаках клиентов и общественность. 88% участников исследования не будут покупать у компании товары и пользоваться ее услугами, если не верят, что та ответственно подходит к защите персональных данных своих клиентов.
Чем более открыто и профессионально компания действует при утечке, тем меньше будет отток клиентов. Это особенно важно для организаций, работающих в здравоохранении, фармацевтике, сфере услуг и технологическом секторе, где изначально велика вероятность оттока клиентов в подобных случаях.
Уменьшение размера санкций
Если компания подпадает под действие GDPR – Общего регламента о защите персональных данных, то некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты. Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.
Вместе с тем своевременное реагирование поможет уменьшить вред, причиненный людям, чьи данные были раскрыты, что может сказаться на размере штрафа. Примером служит следующий случай: немецкая социальная сеть известила надзорный орган в Германии об утечке персональных данных 330 000 пользователей, произошедшей в июле 2018 г. Компании назначили относительно небольшой штраф в размере 20 000 евро благодаря взаимодействию с регулятором, открытости и готовности улучшать меры защиты.
Уменьшение размера возмещаемого ущерба
Если вы оператор персональных данных, может потребоваться возмещение ущерба клиентам. Если вы обработчик данных по поручению, на это вправе рассчитывать ваш заказчик – оператор персональных данных. Размер компенсации будет зависеть от понесенного ущерба.
При этом состав мер реагирования может предусматривать действия, направленные на уменьшение вреда, причиненного клиентам. А это повлияет на сумму компенсации.
Уменьшение потери стоимости компании
Некорректное реагирование на утечку способно усугубить ситуацию. Доверие инвесторов может быть потеряно так же, как и доверие клиентов. По данным британской исследовательской компании Comparitech, утечка оказывает долгосрочный негативный эффект на стоимость акций.
С чего начать?
Как выявить события, сигнализирующие об утечке?
Если есть возможность использовать технические средства – используйте их. Могут быть полезны DLP-системы, инструменты анализа логов информационных систем и прочие средства мониторинга.
В то же время важно помнить, что определяющим успех фактором является не наличие программного обеспечения, а актуальная информация о процессах обработки персональных данных, событиях, указывающих на утечку, и регулярный их анализ.
Работа с обращениями
Сотрудники, клиенты и другие люди могут рассказать об утечке. Необходимо дать им такую возможность. Желательно, чтобы канал коммуникации был анонимным и максимально простым. Важно, чтобы внешние каналы можно было легко найти, внутренние должны быть известны всем сотрудникам.
Не стоит забывать и про контрагентов. Требования о своевременном информировании представителей вашей компании о нарушениях безопасности персональных данных должны быть включены в договор.
Мониторинг информационного пространства
Существуют программы, которые по ключевым словам собирают публикации в СМИ. Это не только интернет-СМИ, но и офлайн-периодика, радио и телеэфир, а также социальные сети. Такой мониторинг позволяет выявить утечки, которые пока не идентифицированы другими способами, и своевременно на них отреагировать.
Представители вашей компании могут действовать в роли лиц, покупающих персональные данные ваших клиентов. Зная о том, какие именно данные покупают, и системы, где они обрабатываются, вы можете отслеживать, кто обращался к этой информации, и таким образом выходить на злоумышленников. Этот метод применим не всегда, но в определенных случаях может быть очень эффективным.
Как работать с утечкой внутри компании?
Правильно классифицировать инциденты
Все обозначенные ранее методы направлены на выявление признаков утечки. Но не каждый инцидент, касающийся информационной безопасности, будет связан с нарушением конфиденциальности и реальной утечкой персональных данных. Если одинаково реагировать на все, то времени на по-настоящему критичные случаи может попросту не хватить.
Сформировать кросс-функциональную группу
Для уточнения информации о произошедшем событии может потребоваться вовлечение смежных подразделений, в первую очередь центра компетенций по персональным данным. Состав группы реагирования и критерии вовлечения тех или иных лиц должны быть определены заранее. И слово «заранее» ключевое, когда мы говорим об эффективном реагировании.
Заранее определить порядок реагирования
Он должен быть настолько подробным, насколько возможно. Это позволит сократить время, затрачиваемое на принятие необходимых мер. Порядок действий следует тестировать как непосредственно при внедрении, так и позже в формате учений. Особенно если данные процедуры задействуются редко.
