Сколько персональных данных «утекло» в РК за последние два года. Данные о жизни людей по всему миру стали товаром. Они нужны и мошенникам, и спецслужбам
Сколько персональных данных «утекло» в РК за последние два года. Данные о жизни людей по всему миру стали товаром. Они нужны и мошенникам, и спецслужбам
4 года назад 1759 forbes.kz

Об этом говорится в отчете по утечкам конфиденциальной информации InfoWatch

За 2018-2020 год Республике Казахстан «утекло» более 11 млн записей персональных данных и платежной информации, говорится в отчете по утечкам конфиденциальной информации InfoWatch.

Об этом свидетельствуют выявленные за исследуемый период утечки информации ограниченного доступа из коммерческих компаний, некоммерческих организаций, государственных органов и других организаций Казахстана. Всего на основе изучения открытых источников зарегистрировано 24 случая компрометации различных типов конфиденциальных данных.

Согласно исследованию, доля утечек, произошедших по вине внешних злоумышленников, составляет 27,3%. Как отмечают в Центре анализа и реагирования кибератак (ЦАРКА), почти 90% компаний являются уязвимыми перед киберпреступностью. Один из примеров хакерской активности - атака на «Народный банк Казахстана», в результате которой пострадавшими оказались как минимум 200 клиентов финансового учреждения.

Соответственно, 72,7% от общего количества инцидентов спровоцированы действиями внутренних нарушитей. За всеми этими утечками стоят действия персонала – умышленные или случайные, вызванные человеческим фактором. Как в Казахстане, так и в России внутренний вектор воздействия на информационные активы организаций остается стабильно высоким.

«Государственные программы, направленные на защиту от кибератак, являются положительным примером реализации единого подхода к обеспечению информационной безопасности каждого гражданина и страны в целом, - говорит Руслан Сурмай, руководитель офиса ГК InfoWatch в Республике Казахстан. - Однако, как показывает исследование, не стоит забывать об опасности, исходящей от сотрудников организаций. Как умышленные, так и случайные действия персонала и привилегированных пользователей могут привести к серьезным последствиям. Средствам защиты от вторжений должны сопутствовать комплексы предотвращения утечек информации по вине пользователей. Это подразумевает контроль всех основных каналов обмена информацией и обеспечение защиты хранилищ. Также компаниям требуются системы управления доступом и инструменты анализа информационных потоков, развернутые в том числе с целью выявления аномалий в поведении сотрудников».

Отраслевое распределение утечек конфиденциальной информации демонстрирует доминирующую долю инцидентов, произошедших в госсекторе Казахстана - на органы власти и государственные организации пришлись 50% всех зарегистрированных в республике утечек. Примерно 91% всех утечек связаны с компрометацией персональных данных, оставшиеся 9% относятся к случаям разглашения государственной тайны.

В результате крупнейшей утечки, произошедшей в июле 2019 года, были скомпрометированы данные 11 млн граждан Казахстана. Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, инициировал расследование инцидента. Судя по опубликованной в сети Интернет базе данных, содержащей персональные данные избирателей страны, она «утекла» из Центризбиркома.

Основным каналом утечек является Сеть – на нее пришлись 81% случаев. При этом растет количество утечек через сервисы мгновенных сообщений это характерно как для Казахстана, так и для России. Доля скомпрометированных конфиденциальных данных через бумажные документы, напротив, снижается. В 2018-2020 годах она составила 4,8%. Интересно, что в публичном информационном поле Казахстана отсутствуют сообщения о «сливе» данных через электронную почту. Вероятно, этот канал неплохо контролируется многими компаниями.

В заключение авторы исследования отмечают, что, помимо обеспечения безопасности хранилищ многих видов конфиденциальных данных во всех отраслях, следует обратить отдельное внимание на промышленные предприятия страны. С учетом развития автоматизации промышленности Казахстана в ближайшие годы все острее будут возникать проблемы защиты подключенных к Сети систем управления производством. От государства и бизнеса потребуются особые подходы для защиты коммерческих секретов и ноу-хау предприятий от внешних злоумышленников и инсайдеров.

