Если данные — это «новая нефть», то персональные данные — «новое золото». По мере развития электронного документооборота стало удобнее обрабатывать персональные данные (ПДн), однако и украсть их или невольно раскрыть третьим лицам тоже стало гораздо проще.
Используя утечки ПДн, мошенники оформляют микрозаймы и поручительства по кредитам на чужое имя, регистрируют фирмы-однодневки, организуют многоэтапные аферы и просто портят репутацию тем людям, от имени которых выполняют неэтичные или незаконные действия.
Масштаб утечек персональных данных
Среди всех типов ценной для злоумышленников информации наиболее часто оказываются скомпрометированы именно персональные данные. В мировой статистике 80,6% утечек данных составили ПДн. В сравнении с 2019 годом на 26% выросло число крупных инцидентов с ПДн, каждый из которых нанёс ущерб как минимум одному миллиону граждан.
Например, украденная с сайта «РЖД» база данных содержала ПДн 1,3 млн участников программы «РЖД Бонус». Она включала в себя ФИО, номера телефонов, адреса проживания, логины и хешированные пароли.
В общей сложности за 2020 год в мире было скомпрометировано 11 млрд записей ПДн (включая повторяющиеся), содержащих имена и фамилии, номера телефонов, адреса постоянного места жительства, номера социального страхования и реквизиты банковских карт.
98,2% из них утекли по вине сотрудников компаний, имевших доступ к персональным данным. Общая доля умышленно организованных утечек ПДн в 2020 году достигла 72,5% вместо 60,2% в 2019 году.
Поиск эффективной защиты ПДн
Сегодня в России (как и во всём мире) доминирует централизованная модель работы с персональными данными. Она может быть простой или федеративной.
В первом случае для идентификации клиентов каждая организация запрашивает у пользователей разные наборы персональных данных, самостоятельно проверяет их (при необходимости) и сохраняет в своей базе данных. Это создаёт неудобства (нужно везде регистрироваться отдельно) и повышает риск злонамеренного использования ПДн (они остаются у сотен юридических лиц и контрагентов, а у пользователей нет возможности проверить, как контролируется доступ к их персональным данным).
Федеративная модель более современная и удобная. Идентификационные данные пользователей хранятся у какого-то крупного оператора ПДн. С разрешения пользователя он выдаёт их необходимую часть владельцам других ресурсов, когда требуется подтвердить личность.
Широкое распространение федеративной модели сдерживается отсутствием единого стандарта. Попытки его разработать предпринимались неоднократно, и сейчас в мире конкурирует несколько технологий управления цифровой идентичностью.
Наиболее популярные из них представлены ниже:
— FIDO (Fast IDentity Online) — включает в себя стандарты беспарольной и двухфакторной аутентификации U2F (Universal Authentication Framework),WebAuthn и CTAP (Client to Authenticator Protocol);
— OpenID — стандарт децентрализованной аутентификации;
— OAuth (Open Authorization) — стандарт делегирования доступа.
В настоящее время OAuth дополняет OpenID и напрямую связан с OpenID Connect (OIDC). Технически OIDC — это аутентификационная надстройка над OAuth 2.0.
Ассоциация FIDO Alliance была создана в 2013 году. Она продвигает одноимённый проект по разработке стандартов аутентификации, не ограничивающийся возможностями пользовательских устройств.
С 2017 года совместно с консорциумом W3C альянс развивает проект FIDO 2.0. В рамках него уже создана система веб-аутентификации (WebAuthn), использующая вместо пароля электронный ключ, хранимый на устройстве пользователя.
Другой популярный сегодня вариант — открытый стандарт децентрализованной аутентификации OpenID. Он позволяет использовать одну учётную запись на множестве интернет-ресурсов. Его разработка велась с 2005 года, и до публикации OpenID Connect 1.0 в 2014 году, миллионы сайтов уже использовали его черновую версию.
Примерно в то же время был разработан OAuth — стандарт, позволяющий пользователю передавать одному сервису ограниченные права доступа к своей учётной записи в другом сервисе, не раскрывая логин и пароль. Например, так работает авторизация через Facebook на сайтах, которым необходимо проверить e-mail и возраст пользователя.
Удобств у федеративной модели больше, но и риски существеннее. Злоумышленнику достаточно скомпрометировать одну учётную запись, чтобы действовать от имени жертвы на множестве интернет-ресурсов, а слив крупной базы с сервера приведёт к одновременному разглашению ПДн миллионов пользователей.
В последние годы для лучшей защиты персональных данных разрабатываются альтернативные модели, которые предоставят пользователям больше контроля.
