Не звони мне, не звони: помешает ли ужесточение законов сливу данных в интернет
В пресс-службе нижней палаты парламента сообщили, что с 27 марта в два раза увеличился штраф за нарушение правил обработки и хранения персональных данных. Теперь за надоедливые звонки компания может заплатить штраф в 150 тыс. рублей.
Некоторые эксперты в IT-сфере считают, что сейчас наступило затишье перед телефонной бурей. Совсем скоро активность надоедливых рекламщиков и телефонных мошенников возобновится, а новый закон не спасёт россиян от слива их персональных данных в даркнет.
Об уязвимостях в поправках в КоАП РФ — в материале ForPost.
Свобода выбора
В пресс-службе Госдумы уточнили: согласно действующему законодательству свобода и обработка общедоступных данных заканчивается там, где решит их владелец. Если вы считаете, что ваши фамилия, имя, отчество — информация, подлежащая разглашению, а дата рождения относится к конфиденциальным сведениям, оператор обязан учесть это пожелание.
В пресс-службе Госдумы уточнили: теперь гражданин в любой момент праве обратиться с требованием прекратить обработку своих персональных данных или подать иск в суд для принятия соответствующего решения. За неисполнение этого требования предусмотрена административная ответственность.
С 27 марта в два раза увеличился штраф за нарушение правил обработки и хранения персональных данных. Для физических лиц он установлен в размере до 10 тыс. рублей, для должностных лиц — до 40 тыс. рублей, для юридических лиц — до 150 тыс. рублей.
«В погоне за прибылью они (компании) не думают о безопасности людей, не хотят или не могут обеспечить защиту их личных сведений. Это недопустимо», — приводит пресс-служба Госдумы слова спикера нижней палаты парламента Вячеслава Володина.
Специалист по информационной безопасности Дмитрий Буравцов в беседе с корреспондентом ForPost отметил: при обработке, передаче и хранении персональных данных Россия использует опыт США. Американцы в любой момент могут остановить обработку ключевых сведений о себе, а также подать в суд на компанию, которая отказывается выполнять их законное требование.
Поэтому, уверен Буравцов, теоретически ужесточение административного кодекса может быть эффективным в части борьбы с рекламными звонками.
«Почему теоретически? Наши люди относятся к рекламным звонкам с позиции «ну позвонили и позвонили». Массово россияне не будут жаловаться на нарушение закона. Они через минуту уже забудут о рекламном звонке», — отметил в беседе с корреспондентом ForPost Буравцов.
Читайте также: Сотовая связь и интернет могут подорожать минимум на треть
Московское дело
Эксперты уверены: сколько бы депутаты Госдумы ни ужесточали законодательство, им не удастся помешать сливу персональных данных.
Напомним, в ноябре 2020 года telegram-канал Readovka сообщил, что в свободный доступ попали файлы с персональными данными десятков тысяч москвичей, переболевших коронавирусом. В них содержались ФИО, места проживания, номера телефонов и полисов ОМС, даты рождения, диагнозы и другие данные.
«Утечка, которая произошла в Москве, очень сильно похожа на банк данных какого-то рабочего чатика в WhatsApp. Для обмена служебной информации использовался не служебный канал связи. Либо базу данных из рабочего чатика слил какой-то обиженный сотрудник, либо был взломан домашний компьютер кого-то из работников», — пояснил специалист по информационной безопасности Дмитрий Буравцов.
Московский слив — не единственный инцидент, произошедший в прошлом году. По данным газеты «Коммерсант», в конце ноября на продажу в интернете были выставлены личные данные более чем 2,4 тыс. новгородских пациентов с ВИЧ из федерального регистра. Файл о каждом пациенте содержит паспортные и контактные данные, СНИЛС и подробную медицинскую информацию. Вся база продавалась за 60 тыс. рублей, 100 файлов — за 3 тыс. рублей.
Специалист по кибербезопасности, программист Сергей Вакулин уверен: сливы данных всё равно бы произошли, даже если бы КоАП РФ ужесточили в части нарушения хранения и обработки персональных данных в ноябре прошлого года.
«Всегда будут недобросовестные сотрудники, которые тем или иным способом сольют данные в даркнет (анонимная сеть по передаче данных в зашифрованном виде — прим. ред.). В нём невозможно вычислить пользователя, который нарушил закон. Иногда спецслужбы в даркнете сами с помощью социальной инженерии, как и мошенники, вычисляют других мошенников. От этой практики невозможно отказаться», — отметил Вакулин в беседе с корреспондентом ForPost.
