В сеть утекли данные клиентов Сбербанка. Если там есть мои, то я могу потребовать компенсацию от банка за это?
3 ответа
Войдите чтобы оставить ответ.
3 октября 2019
Дополню, что если третьим лицам по вине банка (или сотрудника) стали известны данные о наличии счетов в данном банке, то дело уже пахнет уголовной статьей 183 п. 2. «Незаконное получение и разглашение сведений, составляющих банковскую тайну».
Наказывается штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осуждённого за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трёх лет, либо лишением свободы на тот же срок.
Если же базу данных банка продали третьим лицам (то есть совершили преступление из-за корыстной заинтересованности), то это уже п. 3 ст. 183 УК РФ.
Наказывается штрафом в размере до одного миллиона пятисот тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до трёх лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
3 октября 2019
Если данные стали известны третьим лицам по вине банка, то Вы имеете право на возмещение убытков и компенсацию морального вреда в судебном порядке. При этом необходимо документально доказать, что для обеспечения конфиденциальности персональных данных банком были предприняты НЕ все необходимые мероприятия и/или не все технические средства были использованы и направлены на предотвращение несанкционированного доступа.
Кроме того, необходимо доказать убытки, полученные в результате распространения Ваших данных (например, получение кредита другим лицом и т. д.). Отметим, что в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ, к персональным данным относятся: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы. Законодательство РФ предусматривает ответственность банков за утечку персональных данных или некорректную работу с ними.
Однако вступая в правоотношения с банками и подписывая документы, необходимо внимательно ознакомиться и установить пределы согласия на обработку/распространение ваших персональных данных.
Показать еще 1 ответ
22 октября 2018
Спрашивает
Можно ли открыть вклад на имя другого человека?
26 октября 2018
Спрашивает
В какой срок налоговая должна выплатить налоговый вычет?
4 марта 2019
Спрашивает
Можно ли вернуть машину в автосалон и забрать деньги?
29 марта 2019
Спрашивает
Как списать пени по кредиту?
25 апреля 2019
Спрашивает
На работе не пустили в отпуск, что делать?
19 августа 2019
Кредитная карта + 2
Спрашивает
Имеет ли право ресторан принимать только наличные для оплаты?
Задайте свой вопрос
Эксперты по финансам и страхованию подробно ответят на него в течение дня
Мобильное приложение
Позволяет оформлять услуги, следить за кредитным рейтингом
и хранить полисы. Для установки наведите камеру на QR-код
© 2009– 2024 , ООО «Сравни.ру». При использовании материалов гиперссылка на sravni.ru обязательна. ИНН 7710718303, ОГРН 1087746642774.
109544, г. Москва, бульвар Энтузиастов, дом 2, 26 этаж.
Мы используем файлы cookie для того, чтобы предоставить пользователям больше возможностей при посещении сайта sravni.ru. Подробнее об условиях использования.
Из банков утекают данные клиентов
С вероятностью 66% ваши персональные данные окажутся в открытом доступе или будут продаваться на черном рынке. Если банк незаконно передал информацию о вас другому лицу, вы вправе обратиться в суд или попросить об этом Роскомнадзор
За январь – сентябрь 2020 г. в России утекло 96,5 млн записей персональных данных и платежной информации. 4 февраля 2021 г. об этом сообщила первый зампред Комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова на конференции, посвященной формированию единой цифровой среды доверия в обществе.
Давайте-ка посчитаем вместе: население России составляет 146,8 млн человек. Если на каждого человека приходится по одной записи персональных данных, то 96,5 млн записей – это примерно 66% от их общего объема. При грубом подсчете именно с такой вероятностью сведения о нас окажутся в открытом доступе.
Чаще утечки информации обнаруживают в госсекторе, IT-индустрии и сфере финансов. Особенно большой резонанс вызвала утечка персональных данных клиентов Сбербанка летом 2019 г., когда на черном рынке оказалась база данных с информацией о владельцах 60 млн кредитных карт.
