15 ноября вступает в силу Закон «О защите персональных данных». В конце октября Президент подписал указ, в соответствии с которым в стране создается Национальный центр защиты персональных данных. Документ издан в развитие норм Закона № 99-3 от 7 мая 2021 года «О защите персональных данных» и актуален как никогда.
Краеугольный камень безопасности
В соответствии с указом Национальный центр наделяется статусом уполномоченного органа по защите прав субъектов персональных данных. Установлены дополнительные меры, связанные с обеспечением их защиты. Это, например, необходимость прохождения специального обучения лицами, в обязанности которых входит защита персональных данных; обязанность ведения учета персональных данных, подлежащих обработке государственными органами и иными организациями.
Исполнение указа позволит повысить уровень защиты персональных данных в государстве и обеспечить более полную реализацию конституционного права граждан на защиту от незаконного вмешательства в личную жизнь, убежден начальник Оперативно-аналитического центра при Президенте Андрей Павлюченко.
Этот орган будет самостоятельным и независимым, чтобы свободно взаимодействовать с государственными и частными структурами. Он будет контролировать правильность оборота персональных данных, которые циркулируют в огромных количествах, и следить за законностью, четким соблюдением норм и правил.
Актуальность и своевременность создания нового органа не вызывают сомнений. Прошедшим летом оперативники – ГУБОПиК вычислили 44-летнего жителя Минска, который передавал идентификационные сведения о госслужащих в экстремистский телеграм-канал. На момент задержания мужчина работал ведущим специалистом по экономической безопасности одного из коммерческих банков, а до этого – в правоохранительных органах. Перед увольнением минчанин скопировал справочную информацию о представителях органов прокуратуры, подразделений –ГКСЭ, ДФР, СК и гражданских организаций. С лета прошлого года зафиксировано немало случаев сливов персональных данных членов избирательных комиссий, журналистов, артистов, служащих различных организаций. Пусть и заметно реже, но появляются такие данные в экстремистских чатах и сегодня. И потому явлению этому, как и любому иному преступлению, пора выставить действенный заслон.
Подтекающие гиганты
Столь пристальное внимание белорусского государства к этой сфере объясняется печальным мировым опытом последних десятилетий. Случай с крупнейшим американским агрегатором кредитной отчетности Equifax, случившийся в 2017-м, считают одним из самых серьезных в истории США. Хакерам удалось получить как минимум 147 миллионов имен и дат рождения, 145 миллионов номеров социального страхования и 209 тысяч номеров карт с указанием срока их действия. Утечка дорого обошлась компании: подвергшаяся атаке Equifax согласилась выплатить почти 700 миллионов долларов в рамках международного соглашения. Компания также пообещала шесть бесплатных кредитных отчетов каждому американцу, которого затронул взлом, в течение семи лет. Таким образом, доходы организации заметно сократились, не говоря уже про имиджевые потери.
В 2018-м сервис такси Uber был оштрафован на 148 миллионов долларов после того, как в результате кибератаки в руки злоумышленников попали данные приблизительно 57 миллионов клиентов и водителей сервиса. Тогда Uber скрыл информацию о преступлении, и это было хуже, чем сама кибератака.
Фактически эта утечка данных случилась в 2016-м, Uber заплатил хакерам 100 тысяч долларов за удаление данных, которые они незаконно заполучили. Об инциденте рассказали только год спустя. Компании пришлось признать, что ее бизнес должен быть более прозрачным.
Счет на миллиарды
Но, пожалуй, крупнейшая в мировой практике утечка данных случилась у американской компании Yahoo, владевшей второй по популярности в мире поисковой системой: из ее анналов в 2013–2014 годах утекло 3 миллиарда учетных записей пользователей. И выяснилось это не сразу. Сперва в сентябре 2016-го Yahoo объявила, что в 2014-м стала жертвой крупнейшей утечки данных в истории. Злоумышленники, которых компания назвала «спонсируемыми государством участниками», взломали настоящие имена, адреса электронной почты, даты рождения и номера телефонов 500 миллионов пользователей. Затем, в декабре 2016-го, Yahoo раскрыла еще одно нарушение, совершенное тремя годами ранее другим злоумышленником, которое скомпрометировало имена, даты рождения, адреса электронной почты и пароли, а также вопросы безопасности и ответы миллиарда учетных записей пользователей.
