28 января отмечается Международный день защиты персональных данных, в ряде стран он называется Днем конфиденциальности. В России отмечается с 2006 года, когда был принят федеральный закон "О персональных данных".
По данным Роскомнадзора, в 2024 году произошло 110 случаев распространения в интернете информации о россиянах, содержащих 600 млн записей.
В ноябре 2024 года президент РФ Владимир Путин подписал закон об ужесточении наказаний и повышении штрафов за нарушение требований безопасности, незаконный сбор и передачу личных данных. Но последний громкий случай произошел 21 января уже 2025 года, когда один из подрядчиков "Ростелекома" подвергся хакерской атаке.
Как следует из федерального закона №152-ФЗ, персональными данными (ПДн) считается любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Другими словами, это личные сведения о человеке. Выделяют четыре категории персональных данных.
Общие — содержат ключевые сведения: фамилия, имя, отчество, дата рождения, адрес, паспортные данные, образование, место работы, размер дохода, СНИЛС, ИНН, реквизиты банковской карты, адрес электронной почты, — используются вместе. По отдельности, например только фамилия или имя, к персональным данным не относятся.
Биометрические — отпечатки пальцев, ДНК человека, радужная оболочка глаз, группа крови, рост, вес, фотографии и другие физиологические особенности. Подобные ПДн используются в современных системах идентификации, на таможнях, при выдаче загранпаспортов и виз.
Специальные — расовая и национальная принадлежности, хронические заболевания, религиозные и политические взгляды, информация о судимостях. Для работы с данным видом ПДн требуется письменное согласие владельца.
Иные — к ним относятся данные, не вошедшие в другие категории, например принадлежность к определенному сообществу или социальной группе.
Глобально можно выделить два вида утечек — крупные и целевые. Крупные утечки являются следствием взлома IT-инфраструктуры компании, при этом персональные данные чаще всего не являются основной целью хакеров. Целевые утечки осуществляются через инсайдеров (сотрудников, подрядчиков), которые имеют доступ к персональным данным, и в этом случае они являются основной целью. То есть за крупными взломами зачастую стоят группировки, а целевыми утечками занимаются отдельные лица.
При этом бизнес и государство непрерывно адаптируются под текущие реалии — меняется законодательство, разработчики средств защиты улучшают свои решения, а бизнес увеличивает степень зрелости процессов ИБ (информационной безопасности), что приводит к удорожанию атак и меньшему влиянию на работу сервисов.
Количество кибератак значительно увеличилось в последние годы. Аналитики отмечают рост примерно в 2,5 раза за 2024 год. Кроме того, атаки стали более разнообразными. Часто они перемещаются из Сети в мессенджеры. Если раньше хакеры выводили из строя инфраструктуру и предъявляли требования (причем не всегда), то теперь наблюдается тенденция к проникновению в IT-периметр компании с последующим длительным наблюдением за инфраструктурой.
Как правило, базы с персональными данными продают через даркнет (нелегальный интернет, работающий по своим алгоритмам и протоколам для достижения максимальной анонимности). В большинстве случаев их покупают мошенники и затем при помощи разных схем выманивают деньги у доверчивых граждан. Если утекли платежные данные, могут пропасть деньги с банковского счета.
Все чаще личную информацию используют для фишинга — интернет-мошенничества, нацеленного под разными предлогами через электронную почту или сообщения в мессенджерах получить пароли и, соответственно, доступ к id телефона, банковскому счету, страничке в социальных сетях или сайту, вариантов может быть много.
Доксинг — другой вид мошенничества, подразумевающий публикацию в интернете украденных персональных данных для дальнейшего шантажа или травли.
В РФ контроль за выполнением требований законодательства в сфере защиты персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзор (РКН). Все основные требования отражены в Федеральном законе 152-ФЗ и его подзаконных актах.
Компании и крупные интернет-сервисы предпринимают комплексные шаги для защиты персональных данных пользователей. Законодательство четко регламентирует как организационные, так и технические меры, которые необходимо соблюдать. Помимо этого, важно учитывать, что утечки данных существенно вредят репутации компании, поэтому крупные организации уделяют серьезное внимание защите персональной информации.
Компании должны правильно организовать обработку персональных данных как с точки зрения процессов, так и с точки зрения технической защиты IT-инфраструктуры. Для минимизации рисков необходимо осуществлять сбор только достаточного для выполнения задачи количества персональных данных, а также защищать информационные системы, в которых они обрабатываются.
Если у компании нет службы информационной безопасности, которая осуществляет мониторинг, то компании могут следить за крупными информационными ресурсами, которые публикуют информацию об утечках. Также есть профессиональные сервисы, позволяющие в автоматизированном режиме осуществлять мониторинг интернета на наличие утечек, связанных с компанией.
