Сегодня сложно найти сферу, которую не затронули бы цифровые технологии. В «цифру» ушли образование, здравоохранение, банковские услуги, бизнес, промышленность и даже сельское хозяйство. Миллионы россиян ежедневно заходят в Сеть, чтобы учиться, работать, общаться, заказывать товары и услуги, и каждому из них приходится указывать информацию о себе. Сколько из них могут с уверенностью сказать, что знают все о кибербезопасности и их данные не появятся в открытом доступе? CEO финтех-компании RBK.money и фаундер IT-компании Osnova Денис Бурлаков рассказал, как разумно обращаться с персональными данными, чтобы они не утекли в Сеть.

Регламент по обработке и защите личной информации в России достаточно хорошо проработан. У нас действует закон 152-ФЗ «О персональных данных», согласно которому компании должны получить лицензию на обработку данных, чтобы иметь возможность с ними работать. Плюс различные законы, которые охраняют информацию в разных сферах: врачебная тайна охраняется законом «Об основах охраны здоровья граждан Российской Федерации», банковская тайна описана в Гражданском кодексе и ФЗ «О банках и банковской деятельности» и т. д. Процесс лицензирования отлажен, законодательная база устоялась, компании знают, как работать с данными и управлять ими.

Тем не менее случаи глобальной утечки информации случаются как в России, так и в мире, и их становится все больше. Вспомним хотя бы недавние инциденты с данными пользователей Facebook, которые оказались в Сети. Почему это происходит?

Персональные данные сегодня везде. Каждая компания хочет знать своего клиента: его предпочтения, цели, уровень дохода, состав семьи, поэтому стремится накопить и проанализировать как можно больше сведений о человеке. Информация о пользователях позволяет определять целевую аудиторию и предлагать свои услуги и продукты. Вспомним экосистемы, они начали активно развиваться пару лет назад, в первую очередь это коснулось сфер финтеха, фудтеха, банковских услуг. Локдаун стал катализатором, который ускорил процесс их развития. Наборы сервисов растут, и уже сейчас в рамках экосистемы пользователь может решить практически все свои повседневные задачи — от заказа еды и покупки товаров до ипотеки и открытия собственного бизнеса. В связи с новыми ограничениями, полагаю, они вырастут еще больше. Такие мегакомпании оперируют колоссальным количеством персональных сведений о миллионах людей. И здесь вопрос кибербезопасности и защиты данных становится критически важным как для экосистемы в целом, так и для каждой отдельной компании холдинга.

Механизм сбора и хранения информации понятен, а вот как данные попадают к третьим лицам или утекают в Сеть? Здесь существует несколько путей.

Один из них — когда человек сам дает согласие на передачу своих данных. Стоит отметить, что зачастую люди обращаются с персональной информацией достаточно вольно — подписывают согласие на обработку не глядя, относятся к этому как к формальности и иногда пропускают важные пункты, например о том, что разрешают передавать свои данные третьим лицам.

Второй путь — нелегальный бизнес по продаже информации. К слову, очень распространенный. Персональные сведения собирает практически любая компания, и чем больше вопросов к ее кибербезопасности, тем выше вероятность, что клиенты обнаружат свои данные в Сети. Попадают они в продажу чаще всего через три канала: сотрудники компании, направленные атаки, непродуманная защита.

В первом случае человек внутри компании копирует информацию и отдает на черный рынок. Кто-то делает это из-за личных конфликтов, но большинство таких инсайдеров стремятся заработать на продаже информации.

Если речь идет о хакерских атаках, то здесь злоумышленники целенаправленно ищут уязвимости в сервисах и достают данные. Мишенями обычно становятся крупные компании, они хранят большие массивы данных, которые могут представлять для хакеров коммерческий интерес. Подвергаются подобным атакам чаще всего банки, мобильные операторы, различные агрегаторы, маркетплейсы.

Некорректное построение баз данных, непродуманная защита и архитектура сервисов также могут привести к утечке информации. Уязвимостей может быть множество — от ошибки в коде до несвоевременного обновления. В результате остаются лазейки, по которым из Сети можно добраться до конфиденциальных сведений. Такая история некоторое время назад произошла в крупной государственной транспортной компании, когда технические специалисты неправильно сделали бэкап базы данных и она оказалась доступна из Интернета через официальный сайт. Для того чтобы свести подобные угрозы к минимуму, компании должны регулярно проводить аудит баз данных, систем защиты, постоянно работать над совершенствованием системы информационной и кибербезопасности.

Несмотря на то что существует множество способов нелегальной и законной передачи данных, защитить их можно. Во-первых, всегда следует читать текст согласия на обработку и хранение персональных сведений. Существуют базы данных, которые формируются в обязательном порядке, например в государственных органах. Информация в них будет храниться и передаваться другим госорганам по действующим законам и регламентам, повлиять на их защиту человек никак не может — это стоит принять как факт. Сохранность его персональных данных будет полностью зависеть от того, насколько хорошо они защищены на стороне того ведомства, которое их хранит. Но внимательно читать, кому именно, каким ведомствам и компаниям вы разрешаете передавать информацию о себе, в любом случае нужно.

Кроме того, не стоит давать согласие на передачу персональных данных третьим лицам, если это возможно. Правда, в некоторых случаях без этого не обойтись. Например, при получении ипотеки банк, застройщик, страховая компания и бюро кредитных историй в силу необходимости обмениваются данными о человеке, который берет кредит. В таких ситуациях лучше указывать конкретные организации, куда компания может передать информацию, а не просто давать право на передачу любым третьим лицам.

Если человек по каким-то причинам перестал пользоваться сервисом, то просто удалить приложение и страницу из закладок недостаточно. Стоит удалить аккаунт и отозвать свое согласие на хранение и обработку персональных данных. Чаще всего пользователи этого не делают, а между тем согласие, если оно не отозвано, продолжает действовать, и компания по-прежнему владеет информацией о пользователе.

Очевидно, что в современном мире отказаться от цифровых технологий уже невозможно, да и зачем? «Цифра» быстрее и эффективнее решает любые повседневные задачи, оптимизирует и автоматизирует процессы, делает то, что раньше казалось невозможным. И в этой «гонке вооружений» осознанный и внимательный подход к передаче и хранению персональных данных, проведение проверок и усовершенствование систем безопасности будут той самой цифровой гигиеной, которая обеспечит 100-процентную защиту.

Мнение автора может не совпадать с мнением редакции