Ольга Китова: «Любые закрытые базы данных уязвимы»
О рисках при передаче персональных данных и о профилактике киберпреступлений
ВЦИОМ совместно с Ассоциацией больших данных представил на своём сайте результаты опроса об отношении россиян к сбору, использованию и безопасности персональных данных.
«Новые технологии и развитие сервисов в цифровых средах приводят к увеличению объема передачи личных данных граждан при получении услуг и совершении операций, – говорится в исследовании. – В связи с этим россияне регулярно сталкиваются с необходимостью делиться своими данными как при непосредственном обращении в государственные и коммерческие организации, так и при использовании интернет-сервисов. Чаще всего за последний год россияне, указывали данные с целью получения банковских услуг (49%), давали разрешение на определение своей геолокации (46%), регистрировались на сайтах госучреждений (45%), а также оформляли доставку на дом и делились информацией в социальных сетях (по 38% соответственно).
Более трети россиян (37%) не знают, для чего и как могут использоваться их персональные данные. Более половины наших сограждан (62%) так или иначе осведомлены о целях использования их данных (72-76% среди молодежи, 46-62% среди представителей старшего поколения). Среди осведомленных только 15% опрошенных отмечают, что точно знают, как данные могут использоваться, а 47% что-то слышали, но без подробностей.
Представители молодежи (18-34-летние) хорошо дифференцируют цели сбора данных государственными организациями. Среди респондентов в возрасте от 18 до 34 лет 53-56% считают, что чаще всего государственные организации используют полученные данные граждан, чтобы подтвердить личность.
Россияне в возрасте от 25 до 44 лет лучше информированы о целях сбора данных коммерческими компаниями. По мнению представителей этой возрастной группы, чаще всего ими являются формирование предложения товаров и услуг, а также оценка качества полученных сервисов (50-55%).
Более молодая аудитория лучше осознает, что коммерческие компании используют агрегированные данные, чтобы оценить востребованность услуг (40-50% среди молодежи против 24-45% среди старшего поколения), или в научных целях (7-10% среди молодежи против 4% среди старшего поколения).
При оценке безопасности персональных данных в различных ситуациях по семибалльной шкале, где 7 означает полную безопасность данных, а 1 означает, что данные совершенно не находятся в безопасности, наибольшее доверие участники исследования выразили госучреждениям и банкам. В среднем безопасность данных при оформлении документов в государственных учреждениях россияне оценили на 5 баллов из 7 (6 среди 18-24-летних), при заключении договора в банке — также на 5 баллов из 7 (5,5 среди 18-24-летних).
Молодые россияне в равной степени готовы передавать данные как частным компаниям, так и государственным организациям: каждый второй опрошенный россиянин в возрасте от 18 до 24 лет считает, что оба типа учреждений обеспечивают безопасность хранения данных (51% поставили 7 баллов государственным учреждениям, 47% поставили 7 баллов банкам). Среди более возрастных аудиторий этот показатель значительно ниже. Только 30% респондентов в возрасте от 35 до 44 лет оценили на высший балл безопасность передачи данных при обращении в госучреждения, 26% — при обращении в банки.
Кроме того, молодая аудитория 18-24-летних в большей степени, чем представители более старших возрастных групп, склонна считать, что их данные находятся в безопасности. Каждый второй представитель возрастной группы 18-24 (47%) полагает, что его персональные данные защищены, тогда как в среднем по выборке такого мнения придерживаются 23% опрошенных (11% граждан в возрасте 60+).
Представители молодой аудитории чаще других групп отмечали в качестве основной причины утечек персональную небрежность к передаче своих данных (24% против 15% среди всех россиян) и недостаточно высокий уровень технологий (23% против 13% в среднем по выборке). В то время как половина опрошенных (50%) заявили, что основная причина утечек данных — это злоупотребление полученными данными стороной, которая имеет к ним доступ (40% среди 18-24-летних)».