Перспективные платформы персональных данных
Теоретически максимальный контроль своих ПДн пользователем обеспечивает модель суверенной идентичности. Это перспективная разработка, которая может быть реализована с помощью распределённой базы данных с иерархическим подтверждением записей в цепочке блоков (блокчейн) и одноранговой сети, лишённой выделенных управляющих узлов.
Каждый пользователь этой системы имеет свой децентрализованный идентификатор (DID, decentralized identifier), на основе которого могут генерироваться отдельные идентификаторы для каждого сервиса. Такой подход помогает избежать отслеживания (трекинга) пользовательской активности.
На практике модель суверенной идентичности ещё не применяется вне экспериментальных проектов. Сформулированы лишь принципы её построения и очевидные недостатки. Главные из них — использование недостаточно изученных криптографических технологий и риск потерять все свои данные без возможности восстановления при утере секретного ключа.
Также не стоит забывать об атаке «51%», вероятность которой недооценивали до масштабного инцидента в сети Ethereum Classic в 2018–2019 годах. Суть этой атаки в том, что в распоряжении злоумышленника в какой-то момент времени оказываются вычислительные мощности, превышающие суммарную мощность половины блокчейн-сети. С этого момента он может создать свою цепочку блоков с фальшивыми записями, которая заменит основную.
Одному человеку такое вряд ли под силу, но группа людей (особенно представляющих интересы крупных корпораций и правительств) может договориться и верифицировать ложные транзакции, преследуя общие интересы (примерно как члены мафии подтверждают алиби друг друга). Остальные участники сети доверия рискуют стать невольными соучастниками обмана, автоматически добавив своё подтверждение только потому, что это уже сделали другие.
На практике более реалистичными оказываются модели, ориентированные на пользователя (user-centric), поскольку они не требуют полностью децентрализованного хранения идентификационных данных. При этом в них также каждый гражданин сам контролирует, какому сервису и какие ПДн он раскрывает, а подлинность юридически значимых записей (например, номер паспорта и СНИЛС) подтверждает соответствующая организация (обычно это органы государственной и местной власти).
В рамках правительственной инициативы такая модель уже проходит апробацию в Нидерландах. Там госучреждения и некоторые муниципальные предприятия позволяют гражданам получать услуги удалённо, авторизуясь через сервис IRMA. Это частично децентрализованная платформа идентификации на основе атрибутов, разработанная в Университете Неймегена.
Она развивается сообществом как международный (преимущественно европейский) проект с открытым исходным кодом. Авторы предлагают использовать IRMA для запроса атрибутов пользователей (возраст, пол, регион проживания, сфера занятости и т.д.), их аутентификации, а также отправки отчётов и заявлений с использованием электронной цифровой подписи.
Для начала работы с IRMA достаточно установить бесплатное мобильное приложение. Пользователь сам решает, какие ПДн в него ввести (e-mail, номер телефона и т.д.), но все юридически значимые данные могут быть добавлены в профиль только при участии органов местного управления.
В итоге все персональные данные накапливаются пользователем от разных организаций и сохраняются локально в зашифрованном виде. Когда очередной онлайн-сервис запрашивает ПДн через IRMA, пользователь принимает решение, какие данные он готов раскрыть о себе. Например, некоторым сайтам достаточно подтвердить, что посетитель совершеннолетний, поэтому логично сообщить им через IRMA только свой возраст, а не весь набор ПДн.
IRMA кажется хорошей альтернативой простым централизованным системам, и у неё уже есть ряд аналогов, но все эти сервисы пока экспериментальные и основаны на слабо изученных криптографических схемах. Кроме того, в каждой стране свои требования к обработке персональных данных.
Автор Андрей Васильков
Фото из открытых источников
scientificrussia.ru
Персональные данные: использование, защита и ответственность - что нужно знать
Одним из наиболее проблемных правовых вопросов в эру информационных технологий является защита персональных данных.
О том, что такое персональные данные, какие права имеют граждане по защите своих персональных данных, как их защитить и какая ответственность предусмотрена за нарушение законодательства о защите персональных данных, консультируют специалисты Регионального центра по предоставлению безоплатной правовой помощи в Полтавской области.
Гражданским кодексом определено, что физическое лицо имеет право свободно собирать, хранить, использовать и распространять информацию. Сбор, хранение, использование и распространение информации о личной жизни физического лица без его согласия не допускаются, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благополучия и прав человека. Физлицо, распространяющее информацию, обязано убедиться в ее достоверности. Физлицо, распространяющее информацию, полученную из официальных источников (информация органов государственной власти, органов местного самоуправления, отчеты, стенограммы и т. п.), не обязано проверять ее достоверность и не несет ответственность в случае ее опровержения. Физлицо, распространяющее информацию, полученную из официальных источников, обязано делать ссылку на такой источник.
