Персональные данные: защити и сохрани

Бурное развитие технологий сделало персональные данные одним из самых ценных активов. Их собирают для различных целей — от персонализации рекламы и оценки кредитоспособности до улучшения продуктов и разработки новых услуг.

Повышение доходов и капитализация многих компаний напрямую зависят от охвата целевой аудитории и масштабов базы персональных данных (ПД), наличия инструментов для их анализа и умения эффективно эти инструменты использовать.

Чем ценнее актив, тем больше желающих им воспользоваться, в том числе, в сомнительных и незаконных целях.

Актуальность этой проблемы для нашей страны сложно переоценить. По данным исследования Positive Technologies, по итогам первой половины 2024 года Россия занимает первое место в мире по количеству предложений о продаже корпоративных баз данных в даркнете, составляя 10% от общего объема. Эти базы содержат личные данные граждан, включая фамилии и имена, номера телефонов, адреса, паспортные сведения и даже пароли.

По данным Роскомнадзора количество утечек за последние два года выросло почти в 40 раз! В прошлом году выявлено 135 утечек баз данных, в которых содержались более 710 млн записей о наших соотечественниках. Это официальные сведения, но в реальности инцидентов намного больше, так как далеко не все компании из-за страха наказания или отсутствия знаний «признаются» в произошедшем и передают информацию регулятору, как того требует законодательство.

Персональная информация − желанная добыча для мошенников. Располагая личными данными человека, злоумышленники могут использовать их для оформления микрозаймов, сим-карт и даже фирм, подделывать квитанции на оплату от разных государственных организаций (штрафов ГИБДД, ФНС и др.), притвориться сотрудником банка или следственного органа, чтобы выудить у человека недостающую информацию для кражи денег с карты, зарегистрировать электронный кошелек и т.д. и т.п. В арсенале современных Остапов Бендеров – внушительный перечень способов отъема денег у населения, так что утеря паспорта может обернуться не только головной болью от хождения по инстанциям, но и большими финансовыми потерями.

Но, к сожалению, сохранность паспорта в наше время никак не гарантирует отсутствие проблем. Данные пользователей попадают в чужие руки, прежде всего, через интернет, например, при регистрации на каком-либо онлайн сервисе, при взломе аккаунта или в результате небрежного обращения с конфиденциальной информацией самих пользователей (чаще всего инциденты с конфиденциальными данными происходят в онлайн-ритейле).  ПО данным МВД, ущерб от действий кибермошенников вырос в 2024 году на 36% по сравнению с предыдущим годом и составил 200 млрд рублей.

Массовая утечка в сеть может быть результатом как человеческих ошибок, так и промышленного шпионажа, а также нечистоплотных действий инсайдеров, например работников операторов связи, банков или страховых компаний.

Но самой распространенной причиной массовых утечек является целенаправленное воровство − кибератаки на ИТ-инфраструктуру крупных компаний. Вторая после киберпреступности и не менее значимая причина – уязвимости в программном обеспечении, многие из которых имеют критический уровень опасности. Баг, устаревшая защита, сбои и неполадки в работе ИТ-систем, слабые антивирусы и т. д. значительно облегчают жизнь злоумышленников, а из-за отсутствия риск-менеджмента данные часто «утекают» безо всякого злого умысла − по неосторожности их владельцев. Иногда даже неправильная настройка сервера может предоставить поисковым системам возможность индексировать данные, которые на нем хранятся.

Любые действия с персональными данными регулируются законодательством: от оператора ПД требуется соблюдение обязательных условий для защиты ПД от незаконных манипуляций – уничтожения, изменения, копирования, несанкционированного доступа и т. д. Для противодействия утечкам разработан комплекс мер, как технических, так и организационных, ознакомиться с которыми можно как в тексте закона, так и в многочисленных публичных источниках. В обобщенном виде этот список можно ограничить четырьмя ключевыми тезисами. Любой компании или организации, которые имеет дело с персональными данными, необходимо:

• Обеспечить защиту ПД таким образом, чтобы они не были доступны третьим лицам. Хранить их централизованно, избегая распределения по различным устройствам.
• Ограничить доступ к ПД учетными записями с различными правами и паролями, которые следует регулярно обновлять. Доступ к ПД должны иметь только уполномоченные лица, имеющие право на их обработку.
• Применять ПД исключительно для тех целей, ради которых они были предоставлены (то есть, вы не можете собрать данные для доставки товаров, а использовать их для таргетирования рекламы, если это не было оговорено в соглашении на обработку ПД).
• Использовать актуальные версии антивирусных программ.