Контролировать промежуточные сроки
На каждом этапе реагирования должен быть определен ответственный сотрудник, который будет контролировать промежуточные сроки. Своевременная идентификация заминок позволит вовремя принимать компенсирующие меры и сократить общее время реакции.
Документировать принимаемые решения
Это может пригодиться для демонстрации корректности мер реагирования регуляторам, а также для последующего разбора и оптимизации процесса внутри компании. Документирование всех нарушений безопасности персональных данных также является требованием GDPR.
Итоговая отчетность и принятие компенсирующих мер
Рекомендуется составлять отчетность по произошедшему инциденту и, что еще важнее, предпринимать действия для недопущения подобных событий в будущем, будь то реально произошедшая утечка или ложное срабатывание технического средства.
Кого необходимо уведомить об утечке?
Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе.
В России пока нет закона, обязывающего информировать надзорные органы об утечке персональных данных. Однако он может в скором времени появиться в связи с подписанием в октябре 2018 г. протокола о внесении изменений в Конвенцию Совета Европы о защите персональных данных, предусматривающего такую обязанность.
В некоторых случаях сведения об утечке должны быть переданы клиентам, конфиденциальность данных которых была нарушена. Например, когда утечка может привести к высоким для них рискам (раскрытие медицинских сведений, данных для входа в систему интернет-банкинга и т.д.). Клиентам нужно предоставить детальную информацию о действиях, которые они могут предпринять, чтобы защитить себя. Сообщение должно быть написано на простом и понятном языке.
Размещение информации в СМИ также может оказаться хорошей идеей, например, когда необходимо быстро проинформировать тысячи потерпевших, полный список которых сложно установить. Но этот инструмент с трудом поддается контролю и может серьезно навредить. Особенно если у вас пока недостаточно информации и ресурсов для того, чтобы ответить на возникающие у клиентов вопросы.
Требования об уведомлении могут предъявляться со стороны контрагентов или материнской компании. Важно не забыть и про собственных сотрудников: каждый должен знать, что вопросы от СМИ необходимо переадресовать в пресс-службу. Позиция компании должна быть единой.
Не запутаться в том, кому, в какие сроки и что именно сообщать, помогут меры, принятые на предыдущих этапах. Каждое сообщение об утечке должно быть адаптировано под целевую аудиторию. Заранее подготовленные шаблоны коммуникаций помогут сэкономить время. При этом не стоит забывать: спешка и формальный подход не принесут пользы, а только навредят.
1 Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере – структурное подразделение Департамента информационной безопасности Центрального банка РФ.
Утечка персональных данных
Читательница Карина спрашивает:
Продавец выложил в социальных сетях имена, телефоны и историю заказов клиентов, потому что я его уволила. Еще грозится опубликовать на Пикабу, вряд ли клиенты обрадуются, что теперь весь интернет знает об их покупках с именами и телефонами. Что мне делать?
Карина, с юридической точки зрения платить клиентам сразу после утечки не нужно — только по решению суда. С точки зрения пиара можно заплатить и сразу. А вообще у вас есть несколько вариантов: ничего не говорить клиентам и ждать — может, они сами узнают, а может, нет; рассказать и предложить компенсацию до суда; решать всё через суд и с клиентами, и с бывшим сотрудником. Это если кратко, а в статье — с подробностями.
Шаг 1. Предупредить сотрудника о штрафах за публикацию персональных данных
В вашей ситуации есть плюс: вы знаете, кто виноват. Поэтому сначала нужно попросить бывшего сотрудника удалить персональные данные клиентов. Чтобы просьба была весомей, расскажите о штрафах за утечку персональных данных. За распространение персональных данных могут оштрафовать на 1000, а могут и на 300 000 рублей:
О штрафах можно предупредить устно или отправить досудебную претензию. Письменная претензия пугает больше, но если договориться не получится, пишите заявление в полицию или Роскомнадзор:
Такой-то такой-то незаконным образом распространил персональные данные клиентов без их согласия. Прошу принять меры по удалению данных из сети Интернет, а именно со страницы такого-то в социальной сети Вконтакте.