В России персональные данные защищаются прежде всего Законом «О персональных данных», а в банковской сфере – Законом «О банках и банковской деятельности» и нормами Гражданского кодекса РФ.
В статье речь пойдет о наших правах и возможностях их защитить в отношениях с банками.
Как банки используют персональные данные и как клиенты на это соглашаются?
Банк является оператором персональных данных, которые он собирает и обрабатывает для выполнения своих функций. Под обработкой данных подразумевается целый набор действий: сбор, запись, систематизация, накопление, хранение, уточнение и т.д.
Такая работа с личной информацией клиентов возможна только с их письменного согласия. Но обычно человек не обращает внимания на то, когда и в каком объеме он разрешает обрабатывать свои персональные данные. Согласие может быть дано при посещении офиса в бумажном документе или через Интернет во время заполнения формы на сайте и даже просмотра информации на нем.
Например, Сбербанк разместил на своем сайте такую информацию для пользователей:
«Продолжая работу на сайте, я выражаю свое согласие ПАО Сбербанк на автоматизированную обработку моих персональных данных … с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам…»
Чтобы узнать, какие полномочия предоставлены кредитной организации, можно обратиться с письменным запросом в отделение банка или найти образец согласия на обработку персональных данных на его сайте.
Тут может возникнуть вопрос: а что, если не соглашаться на обработку данных? Субъект персональных данных принимает решение об их предоставлении и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст.
9 Закона «О персональных данных»). Вы можете не передавать данные банку или не разрешить их обрабатывать. Но в этом случае банк вправе отказать вам в оказании услуг.
Что будет с персональными данными, когда отношения с банком прекратятся?
Закрытие счета или погашение кредита не означает автоматического уничтожения персональных данных. Для этого необходимо подать заявление об их отзыве или уничтожении. Чтобы быть уверенным в том, что их у банка не осталось, можно запросить акт о прекращении обработки данных или выписку из журнала учета уничтожения персональных данных.
На сайте Роскомнадзора подробно расписано, как уничтожаются личные данные клиентов:
«Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.
Типовая форма акта и журнала утверждаются оператором».
При этом даже в случае запрета обрабатывать данные клиента банк может продолжать это делать. Например, при сохранении договора с банком для работы с ним (п. 5 ч. 1 ст. 6 Закона «О персональных данных»).
Также кредитное учреждение сохраняет личную информацию о клиенте в течение не менее 5 лет с момента истечения срока договора согласно ч. 4 ст. 7 Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». И наконец, кредитные организации сохраняют первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее 5 лет (ст.
17 Закона «О бухгалтерском учете»).
Суды придерживаются такой же позиции. Один из примеров: гражданин обратился с требованием о прекращении правоотношений с банком и направлении ему акта об уничтожении сведений, содержащих персональные данные. В заявленных требованиях суд отказал, поскольку банк должен хранить персональные данные клиентов в течение не менее 5 лет со дня прекращения отношений, а также в предусмотренных законом случаях предоставлять информацию и документы уполномоченному органу по его запросу 1 .
Может ли банк передать персональные данные клиентов другим организациям?
Банк вправе поручить обработку данных сторонней организации с согласия субъекта персональных данных (п. 3 ст. 6 Закона «О персональных данных»).
Это возможно, например, при проведении рекламной кампании и сборе заявок или хранении собранной информации на серверах IТ-компаний.
Но для таких действий необходимо согласие клиентов. И, как правило, они его дают. Выше приводилась выдержка из согласия на обработку персональных данных с сайта Сбербанка. В нем есть такая фраза: «…передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам». Чаще встречаются более расплывчатые формулировки – просто упоминается о передаче данных сторонним организациям.
Иногда ставят ссылку на перечь организаций-партнеров, которым может передаваться информация.
