5 мая 2022 г.
Глобальное исследование цифровых активов, проведенное Group-IB, обнаружило почти 400 тысяч общедоступных баз данных по всему миру, из которых свыше 7,4 тысяч хранятся в свободном доступе на открытых серверах. Незащищенные ресурсы становятся легкой добычей для киберпреступников. С их помощью они похищают персональные данные или используют полученную информацию для целевых атак. Большая часть этих баз хранятся на серверах США, Китая, Франции и Индии, следует из обзора. Принятые в апреле 2022 года поправки к закону «О персональных данных» перекроют трафик данных за границу. Об опасности утечек персональных данных и о том, как от них защититься пользователям, рассказала Анастасия Федорова, эксперт по информационной безопасности ИТ-компании КРОК.
Данным перекрыли трафик
Личной информации усложнили выход за рубеж. Недавно принятые поправки к закону «О персональных данных» запрещают передачу сведений россиян иностранным и международным компаниям. Роскомнадзор ввел обязанность для операторов информировать о трансграничной передаче данных. К сожалению, в предлагаемых законопроектом изменениях совсем исчезли существующие на текущий момент нормы по получению согласий субъекта на трансграничную передачу ПДн (это была очень важная норма, подтверждающая информированность субъекта и предметность получаемого согласия), но появились требования об уведомлении уполномоченного органа (РКН) о начале данной процедуры. Уполномоченный орган будет рассматривать заявление 30 дней с момента его поступления и по результатам может отказать в трансграничной передаче. При этом оператор все эти 30 дней может трансгранично передавать данные, но, если получит отказ от РКН, должен будет доказать регулятору, что переданные сведения получателем удалены. При этом не разъяснен механизм, что же будет являться достаточным доказательством удаления данных. А еще с 30 до 10 дней сокращены сроки реакции оператора на запросы регулирующего органа и субъектов персональных данных на получение информации об операторе ПДн и обрабатываемых ПДн. Также введен термин «лицо, осуществляющее обработку Персональных данных», заметно улучшающий чтение и реализацию требований закона.
Как обычно происходят утечки
Можно выделить три основные причины утечек данных: недобросовестные пользователи, имеющие санкционированный доступ к персональным данным, социальная инженерия и взлом информационной системы или сервиса. В первом случае пользователь копирует данные из базы (любым возможным для него способом: на внешний носитель, пересылает файл по почте или просто фотографирует на телефон), делается такое в разных целях, в том числе продажи конкретному заказчику или на теневом форуме. Во втором случае добросовестный пользователь после определенных обманных манипуляций (уговоры, фишинг, угрозы) сам предоставляет злоумышленнику данные, в том числе и идентификационные/аутентификационные с помощью которых злоумышленник может получить доступ уже к информационным ресурсам и данным в них. Встречаются инциденты, когда злоумышленник целенаправленно проникает в информационный периметр организации и получает доступ к базам данных. На текущий момент наибольшая угроза масштабных утечек исходит от иностранных сервисов, в том числе и развлекательных. Но если обратиться к публикациям, то очень часто в доступе оказывается базы с данными операторов связи.
Где можно «пробить» человека
Черный рынок, конечно, существует — это многочисленные ресурсы даркнета, в основном форумы, где можно приобрести базу данных, заказать взлом аккаунта или «мобильный пробив». Базы данных, с даркнета чаще всего оказываются неактуальными, но даже неактуальные базы могут использоваться недобросовестными организациями для «холодных» звонков и спама. А если данные получены путем целевой атаки в том числе и социальной инженерии, то они могут быть использованы злоумышленниками практически сразу для получения доступа и инфраструктуру компании и уже дальнейшего нарушения бизнес-процессов, работоспособности систем.
Что делать, если данные оказались в свободном доступе
Существует несколько способов обнаружить свои данные в свободном доступе — агрегаторы утечек, собственные сервисы пользовательских экосистем вроде aboutme.google.com, поисковые системы и прочее. Но нет сервиса, который может предоставить человеку информацию обо всех ресурсах, где могут оказаться его данные. Поэтому лучшим способом обезопасить себя от взлома является соблюдение правил цифровой гигиены: в том числе регулярная смена паролей (в электронной почте, банковских приложениях, в соцсетях и других важных ресурсах) и удаление своих персональных данных с тех ресурсов, которые пользователю уже не нужны, не пользоваться возможностями сервисов, запоминающих данные. Если же пользователь просто обнаружил публикацию на каком-то сервисе сведений о себе (например, фото своего паспорта), необходимо обратиться в службу поддержки этого сервиса, параллельно можно с жалобой в электронную приемную Роскомнадзора.
Согласие можно отозвать
Порядок обработки персональных данных регулирует
Как правило, это делается путем подачи заявления в организацию в свободной форме, пользователь в требовании должен указать основания для такого требования. Разумеется, это стоит делать в отношении организаций, которые пользователю не нужны. Это оградит его от телефонного спама, а также уменьшит риск попадания данных в списки утечек. Но стоит помнить, что если у организации, в которую обратился пользователь есть законное основание для продолжения обработки этих данных, то пользователю может быть отказано в удалении данных.
***
Сейчас очень много случаев задержания и осуждения лиц, связанных с незаконной торговлей персональными данными или «мобильным пробивом». Чаще всего это недобросовестные сотрудники операторов связи и сотрудники правоохранительных органов из разных регионов страны. К сожалению, данных о задержании заказчиков таких услуг гораздо меньше.
Источник: Анастасия Федорова, эксперт по информационной безопасности ИТ-компании КРОК