«Черный рынок» персональных данных продолжает развиваться

Коммерческие и репутационные риски

Все данные, имеющие ценность для бизнеса, должны соответствовать 3-м критериям:

  • актуальность – соответствие реальному состоянию на данный момент;
  • достоверность – отсутствие ошибок и искажений, а также адекватность способов, которыми были получены сведения;
  • полнота – способность обеспечить принятие правильных решений.

Предложения черного рынка крайне редко предлагают надлежащую информацию, которая сочетает все три характеристики.

Некоторые компании покупают заведомо неактуальные или недостоверные сведения задешево, чтобы сформировать базу потенциальных клиентов для “холодных” звонков.

Представим реакцию человека, который взял трубку: он понимает, что получил звонок с неизвестного номера с устаревшим или нецелевым предложением. Страховка на уже проданный автомобиль? Новая схема лечения уже излеченного заболевания? Такое предложение не просто неинтересно, оно – подозрительно, так что ваш номер могут внести в списки мошеннических. В особенности – если ваш call-менеджер не сможет внятно объяснить каким путем были получены данные. С употреблением легальной информации,после проведения проверки персональных данных через сервис IDX, этот риск отсутствует.

Нерелевантная информация не поможет узнать о клиенте больше – если ли у него машина, любит ли путешествовать. Возможно, он потерял работу или ушел в декрет, и теперь ему не до поездок.

Обезопасить собственную компанию от фрода также можно только на основании данных, полученных из эталонных источников. Ведь в даркнете не доступна проверка персональных данных. Может, в купленной базе только случайные люди и рандомные сведения?

Последствия утечек для субъектов данных

Вероятность наступления негативных последствий для тех, чьи данные обнародованы, напрямую зависит от полноты и характера информации, хранящейся в базе данных.

Так, утечка «в третьи руки» данных электронных торговых площадок не грозит ничем серьезным, кроме получения спама, а вот база с информацией о благосостоянии, с указанием такой информации, как адрес проживания, данные банковских счетов, может «помочь» стать жертвой преступления.

Почти каждая десятая запись (8% обнаруженных данных) может с высокой вероятностью повлечь за собой тяжелые негативные последствия — использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковского мошенничества или привести к более тяжелым последствиям с применением социальной инженерии. В продаваемой базе можно найти полные контактные данные лица с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах. Именно к таким базам данных проявляют интерес преступники с целью грабежа, шантажа и совершения другой противоправной деятельности.

Меры по снижению количества инцидентов

Основная причина утечки — низкий уровень информационной безопасности бизнеса в стране. Базы данных не охраняются должным образом, служба безопасности не имеет возможности контролировать доступ к базам данных, превышение полномочий со стороны сотрудников или взлом извне.

Ведущие производители СУБД, например Oracle, дают возможность аудита баз штатными средствами. Хотя скорость работы с базами существенно снижается, это позволяет повысить уровень безопасности.

Крупные компании предпочитают использовать специализированные системы защиты баз данных, которые не влияют на производительность. Большей частью это представители финансовой отрасли и крупного бизнеса.

Как защитить свои персональные данные от кражи?

Снизить личные риски от подобной деятельности достаточно легко, если мы говорим о спаме:

не переходить по ссылкам и не открывать почтовые вложения, полученные от незнакомых контактов. 

Если о других видах мошенничества:

внимательно смотреть на номера, от которых приходят сообщения, так как они могут быть замаскированы под службы клиентского сервиса различных компаний.

Не стоит оставлять свои контактные данные по первой просьбе в различных магазинах, салонах услуг и так далее. В идеале, стоит пользоваться альтернативным почтовым ящиком для входящих писем и мобильным номером без привязанных аккаунтов, чтобы их компрометация не могла нанести материального и морального вреда.

Материалы по теме:

Кто покупает базы данных?

Каждый сталкивался с ситуацией, когда получал именные письма или звонки с предложением тех или иных услуг от организаций, о которых первый раз слышал или же звонки от техподдержки банков с просьбой назвать сумму на счете или цифры из СМС. Все это результаты перепродажи баз данных.

В зависимости от источника данных, есть и другие сведения, в случае с банком это может быть информация о счетах, кредитах и вкладах, в случае с онлайн-магазином – список покупок, средний чек, таргетинговая информация.

Чаще всего данные покупают:

  • лица, занимающиеся рассылкой спама с целью продвижения товаров и услуг, или распространения вредоносного ПО, например, криптовымогателей или вирусов для создания ботнетов.
  • злоумышленники, использующие данные для кражи личности, шантажа и социальной инженерии. Обладая такой базой, можно оформить кредит на чужой паспорт, шантажировать человека разглашением его конфиденциальной информации, совершать целенаправленные кражи, с помощью социальной инженерии обманными действиями заставить человека перевести деньги на счета мошенников.