Инстинкт сохранения

Данные о жизни людей по всему миру стали товаром. Они нужны и мошенникам, и спецслужбам

Ежедневно миллиарды пользователей интернета оставляют в сети «следы». Информация о юзерах — главная ценность для IT-компаний и лакомая добыча для киберпреступников. В последние годы новости об утечках данных стали обыденностью: почти каждый день в руки заинтересованных лиц попадают досье на тысячи и миллионы человек, и те пользуются ими по собственному усмотрению — от перепродажи до массовых взломов. Всем известны случаи с поддельными звонками из «службы безопасности» банков, оформлением кредитов или подставных организаций на незадачливых пользователей сети. Все это — последствия массовых утечек. Защита персональных данных стала одной из ключевых задач современности. Как во всем мире пытаются защитить информацию о пользователях и кто поплатится за проблемы с безопасностью — разбиралась «Лента.ру»

Новые реалии

Объем информации, генерируемый людьми, государственными органами и предприятиями, постоянно растет. Ожидается, что к 2025 году он увеличится в пять раз по сравнению с 2018-м. В попытке обуздать растущие риски Еврокомиссия недавно разработала проект регламента по обмену и управлению данными. По словам европейских чиновников, новые правила в конечном итоге поспособствуют «благосостоянию общества, усилению контроля и доверия как граждан, так и компаний в отношении своих данных и предложат альтернативную европейскую модель практике обработки данных на основных технологических платформах». Оговаривается, что при коммерческом обмене данными передавать их напрямую будет нельзя.

Цифровой след (или цифровой отпечаток) — информация о действиях пользователя в интернете: данные о посещении сайтов, подписки на рассылки, финансовые платежи и другие операции в сети, проанализировав которые можно составить досье на человека.

По сути Евросоюз предлагает модель взаимодействия, призванную ограничить влияние и возможности крупнейших технологических платформ. Основными операторами данных должны стать компании-посредники или агрегаторы. Они будут заниматься сбором, хранением и обогащением информации для ее дальнейшего использования разными компаниями. А вот зарабатывать, предоставляя какие-либо услуги пользователям, не смогут — к ним будут предъявляться самые жесткие требования. Например, посредники не получат права разрабатывать собственные продукты на основе данных, продавать их или даже обрабатывать в собственных интересах. Исполнительный вице-президент Еврокомиссии Маргрет Вестагер заявила: «Необязательно делиться всеми данными. Но если вы это делаете и данные являются конфиденциальными, вы должны быть в состоянии сделать это таким образом, чтобы информацию можно было доверить и чтобы она была защищена. Мы хотим дать бизнесу и гражданам инструменты, позволяющие контролировать данные. И создать доверие к тому, что данные обрабатываются в соответствии с европейскими ценностями и основными правами».

Согласно проекту, провайдер должен обеспечивать высокий уровень безопасности для хранения и передачи обезличенных данных, а метаданные, собранные для обмена информацией, могут использоваться только в отношении определенной услуги или цели, для которой они и были собраны. Агрегатор обязан гарантировать справедливость, прозрачность и «недискриминационность» всем участникам процесса, при этом предоставлять услуги «непрерывно» — то есть и держатели, и пользователи данных в любом случае должны получать к ним доступ.

По словам председателя комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александра Журавлева, этот регламент — один из шагов Евросоюза по защите национальных приоритетов, в частности, данных европейцев. Он в том числе необходим, чтобы ограничить монополию IT-гигантов и улучшить конкуренцию на этом рынке, а также защитить непосредственно граждан. Для этого и должны быть созданы организации, которые станут посредниками при передаче информации, то есть данные будут храниться у посредников в обезличенном виде, и они сами не будут иметь к ним доступ. Делиться ими можно будет только по запросу компаний или государственных органов. Но как это отразится на других участниках процесса?

«Там есть определенные оговорки, касающиеся других стран. И любые данные в обезличенном виде могут быть переданы, если запрашивающая организация и страна-получатель обеспечивают должный уровень защиты данных, которые соответствуют европейскому законодательству. То есть будет рассматриваться законодательство о персональных данных, об интеллектуальной собственности, уголовное и права государственных органов по доступу к этим данным — и затем приниматься решение о передаче или невозможности передачи таких данных», — заключает Журавлев. По словам эксперта, Евросоюз движется в направлении защиты данных своих граждан и компаний. Это делается в том числе для развития цифровой экономики — экономики данных.

