Любой человек, который проводит время в интернете, пользуется услугами банков или онлайн-магазинов, тем или иным образом дает доступ к своим персональным данным. В большинстве случаев, указывая свою фамилию, имя, отчество, день рождения или иную информацию, пользователь не идет на какой-то глобальный риск. Однако активность мошенников и частые сообщения о масштабных утечках персональных данных (ПДн) говорят о том, что абсолютную безопасность информации в сети обеспечить невозможно.
Безопасность персональных данных – это когда никто не имеет возможность нарушить их конфиденциальность, доступность и целостность данных.
Как защитить свои персональные данные, чем может быть опасна их кража и что делать, если информацию все же похитили – рассуждаем в нашем новом материале.
Как собирают и используют персональные данные в интернете
Личная безопасность в интернете во многом зависит от того, обеспечена ли конфиденциальность ПДн. Однако в большинстве случаев данные собирают и используют легальными способами, без преступных намерений.
Сбором персональных данных занимаются многие — онлайн-магазины, интернет-журналы, банковские приложения, порталы для знакомств, социальные сети и многие другие.
Проще всего получить информацию о пользователе в процессе регистрации. Создавая профиль или личный кабинет, человек указывает свое имя, дату рождения, контактный номер телефона, электронную почту. Разные сервисы запрашивают разный объем информации, но в любом случае ее предоставление — это риск.
На сайтах данные могут собирать с помощью cookie. Эти «печеньки» помогают интернет-ресурсу анализировать действия пользователя, и при следующем посещении сайт «подстраивается» под него.
Предоставление личных данных в теории выгодна и пользователю, и сайту. Пользователю становится намного комфортнее пользоваться интернет-ресурсом, а сайт получает возможность увеличить свой доход благодаря тому, что лучше понимает его потребности. Защита данных при этом зависит от обеих сторон.
Однако личные данные могут использоваться и в мошеннических целях. Злоумышленники понимают, что смогут извлечь выгоду, воспользовавшись ПДн, и никогда не пренебрегают возможностью их украсть. Задача «Как обезопасить свои данные» выходит на первый план.
Чем может быть опасна кража личных данных
В зависимости от того, какие именно данные оказались в руках злоумышленников, они могут использовать информацию по-разному, однако подобный инцидент в любом случае будет представлять опасность. Наиболее популярные способы использования ПДн мошенниками:
Фишинговые рассылки. На личную электронную почту приходят письма со ссылками на вирусы или вредносными кодами. При этом в качестве отправителя может значиться кто-то из знакомых или известная фирма. Защита информации в сети интернет сводится к тому, чтобы не дать мошенникам больше данных, чем у них уже есть.
Оформление кредита или фирмы-«однодневки» на имя жертвы.
Совершение мошеннических действий от имени жертвы. Это могут быть незаконные операции с недвижимостью, открытие электронных счетов для купли-продажи запрещенных товаров или иные преступные манипуляции. Здесь в опасности не только персональные данные, как защитить себя от статуса соучастника или мошенника — тоже становится важным.
Вывод денег с банковских счетов жертвы, подбор / перехват паролей от банковских приложений. Здесь уже поздно размышлять, как обезопасить свои данные — нужно постараться уменьшить ущерб и не допустить повторных инцидентов.
Если человеку начали поступать нежелательные навязчивые звонки или электронные письма с предложением ненужных услуг / товаров, это также может означать, что персональные данные попали к третьим лицам без его ведома. Такая ситуация не представляет прямой угрозы кошельку, но может сильно раздражать. К тому же подобные случаи говорят о том, что защита данных уже дала сбой. Пора задуматься о том, как обеспечить безопасность своей информации.
Способы защиты данных
Защита информации в сети интернет не бывает надежной на 100%. Однако зная, что такое персональные данные и как защитить их, можно затруднить задачу мошенникам. Безопасность персональных данных — это непрерывный процесс. Методы злоумышленников совершенствуются, а вместе с ними должны улучшаться и способы противодействия им.
Существуют простые, но эффективные методы защиты данных:
Периодически менять пароли и подбирать сильные комбинации. Не стоит включать в пароль свой день рождения, Ф.И.О. или идущие подряд символы. Сильный пароль должен содержать цифры и заглавные буквы, стоящие на случайных позициях, может также добавить буквы на разных языках.
Завести отдельную банковскую карту для онлайн-покупок, хранить на ней небольшую сумму денег или установить лимит расходов.