Перед заявлением в полицию или Роскомнадзор нужно проверить, что у вас есть:
Без документов есть риск штрафа для магазина от Роскомнадзора. Поэтому, если документов нет, лучше договариваться мирно с продавцом или просить удалить данные администрацию сайта, на котором продавец их опубликовал.
Для магазина тоже есть штрафы за утечку персональных данных:
Кроме штрафов у магазина может возникнуть еще две проблемы: клиенты потребуют компенсации морального вреда и убытков или пожалуются в Роскомнадзор, прокуратуру, и те придут с проверками.
Для защиты от утечек стоит ужесточить политику защиты персональных данных, например подписать со всеми сотрудниками договор о неразглашении, НДА. О том, что делать, если НДА был, а сотрудник его нарушил, мы подробнее писали в другой статье.
Как защититься с НДА
Если бы сотрудник еще работал в магазине, вы могли бы его уволить за однократное грубое нарушение трудовых обязанностей, а именно разглашение персональных данных клиентов.
В суд обратилась бывшая сотрудница банка с требованием восстановить ее в должности и выплатить зарплату за месяцы незаконного увольнения. Ее уволили за то, что анкеты с персональными данными клиентов оказались в мусорке возле отделения банка. А это разглашение банковской тайны и конфиденциальных данных клиентов.
Бывшая сотрудница считала, что ее уволили незаконно, потому что она анкеты клиентов не выбрасывала. Но суд решил, что именно она как руководитель отдела должна была проследить, чтобы анкеты уничтожили правильно — измельчили в шредере, как требует инструкция банка. Раз сотрудница нарушила трудовые обязанности, ее увольнение законно.
Шаг 2. Решить, стоит ли говорить клиентам об утечке данных
С клиентами, данные которых бывший сотрудник опубликовал, есть два варианта:
Какой вариант выбрать, решать вам. Всё зависит от масштаба утечки, клиентов и информации, которую опубликовал бывший сотрудник.
Об утечках в крупных компаниях клиенты узнают через СМИ. К примеру, в октябре этого года была опубликована база абонентов Билайна, но компания не связывалась с клиентами, а общалась только со СМИ, хотя могла разослать смс или пуш-уведомления.
Еще один пример — Сбербанк, который в таких случаях тоже общается через СМИ и пишет что-то вроде: да, была утечка, мы виноваты, проблему исправили, лазейку закрыли, установили новые программы, а всех сотрудников наказали.
Компенсацию морального вреда за утечку клиент может получить от компании только через суд. На практике суды назначают небольшие компенсации по 5000—15 000 рублей. Максимум до 25 000 рублей, если компания опубликовала информацию об анализах, болезнях или пластических операциях клиентов.
Судебных дел по утечке персональных данных почти нет. А в тех, что есть, люди судятся в основном со СМИ из-за разглашения тайны усыновления, публикации фотографий с любовницами и списков недвижимости, а не из-за истории заказов из магазина.
Шаг 3. Переложить ответственность за утечку на бывшего сотрудника
Ответственность за утечку лежит на бывшем сотруднике — именно он выложил данные от своего имени. Чтобы он отвечал за это, на него можно подать регрессный иск — это такой иск, который перенаправляет претензии клиентов на настоящего виновника.
Сначала нужно отправить бывшему сотруднику претензию с минимальной суммой:
Дорогой Василий! Ты слил персональные данные наших клиентов в интернет, это нанесло непоправимый вред репутации нашей компании. Мы требуем с тебя компенсацию — 300 рублей.
Здесь важна не сумма компенсации, а сам процесс передачи ответственности. Если сотрудник выплатит 300 рублей, он подтвердит этим свою вину, а у вас появятся документальные доказательства. Тогда в суде можно будет сказать: «Мы не виноваты. Да, мы собирали данные, но опубликовал их Василий, он с этим согласен, потому что выплатил нам компенсацию. Все претензии теперь к нему».