С развитием цифровых сервисов граждане разных стран оставляют достаточно большое количество данных на разных ресурсах. А новые технологии в своей основе имеют алгоритмы, анализирующие огромные массивы данных, и они способны выявить процессы и закономерности, которые незаметны человеческому глазу. Чем больше разного рода данных получают компании, тем больше знают эти алгоритмы. По мнению заместителя генерального директора по правовым вопросам Института развития интернета (ИРИ) Бориса Едидина, для развития цифровой экономики важен принцип недискриминационного доступа к данным для всех заинтересованных пользователей. «Чем больше субъектов смогут получить доступ к ограниченному ресурсу, тем больше новых сервисов, технологий и услуг могут быть созданы или оптимизированы. Тем технологичней станет наша жизнь и конкурентоспособней экономика. По оценке европейских экспертов, в результате реформы вклад основанных на данных индустрий может достичь четырех процентов ВВП», — заключил он.

Европейские ценности

По мнению специалистов, новый законопроект, касающийся правил передачи данных, преследует сразу две цели. Первая и очевидная — это защита собственно граждан. Если ценные массивы персональных данных находятся в иностранной юрисдикции и степень их защищенности мала, то можно лишь предположить, как и кем они могут быть использованы. Второй аспект связан с бизнесом. Крупные социальные сети сосредоточили в своих руках информацию о миллиардах пользователей: к примеру, у Facebook их более трех. Обработав такое количество информации, платформа получает почти неограниченную власть, огромные инструменты влияния во всех сферах — от банальных покупок до жизненного выбора. При этом малые сервисы сталкиваются со сложностями, так как все данные сосредоточены в руках нескольких IT-гигантов. Чтобы не монополизировать рынок и осуществлять свободную конкуренцию, Еврокомиссия и предлагает новый регламент.

В пользу последней точки зрения говорит и недавняя отмена соглашения Privacy Shield («Щит безопасности») о свободном трансфере данных между США и Евросоюзом. В июле 2020 года такое решение было принято Европейским судом в Люксембурге. Поводом стали опасения из-за возможной слежки за гражданами со стороны американских властей, которые укреплялись в последние годы после откровений бывшего сотрудника АНБ Эдварда Сноудена, рассказавшего о системе шпионажа за пользователями по всему миру. Этот судебный прецедент существенно усложнит работу коммерческих компаний, осуществляющих деятельность одновременно на двух материках, однако не запрещает передачу такой информации полностью.

Работа по регуляции и защите персональных данных ведется во всем мире давно. Наиболее известным документом в этой сфере является Общий регламент Европейского союза по защите персональных данных General Data Protection Regulation (GDPR), вступивший в силу в мае 2018-го. Он защищает многочисленные цифровые следы европейцев: виновник любой утечки должен в течение 72 часов известить о произошедшем пострадавших и сотрудников ведомства-регулятора. Финансовые риски огромны: если требования, оговоренные в GDPR, не выполняются, на компанию налагается штраф в размере до 20 миллионов евро или четырех процентов от годового глобального оборота. На днях Ирландская комиссия по защите данных (Data Protection Commission, DPC) наложила такие санкции на Twitter. За недостаточно оперативное обнародование данных об утечке платформу оштрафовали на 450 тысяч евро. Это первая санкция в отношении компании в рамках действия GDPR. Но сейчас в работе комиссии по защите данных находится более двух десятков дел о работе американских компаний в Европе.

Согласно недавнему отчету, за два года применения GDPR почти все государства фактически реализовали указанные меры и обязательства в полном объеме, отстает пока лишь Словения. Большинство стран постоянно актуализируют законодательство в области персональных данных в попытке защитить граждан и собственную информационную безопасность. Против этих инициатив ожидаемо выступают многие крупные IT-платформы, так как они несут для них дополнительные неудобства и расходы. Однако постоянные сообщения об утечках вынуждают власти прибегать к радикальным решениям. «Мы живем в интересное время — суверенитету и независимости государств бросают вызов транснациональные технологические компании. Национальные регуляторы осознают опасность и предпринимают усилия по ограничению их возможностей. Эту тенденцию мы видим и в Европе, и в США», — отмечает заместитель генерального директора по правовым вопросам ИРИ Борис Едидин.