Как защитить свои персональные данные, относящиеся к банковской информации — не выкладывать в социальных сетях фото или сканы своих документов, банковских карт, не направлять их незнакомым или подозрительным адресатам.
Регулярно проверять свой домашний ПК, ноутбук и другие гаджеты на вирусы — еще один способ защитить свои персональные данные.
Включить двухфакторную аутентификацию в соцсетях и на Госуслугах.
Не переходить по случайным гиперссылкам (в том числе полученным по электронной почте) — они нередко ведут на поддельные или «зеркальные» сайты. Ввести на таком интернет-ресурсе данные своей банковской карточке — то же самое, что добровольно передать их мошенникам.
Читать политику конфиденциальности прежде, чем ставить «галочку» и полностью с ней соглашаться. Немало сайтов делает ставку на то, что пользователю будет скучно и неинтересно вчитываться в текст политики, и он согласится с ней, не глядя. Однако с точки зрения закона это означает, что пользователь дал согласие на сбор, обработку, а может быть и передачу своих персональных данных. Ссылаться на то, что человек согласился, не читая, впоследствии не получится.
Как обеспечить безопасность своей информации, если сайт предлагает cookie — не принимать их автоматически. Отличить безопасные cookie от «опасных» с первого взгляда невозможно. Стоит пожертвовать парой минут своего времени и отметить данные, которые пользователь разрешает сохранить, в меню настроек (оно появляется в автоматическом режиме).
Не пользоваться «общественным» Wi-Fi. Во-первых, «общественный» Wi-Fi по умолчанию слабо защищен от киберпреступников. Во-вторых, мошенники вполне способы «замаскировать» свою собственную сеть под обычную общественную и похитить личные данные человека, который ею воспользовался.
Правила кибергигиены на первый взгляд не слишком сложные, однако соблюдать их важно не от случая к случаю, а постоянно. Как защитить персональные данные, знают многие, но используют методы защиты личной информации далеко не все. Не стоит надеяться, что мошенникам не интересны лично вы или они не станут тратить время ради небольшой суммы на счету. Кражу персональных данных намного проще, легче и дешевле предотвратить, чем бороться с ее последствиями.
Что делать, если личные данные украли?
От кражи персональных данных не застрахован никто. Даже если пользователь строго соблюдает все правила кибербезопасности, его личная информация может попасть к злоумышленникам, если те взломают или похитят базу данных компании, услугами которой он пользуется (например, банк, служба доставки или онлайн-магазин).
Что рекомендуется делать, узнав о краже своих ПДн, и как защитить свои персональные данные от дальнейшего распространения и использования мошенниками:
Сменить пароли. При этом не стоит ограничиваться только теми профилями, которые попали в руки мошенников. Мало кто придумывает уникальный пароль для каждого своего личного кабинета и профиля. Так что стоит обновить хотя бы те пароли, которые совпадают со «слитым».
Заблокировать скомпрометированные банковские карточки и перевыпустить их. Банки обычно следят за утечками и предпринимают необходимые меры, но если речь идет о «точечном» эпизоде, а не о масштабном «сливе», то лучше позаботиться о сохранности своих денег, не дожидаясь действий банка.
Приготовиться к повышенному вниманию со стороны мошенников. Получив доступ к контактным данным, они будут активно «атаковать» жертву. В этой ситуации следует относиться к любым звонкам и письмам с долей скептицизма и настороженности, не вступать в пространные беседы и ни в коем случае не делиться своими личными данными.
Если речь идет об утечке данных множества пользователей, то для начала важно проверить достоверность информации о сливе данных. Иногда киберпреступники сами пользуются объявлениями об утечке, рассылая фишинговые письма с паническими сообщениями о краже данных. Компании, как правило, размещают сведения об утечке на своих сайтах или в рассылках, а об особо крупных инцидентах пишут в СМИ.
Не пользоваться сторонними сервисами проверки «на утечку». Существует всего не так много надежных сервисов, где можно уточнить, попадали ли ваши ПДн в состав «утекших» баз данных. Например, международный «Have I Been Pwned?» и отечественный аналог от НКЦКИ https://chk.safe-surf.ru/. Всегда есть риск воспользоваться сайтом «проверки», созданным мошенниками, тогда в их руках окажется еще больше нужной им информации.