30 мая 2025 года вступит в силу закон, налагающий различные меры наказаний за утечку персональных данных (тот самый, подписанный президентом в ноябре). Он предусматривает следующие виды ответственности:
Административная. Заключается в системе штрафов в зависимости от масштаба нанесенного ущерба. За незаконную передачу личной информации и данных о здоровье взимается до 15 млн рублей, биометрии — до 20 млн рублей. Для юридических лиц введены оборотные штрафы в размере 1–3% от выручки, но не менее 20 млн рублей и не более 500 млн рублей. Компании обязаны оповещать Роскомнадзор об обработке данных, в противном случае придется заплатить до 300 тыс. рублей. В случаях утечки личной информации компаниям также следует сообщать в ведомство, за неисполнение — штраф до 3 млн рублей. Также назначается штраф за обработку персональных данных, не предусмотренную законодательством РФ или несовместимую с оговоренными целями, — до 300 тыс. рублей. За повторное нарушение — до 500 тыс. рублей.
Уголовная. За незаконное использование и передачу личной информации грозит четыре года лишения свободы или исправительные работы на аналогичный срок. Если похищены данные несовершеннолетних, особых категорий или биометрия, то срок увеличивается до пяти лет, штраф — до 700 тыс. рублей (или лишение дохода на срок до двух лет) с возможным запретом занимать определенные должности.
Физическим лицам для проверки своей электронной почты на предмет утечек можно воспользоваться специализированными сервисами, например https://haveibeenpwned.com. В случае обнаружения — сменить пароль, подключить многофакторную аутентификацию (чтобы при авторизации в сервис запрашивался не только пароль, но и дополнительное подтверждение, например код из СМС). Если говорить про более полную проверку, то можно подписаться на канал с новостями об утечках и следить за сервисами и компаниями, откуда "утекли" данные. Если среди них есть те, которыми вы пользуетесь, то с большой вероятностью ваши данные есть в этой утечке. Но не стоит проверять "сливы" через сервисы, которые агрегируют данные, — чаще всего таким образом и осуществляется сбор ваших ПДн. Если обнаружили свои данные среди утечек — не спешите менять телефоны и паспорт. Это вас практически никак не обезопасит. Вместо этого смените пароли, подключите многофакторную аутентификацию, если возможно — запретите значимые действия без вашего личного присутствия (например, запрет на осуществление сделок с недвижимостью).
Обычным пользователям интернета важно быть внимательными, чтобы не стать жертвами мошенников. Следите за своими устройствами: блокируйте их, когда не используете, и не оставляйте без присмотра. Избегайте подключения к открытым Wi-Fi-сетям. Внимательно проверяйте названия сайтов и адреса отправителей писем — даже небольшое несоответствие в одну букву может привести не на официальный сайт, а на сайт-двойник и в мошенническую схему. Используйте двухфакторную аутентификацию на всех важных сервисах, таких как "Госуслуги", ФНС и банки. И конечно, включайте критическое мышление.
Изучить и следовать базовым правилам цифровой гигиены, не переходить по незнакомым и подозрительным ссылкам, использовать виртуальные номера телефонов и банковских карт, временные адреса электронной почты для регистрации на сайтах, по возможности не брать трубки с незнакомых номеров.
Для составления паролей используйте сложные комбинации, включающие строчные и заглавные латинские буквы, цифры, специальные символы. Не стоит указывать ФИО и дату рождения, так как это легко вычислить.
В социальных сетях следует включить двухфакторную аутентификацию, при введении логина и пароля будет запрошен код из СМС.
Для личной переписки и регистрации в интернет-магазинах используйте разные почтовые ящики.
Устанавливайте на компьютер последнюю модель антивируса, чтобы отражать атаки вредоносных программ.
Сделайте социальные сети закрытыми для посторонних, в открытых источниках постарайтесь оставлять минимум информации о себе.
Безусловно, эти советы выглядят вполне очевидными и многие про них уже слышали, но, как показывает практика, далеко не все из нас пользуются даже такими в целом несложными способами защиты.
День работника органов безопасности Российской Федерации
20 декабря отмечается День работника органов безопасности Российской Федерации
30 ноября - Международный день защиты информации
Международный день защиты информации ежегодно празднуется 30 ноября. Праздник в этом году отмечается в 36-й раз. Он был основан в 1988 году Американской Ассоциацией компьютерного оборудования (ISSA) после первой успешной массовой кибератаки.
Получен SSL-сертификат Национального центра сертификации Минцифры России
Официальный сайт компании КСБИТ — получил SSL–сертификат Национального центра сертификации Минцифры России