В разных государствах существуют также собственные требования о локализации персональной информации пользователей. В прошлом году правительство Индии решило обязать бигтех хранить данные местных жителей на территории страны. Такие меры были связаны с утечкой WhatsApp: тогда стало известно об опасной бреши в защите сервиса. Воспользовавшись ею, неизвестные злоумышленники атаковали пользователей, установив на их устройства программы-шпионы. Происходило это следующим образом: жертва получала через мессенджер звонок, данные о котором моментально стирались. Несмотря на то что вызов оставался неотвеченным, на гаджет устанавливалось ПО под названием Pegasus. С его помощью можно было незаметно вести видео- и фотосъемку, а также прослушивать телефон. При этом израильская компания NSO Group, разработавшая программу, отрицала все обвинения, утверждая, что доступ к ней имеют только службы разведки и правительства.

Несколькими годами ранее Южная Корея запретила компании Google использовать государственные картографические данные на иностранных серверах. Тогда правительство объяснило это вопросами национальной безопасности. Еще пять лет назад, по данным Европейского центра по международной политической экономии (ECIPE), стран, регламентирующих правила локализации данных, было более 60. Азиатские страны (Сингапур, Индия, Китай) и ряд европейских (Швеция, Германия, Дания и другие) обязывают хранить на местных серверах все данные, которые обрабатываются госорганами. То же касается медицинской информации о жителях Австралии и Великобритании, некоторых штатов США и Канады (там на территории каждого региона приняты собственные законы о данных). В России закон о локализации персональных данных россиян действует уже более пяти лет — с сентября 2015 года.

По словам Бориса Едидина, желание оформить локализацию законодательно пришло к странам с общим пониманием ценности информации. «Современные технологии позволяют даже в рамках очень простых сервисов, таких как фонарик на телефоне, собирать фактически неограниченные массивы данных о пользователях — от геолокации до состояния здоровья. Данные, как новые знания в Средние века, позволяют получать колоссальные преимущества при разработке и продвижении товаров и услуг, определять потребности и приоритеты пользователей на локальных рынках. Учитывая эти обстоятельства, контроль за обработкой данных и порядком их использования — это вопрос экономики, безопасности и конкурентоспособности государств», — отмечает заместитель генерального директора по правовым вопросам ИРИ.

Вызов принят

Эксперты отмечают, что Россия также движется в сторону улучшения законодательства о данных. К таким шагам относят законопроект об общедоступных данных, который в том числе поможет защитить граждан в части публичного распространения их данных. Члены комитета Госдумы по информационной политике все чаще говорят о том, что существующие штрафы для компаний за утечки данных ничтожно малы. Также в России действует европейская конвенция, где оговаривается понятие анонимизированных данных. Она предполагает разные степени обезличивания. По оценке председателя комиссии по правовому обеспечению цифровой экономики Московского отделения АЮР Александра Журавлева, существуют два варианта развития событий: либо провести эксперимент по обезличиванию данных в ряде регионов, либо сразу вводить эти понятия в законодательство о персональных данных. При этом, уверен он, на сегодняшний день очень важно обеспечить стимулы для операторов данных, чтобы они хранили их надлежащим образом.

Чуть ли не ежедневно мы сталкиваемся с информацией об утечках данных. Если говорить о нынешней степени защиты россиянина — он имеет право обратиться в Роскомнадзор с требованием провести проверку и привлечь к ответственности организацию, допустившую утечку. Но вне зависимости от того, сколько данных утекло, штраф для виновника составит максимально 75 тысяч рублей. «То есть по сути это не обеспечивает надлежащей защиты», — заключает Журавлев. Гражданин вправе подать в суд на оператора, если он видит, что его данные утекли, и взыскать моральный ущерб либо убытки. Эксперт замечает, что в части морального ущерба судебная практика складывается таким образом, что компенсация судом присуждается от полутора до трех тысяч, иногда доходит до 15 тысяч рублей. В части убытков и возможности их взыскания все еще сложнее. Убытки по своей природе предполагают доказательство причинно-следственной связи между действиями и бездействиями операторов данных. Сегодня такую связь доказать нельзя из-за отсутствия прозрачного оборота данных. За все время существования закона о персональных данных не было ни одного судебного разбирательства в этой части.