Если утечка данных произошла по вине оператора, всегда можно подать жалобу в Роскомнадзор, подать заявление в МВД России (Управление К — в их ведении находятся преступления в сфере кибербезопасности) или в прокуратуру.
Обеспечить абсолютную безопасность своей личной информации не может никто, но сделать все возможное все же стоит. Если у вас остались вопросы о том, как защитить свои персональные данные, — приглашаем записаться на консультацию.
Как защитить персональные данные сотрудников и клиентов от кражи в интернете?
Защита персональных данных в организации требует одновременно технических и организационных мер. На уровне пользователей необходимо внедрить политику сильных паролей и их регулярной смены, обязательную двухфакторную аутентификацию для корпоративных систем и сервисов, запрет использования публичного Wi-Fi для работы с корпоративными данными и антивирусную защиту на всех устройствах. На организационном уровне — ограничить круг лиц, имеющих доступ к базам ПДн, проводить регулярное обучение сотрудников правилам кибергигиены и работе с персональными данными. Комплексный подход существенно снижает риск утечки как по вине внешних злоумышленников, так и вследствие ошибок персонала.
Чем опасна утечка персональных данных клиентов для компании?
Утечка персональных данных клиентов создаёт для компании сразу несколько видов рисков. Злоумышленники могут использовать похищенные ПДн для фишинговых рассылок от имени компании, оформления кредитов или мошеннических операций на имя пострадавших, что влечёт судебные претензии в адрес оператора данных. С 2024 года в России действует 420-ФЗ об оборотных штрафах: за утечку ПДн компании грозят санкции до 500 миллионов рублей, а в ряде случаев — уголовная ответственность. Помимо финансовых потерь, репутационный ущерб от публично известной утечки снижает доверие клиентов и партнёров и крайне сложно поддаётся восстановлению. Именно поэтому предотвратить утечку всегда дешевле, чем устранять её последствия.
Что делать компании, если произошла утечка персональных данных?
При обнаружении утечки персональных данных оператор обязан действовать по следующему алгоритму: немедленно заблокировать скомпрометированные учётные записи и банковские инструменты, провести смену паролей во всех связанных системах, уведомить Роскомнадзор об инциденте в установленные законом сроки (для значимых утечек — в течение 24 часов), при необходимости подать заявление в МВД России в Управление К (подразделение по борьбе с киберпреступлениями). Параллельно необходимо проверить достоверность информации об утечке через надёжные источники — официальный сервис НКЦКИ chk.safe-surf.ru или международный Have I Been Pwned. Пострадавших клиентов следует оперативно уведомить и предупредить о повышенной активности мошенников с использованием их данных.
Что такое фишинг и как защитить сотрудников от фишинговых атак?
Фишинг — это вид мошенничества, при котором злоумышленники рассылают письма или сообщения с вредоносными ссылками, маскируясь под знакомых, коллег или известные компании, с целью похитить персональные данные, пароли или платёжную информацию. Для защиты сотрудников организации необходим комплекс мер: технический фильтр входящей почты с анализом ссылок и вложений, запрет перехода по случайным гиперссылкам из писем, регулярные тренинги по распознаванию фишинга, а также проведение социотехнических пентестов (имитация фишинговых рассылок внутри компании) для оценки реальной осведомлённости персонала. После кражи ПДн мошенники многократно усиливают фишинговые атаки на пострадавших, поэтому предотвращение первичной утечки критически важно.
Как проверить, не попали ли данные сотрудников или клиентов в утечку?
Проверить, не оказались ли корпоративные или клиентские email-адреса в известных базах утечек, можно с помощью двух надёжных сервисов: отечественного портала НКЦКИ (Национального координационного центра по компьютерным инцидентам) по адресу chk.safe-surf.ru и международного сервиса Have I Been Pwned. Использовать для этой цели сторонние малоизвестные «сервисы проверки» крайне опасно — многие из них созданы злоумышленниками с целью собрать ещё больше актуальных адресов и данных. Для системного мониторинга утечек корпоративных данных организациям рекомендуется использовать профессиональные инструменты класса Threat Intelligence и DLP, а также настроить процесс регулярного мониторинга даркнета на предмет появления данных компании в скомпрометированных базах.
Колесник Дмитрий Николаевич
Директор по информационной безопасности
Стопроцентной защиты персональных данных в интернете не существует, но сильные пароли, двухфакторная аутентификация и обычная цифровая гигиена делают кражу настолько трудоёмкой, что большинство мошенников просто идут дальше.