Поэтому ужесточение КоАП РФ вряд ли поможет в борьбе с телефонными мошенниками, так как сведения о россиянах они получают из даркнета. IT-специалисты, в отличие от депутатов Госдумы, не питают иллюзий. Они считают, что ради наживы злоумышленники всегда найдут лазейку в законе.
Читайте также: В Севастополе разразился скандал вокруг персональных данных беженцев
В тени даркнета
Ещё одна проблема, от которой не страхуют принятые поправки в КоАП, — блокировка баз данных, уже слитых в интернет. Не каждый пользователь, сведения о котором оказались в открытом доступе, решит поменять сим-карту или IP-адрес.
Поэтому россияне продолжат сталкиваться с якобы сотрудниками службы безопасности банков и переводить на их счета свои накопления.
«Мнимой является и свобода выбора при даче согласия на обработку персональных данных. Безусловно, гражданин может отказаться от неудобного пользовательского соглашения, но тогда ему не будет предоставлена услуга. В законе указано, что вы можете установить табу на открытые данные, к которым относятся фамилия, имя, отчество, дата рождения и т. д. Что касается конфиденциальных сведений, к которым относятся паспортные данные, реквизиты банковской карты, то их компании в любом случае будут хранить и обрабатывать. Следовательно, от слива этой информации никто не застрахован», — подчеркнул специалист по кибербезопасности, программист Сергей Вакулин.
Читайте об этом: В Севастополе началась цепная реакция повышения цен на интернет
А что с рекламой?
Специалист по информационной безопасности Дмитрий Буравцов считает, что не всё так просто и с рекламными звонками. По его данным, рекламные сервисы, которые назойливо «подсовывают пользователям рекламный продукт», получают не персональные, а обезличенные данные. Зачастую это номера мобильных телефонов или e-mail без указания сведений об их владельце.
«Это не является сегментом персональных данных, так как такие сведения обезличены. Один, второй, третий сервисы получили обезличенные данные на вас. С помощью big data (технологическая возможность анализировать огромные массивы данных) о вас складывается общая картина, и вам начинают поступать рекламные звонки», — объяснил Буравцов.
Такой сбор данных «не нарушает действующее законодательство», при этом он позволяет навязывать рекламную продукцию потребителям.
В качестве примера Буравцов привёл Google. Эта американская компания перестала собирать данные на конкретного пользователя — она создала так называемые группы по интересам. В них люди отбираются по одному условному признаку. Например, это любовь к пицце. Таким образом, рекламодатели получают базу данных пользователей, которых могла бы заинтересовать их продукция. При этом у них нет никакой детальной информации о потенциальных клиентах.
Таким образом, россиянам не удастся избавиться от рекламных звонков, так как существует достаточно много легальных способов позвонить им на телефон «с интересным предложением».
Читайте также: Элитных русских хакеров взломали другие хакеры
Способы защиты
Специалист по кибербезопасности, программист Сергей Вакулин отметил: защитить персональные данные от слива можно. Компании, которые занимаются хранением и обработкой сведений о россиянах, должны все свои базы хранить в локальной сети. Главный компьютер, который отвечает за её работу, не должен быть подключён к интернету.
«Как только девайс или компьютер подключается к интернету, он становится уязвимым. Поэтому в пандемию коронавируса нужно было создавать отдельный реестр, который хранился бы в локальной сети, не подключённой к сети Интернет. Все данные загружались и выгружались из реестра через флешку. После чего USB-носитель высылался в различные организации по почте либо специалист доставлял его в компанию. Эти меры профилактики позволили бы снизить риск слива персональных данных россиян», — отметил Вакулин.
По его словам, в пандемию все данные о заболевших россиянах передавались через интернет. Было много уязвимостей в системе безопасности. При этом никто из сотрудников госучреждений, больниц, операторов сотовой связи не прошёл обучения по IT-безопасности.
Вакулин отметил: большинство инцидентов, связанных со сливом персональных данных, произошли «из-за безграмотности и безалаберности сотрудников вышеназванных организаций». Поэтому как бы депутаты ни защищали наши персональные данные, компании продолжат работать по принципу «Пока гром не грянет, мужик не перекрестится».
IT-специалисты советуют гражданам не уповать на законы. Людям нужно повышать свою грамотность и научиться оставлять как можно меньше следов в интернете.
Например, программисты советуют десять раз подумать, прежде чем нажать «да», чтобы пройти онлайн-тест «На кого из знаменитостей вы похожи?» Как знать, кто сидит по ту сторону экрана и чем может закончиться эта виртуальная игра в кошки-мышки.
Читайте по теме: Как противостоять детской игре в смерть в Интернете
Роберт Вочовский