Персональные данные соотечественников все чаще становятся достоянием общественности – в сеть утекают базы мобильных операторов, банков, бюро кредитных историй и т. д. Чужие паспортные данные, мобильные/рабочие/домашние телефоны, дату рождения, адреса, кредитные истории можно купить за бесценок.
АиФ.ru вместе с экспертами отвечает на вопросы, что нужно знать об утечках данных.
Почему утекают данные?
Есть несколько причин, почему наши личные данные становятся достоянием общественности. Одна из них – элементарная безграмотность сотрудников организации, откуда утекла персональная информация. Бывает, что те же банковские служащие «сливают» данные клиентов, чтобы заработать на этом. Также не исключены технические сбои.
Как говорит руководитель группы отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет» Павел Новожилов, организации допускают утечки еще и потому, что не боятся платить огромные штрафы. В Европе за такое нарушение предприятия платят кругленькие суммы – до 20 миллионов евро. У нас – максимум 150 тысяч рублей.
Как проверить, не утекли ли мои данные?
Во-первых, это внезапный шквал звонков от всевозможных организаций, предлагающих услуги – от изучения иностранного языка до псевдо-инвестиционных контор. На том конце провода называют вас по имени, а на вопрос «Откуда вы знаете мой номер?» витиевато отвечают: «Ваш друг оставил». А еще звонят мошенники, прикидывающиеся работниками службы безопасности банка. Они знают все – и фамилию/имя/отчество, и остаток на счете, и паспортные данные. Аферисты сообщают о попытке похищения крупной суммы с карты, а потом выманивают всю интересующую информацию.
Самостоятельно отследить утечку всех своих данных невозможно. Например, паспортные или банковские данные продаются в даркнэте и стоят денег.
Тем не менее нелишним будет проверить компрометацию пароля от почтового ящика, ведь зная его, злоумышленники могут получить доступ ко всей вашей жизни – от социальных сетей до мобильного банка.
«Существуют общедоступные сервисы (агрегаторы утечек), позволяющие установить факт наличия аккаунта в хакерских базах. Это, например, haveibeenpwned.com. В случае установления факта утечки данных необходимо сменить пароль от почты, а также ресурсов, где использовался тот же ящик. В качестве превентивной меры защиты процедуру смены пароля стоит повторять не менее раза в год, не забывая о требованиях к его сложности, а еще лучше использовать двухфакторную авторизацию», – рассказала АиФ.ru консультант Центра информационной безопасности компании «Инфосистемы Джет» Мария Романычева.
«Как вариант, можно проверить утечки паролей с помощью passwords.google.com. Это проверка всех паролей, которые "запомнил" ваш Google-аккаунт. Во-первых, вы увидите все свои пароли, которые знает диспетчер паролей, во-вторых, после ввода пароля от Google-аккаунта вы узнаете, какие из них были похищены и требуют замены, а какие повторяются или являются ненадежными», – подсказывает доцент Департамента мировой экономики и мировых финансов Финансового университета при правительстве Российской Федерации Валерия Минчичова.
И, наконец, можно попробовать ввести свои данные (почтовый ящик, фамилию/имя/отчество) в поисковиках. Если персональная информация есть в открытом доступе, поисковик выдаст ее.
А что делать, если данные утекли?
Все зависит от данных, которые стали достоянием общественности. Если скомпрометированным оказался пароль от почтового ящика, его нужно обновить. Если в сеть попали паспортные данные, документ лучше заменить – в противном случае если кто-то оформит на ваше имя микрозайм, возвращать его вам придется из своего кармана. То же самое с банковской картой – обязательно перевыпускайте.
Заместитель генерального директора юридической компании URVISTA Светлана Петропольская рекомендует обращаться в Управление Роскомнадзора и предоставить всю имеющуюся у вас информацию, подтверждающую, что ваши данные теперь общедоступны. «Это перечень персональных данных, точные адреса сайтов (если вам удалось найти ресурсы с персональными данными). Кроме того, можно попробовать урегулировать вопрос, направив требования об уничтожении данных администратору сайта. Если Роскомнадзор при проверке обнаружит нарушение законодательства, то сайт будет заблокирован, а компании, опубликовавшей ваши данные, придется выплачивать штраф», – отмечает эксперт.
Как минимизировать утечки данных?
К сожалению, однозначно защитить свою персональную информацию невозможно. Всегда есть риск, что данные утекут в сеть по ошибке банка или мобильного оператора. Но утечки можно минимизировать.
Руководитель проекта SecurityLab.ru Александр Антипов рекомендует придерживаться следующих правил:
- Используйте временные телефонные номера, когда оставляете свои контакты в интернете. У некоторых операторов существует услуга «второй номер», которая позволяет получить временный дополнительный номер для таких задач.
- Обязательно используйте сложные пароли, которые должны быть разные для различных сервисов. В таком случае если один из сервисов, в которых были ваши персональные данные, допустит утечку паролей, злоумышленник не сможет воспользоваться паролями от других ресурсов.
- С осторожностью подписывайте договоры на обработку персональных данных, особенно когда в них присутствует пункт о передачи таких данных «третьим лицам». Всегда требуйте исключения этого пункта из договора. Проще получить новый паспорт и сменить номер телефона в случае их утечки, чем надеяться, что эти данные не попадут в руки потенциальных злоумышленников.
Что будет, если из-за утечки данных у меня украдут деньги?
По словам генерального директора санкт-петербургского «Юридического бюро №1» Юлии Комбаровой, если с вашей карточки пропали деньги, а вы не нарушали договор с банком (не называли CVC-код, логин и пароль для входа в личный кабинет и т. п. третьим лицам), то вы можете рассчитывать на компенсацию украденных средств. В том числе украденных вследствие утечки данных, допущенной финансовой организацией.
«Важно. Необходимо сообщить о незаконности операции не позже чем на следующий день после того, как банк уведомил вас о списании средств. Срок уведомления продлевается, если банк не уведомил клиента об операции. Некоторые банки ужесточают данные правила – например, могут указать в договоре, что нужно уведомить банк о незаконной операции только лично, а это не всегда выполнимо.
Конечно, если клиент сам сообщил мошенникам конфиденциальную информацию, то перспектив привлечения банка к ответственности нет, так как за действия, которые клиент совершил сам, банк не обязан отвечать», – резюмирует она.
Елена Трегубова