Чем больше персональных данных собирает компания, тем серьезнее требования к безопасности ее инфраструктуры. Законодательством предусмотрены четыре уровня защищенности, которые определяются с учетом категории обрабатываемых персональных данных, типа возможных угроз, количества субъектов ПД, а также их принадлежности (клиенты или сотрудники). Технические средства защиты должны подбираться в соответствии с уровнем защищенности.

Перенос данных на территорию РФ по требованиям новой редакции №242-ФЗ стал мощным толчком к развитию российской индустрии ЦОД. Выручка ЦОД-провайдеров ежегодно увеличивается на 30%, а места в новых объектах раскупаются еще на этапе строительства.

За последние десять лет количество стойко-мест в коммерческих ЦОД выросло с 28 700 в 2015 году до 82 400 в 2024 году.

И такая динамика абсолютно закономерна.

Один из способов обеспечить надежное хранение и обработку персональных данных в соответствие с требованиями закона — это перенос собственной инфраструктуры на внешнюю площадку — дата-центр, который берет на себя обязательства по созданию защищенного пространства, обеспечивает отказоустойчивость ИТ-инфраструктуры, надежную физическую охрану оборудования.

Один из способов обеспечить надежное хранение и обработку персональных данных в соответствие с требованиями закона — это перенос собственной инфраструктуры на внешнюю площадку – дата-центр, который берет на себя обязательства по созданию защищенного пространства, обеспечивает отказоустойчивость ИТ-инфраструктуры, надежную физическую охрану оборудования.

Законодательство в сфере защиты персональных данных постоянно трансформируется, накладывая на бизнес все больше обязательств. В начале 2024 года Госдума приняла законопроект, который усиливает административные и уголовные наказания за злоупотребления и утечку ПД. Штрафы будут исчисляться миллионами рублей и могут, в случае применения, стать разорительными для бизнеса (до 3% от годового оборота компании за предыдущий отчетный период). Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» вступил в силу 11.12.2024.  Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» вступает в силу 30.05.2025. Это значит у российских компаниям остался совсем немного времени, чтобы повысить свою защищенность и киберустойчивость к инцидентам.

Но дело не только в штрафах: с учетом современных реалий компании больше не могут позволить себе использовать реактивный подход к защите персональных данных. Им необходимо защищать данные своих клиентов, чтобы завоевать их доверие и сохранить репутацию.

Что такое персональные данные? Это любая информация, относящаяся к определённому или определяемому физическому лицу прямо или косвенно (субъекту персональных данных). Практически все сведения, которые позволяют идентифицировать человека.

Категории персональных данных (ПД)

• Иные: позволяют идентифицировать человека: имя и фамилия, дата и место рождения, адрес регистрации, номер телефона, стаж и т. п.
• Специальные: данные, которые можно использовать для дискриминации человека и нанесения вреда, это информация об этнической принадлежности (раса, национальность), политические взгляды и религиозные убеждения, медицинские данные, данные о судимости и т. д.
• Биометрические: данные, которые подлежат особому регулированию и защите, такие как биометрические данные (отпечатки пальцев, запись голоса, фото- и видеоизображения лица, сканирование сетчатки глаза).

Кто является оператором персональных данных?  Оператор – это тот, кто устанавливает цели, сроки, способы обработки персональных данных. Может быть организацией или физическим лицом.

Какими нормами регулируется защита персональных данных? Главный нормативно- правовой акт в сфере регулирования оборота ПД − федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Этот закон применяется к любым лицам, как физическим, так и юридическим, которые обрабатывают ПД граждан России, независимо от их местонахождения. Основным регулятором является Роскомнадзор.