Юридические риски

Хотя правовая ответственность за приобретение сведений, добытых незаконным путем, не прописана в законе прямо, юридические риски для оператора вполне реальны. В первую очередь они связаны с неустранимыми нарушениями в сфере обработки персональных данных.

Наиболее вероятна юридическая ответственность для организации и виновного физического лица (ч.3 ст. 2.1. КоАП РФ), которая предполагает штраф до 75 тыс. руб. Ответственность наступает в отношении каждого субъекта ПД, т.е. за каждое лицо, чьи данные находятся в краденной базе. Ведь никакое согласие на обработку и использование данных получено не было. Т.е., за базу на 10 тыс. строк можно получить штраф на 75 млн. руб. Но и после его выплаты данные придется уничтожить, в противном случае ответственность наступит уже по ч.5 ст.13.11 КоАП РФ.

Существует перспектива и уголовной ответственности – например, за незаконный сбор данных о частной жизни лица без его согласия (ч.1 ст. 137 УК РФ).

Правовые прецеденты с участием нелегальных продавцов и покупателей персональных данных накапливаются – за раскрытием все чаще следует наказание. Поэтому рекомендуем проверить данные о физических лицах в эталонных источниках – для этого и был создан сервис проверки документов.

ООО «Системы Управления Идентификацией»

ОГРН 5167746401488

Юр. адрес: ул. Мясницкая, дом 22, стр.1, комн. 6, г. Москва, 101000  

Последствия утечек для компаний

В большинстве случаев при утечке данных происходит нарушение ФЗ-152 «О персональных данных», а следовательно, можно ожидать санкций со стороны регуляторов. Однако это не самые серьезные риски, которые грозят компаниям: даже с принятием во втором чтении новых поправок в законопроект речь идет о штрафе в 75 тысяч рублей за нарушение хранения персональных данных. С точки зрения бизнес-рисков, более критичен отток клиентов при передаче базы конкурентам и ущерб репутации при обнародовании факта утечки — здесь убытки могут составить миллионы.

В правовой сфере также есть риск обращения клиентов в суд с целью компенсации вреда, причиненного в результате утечки. В конечном счете, утечки информации влекут за собой финансовый ущерб.

Свыше 1,2 млрд записей персональных данных — уже на черном рынке

Результаты исследования «Черный рынок баз данных» аналитического центра «МФИ Софт» за ноябрь 2016 года показывают, что в свободной продаже в России находятся сотни баз данных, содержащих свыше 1254 млн записей. В ходе исследования были изучены предложения крупнейших пиратских форумов и интернет-площадок, где обнаружились базы разных отраслей и регионов страны. Наиболее распространенными оказались нелегальные базы данных финансовой сферы, такие как банковские БД и контактные базы брокеров — 43%.

Рисунок 1. Рейтинг баз данных на черном рынке по отраслям

 

Чтобы получить персональные данные практически любого интересующего человека, по статистике, потребуется выложить от 1500 до 30000 рублей на несколько баз данных из различных секторов. Потратив всего несколько часов на изучение сайтов по продаже баз данных, можно найти нужную информацию, включая состояние банковских счетов, имя и возраст ребенка, место работы и должность. Конечно, поступление баз на открытый рынок обычно задерживается на год-два, но, как показывает практика, мало кто меняет номера телефонов, электронные адреса и банковские счета за этот период.

Рисунок 2. Сравнение стоимости одной записи по отраслям

 

Причины утечек информации

Согласно исследованию «МФИ Софт», в большинстве случаев (78%) информация попадала на рынок в результате инсайда. Второй источник — недобросовестные операторы персональных данных, которые торгуют личной информацией своих клиентов (13%). И в том и в другом случае информация может быть дополнительно обогащена «отраслевой» спецификой — данными по счетам, вкладам, покупкам, имуществу и др. Все это расширяет возможности покупателей такой информации.

По характеру данных удалось выяснить, что чаще всего такими злоумышленниками являются сотрудники коммерческих и клиентских служб. Иногда встречаются базы, в хищении которых участвовали IT-специалисты — это можно установить по характеру информации, содержащейся в базах данных. Так, при проведении исследования была обнаружена база крупного оператора сотовой связи, содержащая в себе 2 миллиона клиентских записей, а также базы клиентов 18 банков — среди них есть представители топ-10 крупнейших российских банков и популярных микрофинансовых организаций.

Рисунок 3. Основные причины утечек информации

 

Поделитесь в социальных сетях:FacebookXВКонтакте
Напишите комментарий