В октябре 2017-го компания пересмотрела эту оценку, включив в нее все 3 миллиарда учетных записей своих пользователей. Впрочем, нельзя исключать и коммерческого интереса в жонглировании столь грандиозными цифрами. Дело в том, что Yahoo в те годы как раз находилась в процессе поглощения компанией Verizon, которая в конечном итоге заплатила 4,48 миллиарда долларов за основной интернет-бизнес Yahoo. Как отмечают аналитики, озвученные перед сделкой нарушения снизили стоимость компании более чем на треть миллиарда – на 350 миллионов долларов…
«Му-Му» и другие
В России в прошлом году случился целый ряд крупных утечек данных. Как сообщил РИА Новости основатель сервиса разведки утечек данных DLBI Ашот Оганесян, в декабре 2020-го случилась утечка персональных данных более 100 тысяч москвичей, переболевших COVID-19: достоянием взломщиков стали их Ф.И.О., даты рождения, адреса проживания, телефоны, номера паспортов и другие данные. Месяцем ранее произошла утечка данных более чем 1,3 миллиона клиентов сервиса «РЖД Бонус», содержащая по каждому клиенту адрес e-mail и ID-пользователя, зашифрованный пароль, дату регистрации и последнего входа в систему, а также служебные данные.
Летом прошлого года взломанными оказались клиентские базы портала SuperJob.ru и онлайн-школы английского языка Skyeng – каждая объемом под 5 миллионов человек. А в апреле 2020-го случились утечки 12 миллионов записей россиян, оформлявших микрозаймы в различных микрофинансовых организациях страны в 2017–2019 годах.
Но самой крупной в прошлом году стала обнаруженная в марте утечка почти 600 миллионов строк данных клиентов сервиса «Премиум бонус», обеспечивающего программы лояльности популярным кафе и ресторанам России: «Му-Му», «Жан Жак», «Империя пиццы» и другим.
Шантаж по знакомству
В чем практический интерес злоумышленников от взлома баз данных – на этот вопрос дают ответы несколько конкретных примеров. В 2018 году достоянием кибермошенников стала личная информация 383 миллионов клиентов одной из крупнейших гостиничных сетей мира Marriott International: имена, адреса, номера телефонов, адреса электронной почты, номера паспортов, даты рождения, пол, информация о прибытии и отбытии.
Все эти данные незаменимы для целого ряда противоправных атак: фишинга, социальной инженерии, мошенничества с кредитными картами и с идентификационными данными.
Двумя годами ранее преступники взломали платформу знакомств и развлечений для взрослых FriendFinder Network. В результате более 412 миллионов учетных записей пользователей пополнили базы кибермошенников. Причем масштабная утечка включала не только 339 миллионов аккаунтов с сайта AdultFriendFinder.com, но и несколько миллионов давно удаленных пользователями аккаунтов (которые не были удалены из баз данных сайта). Понятно, что данные с сайта для взрослых угрожают репутации и могут использоваться для шантажа пользователей.
А в 2013-м одна из крупнейших розничных сетей США Target пострадала от взлома, который затронул более 41 миллиона счетов клиентов с платежными картами, а также контактную информацию более 60 миллионов покупателей торговой сети. ПИН-коды самой системы Target были зашифрованы, что затрудняло их взлом. Однако злоумышленники получили возможность выдавать себя за настоящих владельцев банковских карт.
Максим Осипов, «СБ. Беларусь сегодня», 4 ноября 2021 г.