Президент Ассоциации больших данных Анна Серебряникова прокомментировала результаты исследования:
«Молодые люди всю свою сознательную жизнь окружены гаджетами и цифровыми сервисами, которые практически всегда требуют передачи тех или иных данных. Собранные данные позволяют компаниям налаживать сложные процессы: управлять производствами, повышать эффективность бизнес-процессов, улучшать сервисы и создавать новые продукты, а также делать важные научные открытия. При этом значительная часть общества, особенно старшее поколение, недостаточно информирована о сферах применения данных и способах их защиты. Важно, чтобы люди понимали, для чего собираются их данные, и могли осознанно распоряжаться ими. Для этого необходимо вести системную работу, направленную на повышение грамотности россиян в вопросах обращения с данными».
Результаты опроса проанализировала в интервью «Русской народной линии» известный специалист в области информационных технологий, заведующая кафедрой информатики Российского экономического университета им. Г.В. Плеханова, доктор экономических наук, кандидат физико-математических наук Ольга Викторовна Китова:
Прежде всего надо сказать несколько слов о видах персональных данных – общих, специальных и биометрических. Общие персональные данные – это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы, номер телефона и т.д., эти данные обрабатываются с личного согласия граждан. Специальные персональные данные – это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья и т.д. Обработка таких персональных данных допускается только при наличии письменного согласия, в целях оказания медицинской помощи, страхования и в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности. Биометрические персональные данные – это данные о биологических особенностях человека, которые позволяют установить его личность, такие как ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.
Обработка персональных данных, т.е. их сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение, регулируется Законом о персональных данных. В большинстве случаев для обработки Ваших персональных данных требуется Ваше согласие, но есть и исключения, предусмотренные в ст. 6 Закона о персональных данных. Операторами персональных данных могут являться компании, органы и учреждения государственной и муниципальной власти, отдельные люди или ИП, которые осуществляют действия с персональными данными: к ним относятся работодатели, продавцы, госорганы и др. Владельцы веб-сайтов собирают персональные данные посетителей из заполняемых ими форм, а также файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым Вы пользуетесь, IP вашего компьютера, информация о Вашем браузере). Владелец сайта вправе обрабатывать ваши персональные данные только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.
К сожалению, персональные данные могут быть украдены преступниками и использованы Вам во вред. Я была директором по продуктам Лаборатории Касперского, поэтому мне прекрасно известно, что компьютерные преступления, в том числе и преступления по кражам и незаконному использованию персональных данных, растут экспоненциально. Разумеется, все мы были бы рады не давать свои персональные данные: там, где можно их не давать – я не даю. Но сейчас мир устроен таким образом, что на работу просто так не возьмут, обязательно надо подписать согласие на обработку персональных данных. Более того, теперь появилась электронная трудовая книжка, которая стала основным документом, а бумажная трудовая книжка стала лишь вспомогательным документом. Ныне вводится в практику электронные медицинские книжки, банковские карты содержат в себе персональные данные. Хотя они и лучше защищены, тем не менее, тоже возможно к ним получить доступ.
Любые закрытые сети или базы данных, хранилища данных, которые так или иначе подключены к сети интернет, являются уязвимыми. Неуязвимыми для кражи данных являются только полностью отключенные от интернета базы и хранилища данных, к которым имеют доступ только проверенные люди, но они, как правило, никому не нужны. Так или иначе, через интернет можно войти в хранилища, где содержатся персональные данные. Для преступников в основном представляют интерес, конечно, паспортные и финансовые данные наших граждан, потому что, имея данные паспорта и данные финансового характера, люди совершают различные преступления. В том числе известны случаи, когда мошенники могут сделать поддельный паспорт, который не так легко отличить от оригинала, получают кредиты, которые потом граждане должны выплачивать. Также персональные данные могут быть использованы для шантажа, для осуществления грабежа людей. Многие миллионы россиян пока не пострадали от кражи персональных данных, потому что преступники до них просто еще не добрались, а не потому, что эти данные нельзя украсть, нельзя использовать во вред нам с вами.