Если бывший сотрудник решит не платить по претензии, а клиенты пойдут в суд, нужно подать на него иск за незаконное распространение персональных данных. В иске пишем:
«Требуем взыскать с продавца такую-то сумму, которую магазин уплатил в качестве компенсации морального вреда и убытков клиентам в результате нарушение закона продавцом»
Сотрудник возмещает ущерб — статья 238 трудового кодекса
В иске ссылаемся на трудовой договор с продавцом и статью 238 трудового кодекса. По этой статье сотрудник возмещает работодателю прямой действительный ущерб, а именно затраты магазина на возмещение ущерба клиента, который причинил продавец. Но ничего взыскать не получится, если сотрудник работал без договора.
Материальная ответственность сотрудников
Раздел для тех, кто хочет получить деньги через Фонд компенсации утечки персональных данных
Утечки персональных данных: чем они опасны для пользователей и как от них защититься
Сотрудник аналитического отдела Falcongaze
Привычные нам сервисы не защищены на 100% от утечки данных. Павел Пармон, сотрудник аналитического отдела компании Falcongaze, которая специализируется на кибербезопасности, написал колонку о том, зачем и как злоумышленники воруют информацию, и как усложнить процесс кражи.
Зачем воруют персональные данные пользователей
Причины краж персональных данных бывают абсолютно разные:
Как злоумышленники получают доступ к чужим персональным данным
Способов добраться до персональных данных много, но основными являются:
Как себя обезопасить
К сожалению, от утечек данных пользователь себя обезопасить сам не сможет. Ведь большое количество данных утекает как раз в результате взломов баз данных сервисов или инсайдерских утечек.
Но мы подготовили несколько советов, как сделать утечку ваших данных, если она произойдет, менее болезненной, а жизнь злоумышленников сложнее:
Главная опасность утечек данных состоит в том, что для пользователя она может пройти незаметно. Не всегда компании освещают подобные инциденты хоть где-то, а даже если и освещают, то не всегда информация о них доходит до пользователей. Поэтому очень важно заранее позаботиться о своих персональных данных.
Утечка данных — это страшно? Как сохранить информацию о себе
Персональные данные — это вообще что?
Персональные данные (ПД) — это любые сведения о человеке, при помощи которых можно идентифицировать его личность. Такие данные, если собрать их воедино, могут помочь другому лицу выследить жертву или выдать себя за нее. Однако чаще всего ПД используется в более мирных целях — для показа персонализированной рекламы.
Какие данные являются персональными? Здесь можно вспомнить целый список. Естественно, к ПД относятся имена, отчества и фамилии, а также номера телефонов и банковских карт. Информация о месте проживания и регистрации, адрес электронного ящика, сведения об образовании и о болезнях — все это тоже персональные данные.
А что же значит фраза «утечка персональных данных»?
Утечкой называют все случаи, когда информация о человеке попадает в открытый доступ. Часто данные публикуются на хакерских форумах или продаются в даркнете — при таких обстоятельствах их может заполучить практически любой желающий.
По данным компании InfoWatch, только за 2019 год в мире утекло более 14 миллиардов конфиденциальных записей — это вдвое больше, чем годом ранее. При этом в России количество скомпрометированных записей выросло аж в шесть раз.
Причин утечки может быть несколько. Первая, которая приходит на ум — хакеры. Они ищут бреши в системах безопасности различных корпораций, выуживают из них базы данных, а затем продают третьим лицам или оставляют себе для шантажа компаний и их пользователей. Также к этому пункту можно причислить все вредоносное ПО, благодаря которому злоумышленники получают секретные данные.
Второй вариант менее очевидный, но тоже весьма распространенный. Очень часто информацию о клиентах сливают сами сотрудники компании. Иногда случайно, иногда намеренно. Нередки случаи, когда работник конторы после увольнения забирает с собой клиентскую базу. Также бывает, что действующие сотрудники продают информацию о пользователях. Представители InfoWatch отмечают, что в 2019 году именно действия рядовых сотрудников спровоцировали более 70 процентов утечек информации в России.
Еще один вариант утечки данных — фишинговые атаки. Злоумышленники подделывают популярные сайты, меняя в них одну букву, чтобы пользователи заходили туда и самостоятельно оставляли свою персональную информацию (например, имя и номер банковской карты). Еще мошенники любят присылать фейковые электронные письма с предложением выиграть миллион долларов или с любой другой информацией, которая поможет им заполучить необходимые данные от пользователя.