В соответствии с Законом "О защите персональных данных" персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано; субъект персональных данных - физическое лицо, персональные данные которого обрабатываются. Под согласием субъекта персональных данных следует понимать добровольное волеизъявление физического лица (при условии его осведомленности) относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, выраженное в письменной форме или в форме, которая дает возможность сделать вывод о предоставлении согласия. В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлено во время регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии со сформулированной целью их обработки, при условии, что такая система не создает возможностей для обработки персональных данных до момента проставления отметки.
Субъект персональных данных имеет право:
1) знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении или месте проживания (нахождения) владельца или распорядителя персональных данных или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом;
2) получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные;
3) на доступ к своим персональным данным;
4) получать не позже чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются ли его персональные данные, а также получать содержание таких персональных данных;
5) предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;
6) предъявлять мотивированное требование об изменении или уничтожении своих персональных данных каким-либо владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;
7) на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, являющихся недостоверными или позорящими честь, достоинство и деловую репутацию физического лица;
8) обращаться с жалобами на обработку своих персональных данных к Уполномоченному или в суд;
9) применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;
10) вносить оговорку об ограничении права на обработку своих персональных данных при предоставлении согласия;
11) отзывать согласие на обработку персональных данных;
12) знать механизм автоматической обработки персональных данных;
13) на защиту от автоматизированного решения, которое имеет для него правовые последствия.
Владелец персональных данных - физическое или юридическое лицо, которое определяет цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если другое не определено законом.
Распорядителем персональных данных является физическое или юридическое лицо, которому владельцем персональных данных или законом дано право обрабатывать эти данные от имени владельца.
Использование персональных данных
Использование персональных данных предусматривает какие-либо действия владельца по обработке этих данных, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными, которые осуществляются при согласии субъекта персональных данных или в соответствии с законом.
Использование персональных данных владельцем осуществляется в случае создания им условий для защиты этих данных. Владельцу запрещается разглашать сведения о субъектах персональных данных, доступ к персональным данным которых предоставляется другим субъектам отношений, связанных с такими данными.
Распространение персональных данных
Распространение персональных данных предусматривает действия по передаче сведений о физическом лице при согласии субъекта персональных данных.
Распространение персональных данных без согласия субъекта персональных данных или уполномоченного им лица разрешается в случаях, определенных законом, и только (если это необходимо) в интересах национальной безопасности, экономического благополучия и прав человека.
Обеспечение защиты персональных данных
Владельцы, распорядители персональных данных и третьи лица обязаны обеспечить защиту этих данных от случайных потери или уничтожения, от незаконной обработки, в том числе незаконного уничтожения или доступа к персональным данным. В органах государственной власти, органах местного самоуправления, а также во владельцах или распорядителях персональных данных, выполняющих обработку персональных данных, которая подлежит сообщению в соответствии с данным Законом, создается (определяется) структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой персональных данных при их обработке.
Для того, чтобы обезопасить себя и свои данные, не предоставляйте их никому. Сейчас в интернет-пространстве немало заманчивых предложений: "Именно ваш номер может выиграть приз". Или вам звонили или отсылали смс-сообщение с подобным содержанием. В большинстве - это мошенники. Они попросят у вас пароль от банковской карты, номер телефона или еще что-то. Лучшим вариантом будет прекратить разговор, даже если предложение будет очень заманчивым.
Целесообразно также проверять информацию, которую вы распространяете. Также не менее важно проверять информацию, если вас просят пожертвовать деньги на какую-то операцию или сделать репост поста с новостью подобного содержания. Помните, мошенники часто выдают себя за благотворителей.
Защищайте свои пароли. Ежедневно пользуетесь Facebook или платите в Интернете? Меняйте пароли с определенной частотой. Храните пароли в надежном месте, а лучше - запоминайте.
Используйте двуфакторную аутентификацию. Завершайте сеанс сразу после выхода из соцсети.
Пользуйтесь официальными программами. Проверяйте программы, которые загружаете. Официальные программы проходят проверку на наличие фишинга - несанкционированного сбора и передачи данных. Поэтому, пользуясь именно официальным программным обеспечением, вы будете уверены, что не заразите компьютер или смартфон каким-то вирусом. Также целесообразно использовать только проверенные сети интернет-соединения.