Кроме того, помимо явно преступного использования персональных данных, они используются в коммерческих целях помимо Вашей воли. Когда Вы даете согласие на обработку персональных данных в соответствии с законом, вы отдаете их тем организациям, где работают с этими персональными данными. Понятно, что предоставление этих персональных данных дает преимущества, то есть у вас начинается электронный обмен с этими организациями, к примеру, осуществляется электронное голосование. Это удобно, не надо идти на участок, зашел в компьютер и проголосовал. Удобства налицо, но, во-первых, существует риск для данных быть украденными мошенниками, а, во-вторых, риск для данных быть использованными в коммерческих целях помимо Вашей воли и желания.
Мы все знаем навязчивую рекламу, которая достаточно умно устроена, потому что опирается на биржи таргетинговых данных посетителей интернета. В интернете помимо того, что вы можете купить паспортные данные для мошеннических целей, существуют различные базы, с помощью которых вы можете в рекламных целях выходить на нужных клиентов. Эти таргетинговые данные связаны с вашими предпочтениями, вкусами, желаниями и собственностью. В этих базах известно, где Вы работаете, какой примерно у Вас доход, чем Вы интересуетесь, какие магазины в интернете Вы посещали, по каким ключевым словам Вы искали что-то, что Вы хотите купить. И далее вам будут слать, как минимум, навязчивую рекламу, а по максимуму мошенники могут завлечь Вас в какие-то сделки, предоставить Вам поддельные сайты. Например, при поиске возможности онлайн-бронирования на самолет в поисковиках в первых строках может появиться сайт, на котором за бронирование нужно платить. А в итоге может получиться так, что Вы заплатите, но никто Вам ничего не забронирует.
В принципе, таких мошенников полным-полно. Делают поддельные сайты, занимаются фишингом, целенаправленно Вам звонят. Обзвоны наиболее опасны, особенно для пожилых людей, которые уже психически не так устойчивы и весьма доверчивы. Имея доступ к персональным данным, мошенники манипулируют человеком, называют его правильные фамилию, имя и отчество, дату рождения, озвучивают все его персональные данные. И, представляясь сотрудниками банка или сотрудниками службы безопасности, посулами и угрозами заставляют людей совершать действия, которые они не хотели бы совершать, и потом раскаиваются в них.
Способов мошенничества много, персональные данные – это вещь обоюдоострая. С одной стороны, они создают удобства, можно вспомнить в этой связи сервисы государственных и коммерческих цифровых платформ, такие как gosuslugi.ru или aliexpress.ru. Но за это приходится платить рисками, связанными с мошенническими действиями третьих лиц. Стопроцентно защититься от этого невозможно. Можно получить доступ к данным клиента любого банка, все зависит от времени и денег, которые на это потрачены. Можно взломать даже, казалось бы, хорошо устроенные системы безопасности, преступники находят способы, как их обойти. Взломщики часто используют при этом сотрудников банков. В последнее время приобретают актуальность не только внешние, но и внутренние угрозы, связанные с недовольными сотрудниками компаний или госорганов, которые просто продают мошенникам персональные данные людей. Купить такие данные злоумышленники легко могут в даркнете, т.е. в компьютерных сетях, предназначенных для анонимной передачи информации.
В качестве мер профилактики необходимо использовать не только технические средства информационной безопасности, но и организационные меры. Во-первых, в школе необходимо обучать информационной безопасности, чтобы дети, которые растут с гаджетами и начинают с ними работать раньше, чем читать книги, могли четко понимать меры безопасности, угрозы и уязвимости. Они должны понимать, как закрывать свои устройства, какие способы защиты можно использовать, чтобы просто не стать легкой добычей мошенников. В рамках занятий по информатике это уже делается, важно обновлять учебные программы, чтобы не отставать от развития информационной безопасности в мире и в России. Для пожилых людей у нас существуют различные программы бесплатного обучения пенсионеров, например, в рамках программы «Московское долголетие». И там, кстати, обучают бесплатно информационным технологиям, информационной безопасности. Другое дело, что не все пожилые люди охотно этим пользуются. Тут уже, скорее, их дети и внуки должны донести до них эту информацию. Неплохо было бы регулярно показывать передачи или небольшие ролики по информационной безопасности по телевидению – так можно быстро информировать людей об угрозах и средствах противодействия.