Юристы понимают, что судебной перспективы в этом нет. Потому что когда человек подписывает согласие, где указано право передавать данные третьим лицам операторами, — он не знает, кто эти «лица».

Борис Едидин замечает, что скорость развития технологий и нарастание объема обрабатываемой информации требуют развития институтов общественного контроля за корректной обработкой данных. «Развитие институтов внешнего аудита, независимого контроля хранения и обработки данных — это опыт, который может быть заимствован за рубежом, наряду с существующей системой крупных штрафов за нарушения в этой сфере». Его поддерживает Журавлев: «Если мы говорим о том, что нам нужно соответствовать европейским требованиям, нужно в первую очередь, наверное, делать штрафы по КоАП дифференцированными и соразмерными. Поскольку если 75 тысяч сравнить с GDPR, где миллионные штрафы присуждаются или достигают четырех процентов от оборота компании, которая допустила нарушение, — это, конечно, несоразмерно». При этом в настоящий момент по КоАП штраф начисляется в пользу государства, а не пострадавшего пользователя.

Также активно сейчас обсуждается инициатива введения компенсаций. Речь о возможности гражданина взыскать личную компенсацию — от 10 тысяч до миллиона рублей в зависимости от тяжести нанесенного ущерба. Она будет стимулировать операторов персональных данных к принятию необходимых мер безопасности, а также даст определенный уровень защищенности и приблизит российское законодательство к европейскому. Однако пока неизвестно, будут ли приняты эти меры, в какой степени затронет россиян обсуждаемый в Европе законопроект и как в будущем цифровые компании будут обмениваться данными и работать над цифровыми продуктами.

Alibaba облегчает китайским спецслужбам слежку за уйгурскими мусульманами

Китайская компания сектора хай-тек Alibaba дала повод для международного осуждения в свой адрес – в прессу просочились сведения о том, что услуги Alibaba позволяют идентифицировать лица уйгуров и других этнических меньшинств на видеороликах и фотографиях. На веб-сайте подразделения Alibaba по облачным сервисам обнаружились разъяснения для корпоративных клиентов относительно того, как программное обеспечение компании может распознавать лица уйгуров в контенте медийных платформ, сообщает IslamNews со ссылкой на Japan Times.

Пока нет информации о том, как клиенты Alibaba использовали данный инструментарий для выявления меньшинств, однако правозащитники отмечают, что такие функции софтвера позволят помечать флажками видеоролики и фотографии для особо пристального рассмотрения китайскими спецслужбами. С учетом гонений на уйгурских мусульман в Синьцзяне такие цифровые технологии не могут не вызывать обеспокоенность. Сама компания отказалась от комментариев о сервисе по идентификации лиц уйгурских мусульман.

На экзаменах в вузах предложили использовать биометрию

Минцифры РФ предложило использовать Единую биометрическую систему (ЕБС) на дистанционной сессии. 

Согласно проекту, который опубликовали в Минцифры, перед началом онлайн-экзамена ученикам нужно будет произнести случайно сгенерированную последовательность цифр: система сопоставит голос ученика и движения его лица. Так ЕБС удостоверится, что перед ней реальный человек, а не фото или дипфейк, объяснили изданию в ведомстве. 

Если личность будет подтверждена с вероятностью свыше 99,99%, система допустит студента до сдачи экзамена. 

Кроме биометрии, также есть возможность наблюдать за студентом через камеры или следить за его зрачками глаз. Однако в ведомстве подчеркнули, что это не обязательные требования и могут быть введены только по желанию руководства.  

В пояснительной записке говорится, что ЕБС пока «единственный законодательно закрепленный механизм биометрической идентификации». Поэтому если университет решил ввести у себя идентификацию по лицу, то студентам нужно будет сходить в отделение банка, где проводят регистрацию биометрии, и сделать запись образца голоса, а также фото. При этом ЕБС действует только для граждан России — для иностранных студентов она будет недоступна, рассказали в Ростелекоме.

0 комментариев
Архив