С кредитной организацией трудно будет договориться о корректировке таких формулировок. Как уже было сказано, в случае несогласия предоставить персональные данные банк может отказать в оказании услуг. Тем не менее всегда обращайте внимание, на что вы даете свое согласие, особенно при заключении договоров с организациями из других сфер.
Как защитить свои права?
Чтобы не тратить время на изучение законодательства или деньги на оплату работы юристов, с требованием о защите персональных данных можно обратиться в Роскомнадзор. Если нарушения будут обнаружены, то составлять исковое заявление, подавать его в суд и отстаивать ваши интересы будет именно Роскомнадзор, а не вы.
Читайте также
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
07 октября 2019 Советы
В случае нарушения ваших прав вы можете обратиться в суд с требованием о возмещении морального вреда. Но доказать придется и факт передачи персональных данных, и незаконность такой передачи. Вы вправе также заявить требование о запрете дальнейшего распространения информации и иного нарушения прав.
Но, как указано выше, в подобных требованиях суд может отказать, если речь будет идти об обязанности банка хранить данные в течение 5 лет или о предоставлении информации уполномоченным органам.
Подавать исковое заявление можно в суд по месту регистрации гражданина. На это указал Верховный Суд РФ в Определении от 14 июля 2020 г. № 58-КГ20-2 (читайте об этом в новости «ВС: Роскомнадзор вправе подавать иск в порядке гражданского судопроизводства»).
Суды нередко выносят решения в пользу граждан. Только размеры компенсации морального вреда составляют всего несколько тысяч рублей. Например, в одном из дел, рассмотренных Новосибирским областным судом, передача информации о клиенте банком коллекторской организации была признана незаконной, но размер компенсации морального вреда составил лишь 5 тыс. руб. 2
Чтобы попробовать увеличить размер компенсации, можно запастись справками о своих физических и нравственных страданиях. Например, подойдут выписки из медицинских документов, подтверждающие осмотры терапевта и невролога, к которым пришлось обращаться с жалобами на головные боли, нарушение сна и иные симптомы, возникшие из-за постоянных звонков коллекторов.
1 Апелляционное определение Московского городского суда от 14 июня 2019 г. по делу № 33-25479/2019.
2 Определение Новосибирского областного суда от 21 января 2014 г. по делу № 33-383/2014.
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
Драться – плохо. Но если дерешься – побеждай!
(из х/ф «Парень-каратист»)
Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:
«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»
И так с десяток звонков ежедневно, включая выходные.
Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:
«Еще раз спрашиваю, вы – Наталья Михайловна?»
Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.
Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.
Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.
Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?
Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.
Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы 1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.
Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях.
Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.
Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:
- если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».
В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.
Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).
(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)
Как происходит утечка персональных данных?
Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.
В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.
Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.
Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.
Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.
Какими могут быть последствия утечки данных?
В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций.
Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.
Что делать, если в распространении личной информации виноват банк?
Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.
Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:
- подтверждение факта обработки персональных данных оператором;
- правовые основания обработки данных;
- цели и применяемые оператором способы обработки данных;
- наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
- обрабатываемые персональные данные и источник их получения;
- сроки обработки данных, в том числе сроки их хранения;
- информация об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.
После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.
Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.
Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.
«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер.
Силой закона.
1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).
Как реагировать на утечку персональных данных клиентов
Из новостей мы нередко слышим о крупных утечках персональных данных. Но что делать, если это случилось в вашей компании?
Грамотное реагирование на подобные инциденты требует серьезной подготовки. И хотя это не избавит вас от всех негативных последствий произошедшего, но может значительно уменьшить ущерб.
Как утекают данные и почему это опасно?
Сценарии утечки персональных данных и связанные с этим риски индивидуальны для каждой компании и зависят от специфики ее деятельности, используемых технологий, внедренных механизмов защиты и др. Причинами утечки могут стать, например, деятельность хакеров, ошибочное или злонамеренное действие сотрудника.
Последствия для клиентов, конфиденциальность чьих данных была нарушена, во многом зависят от состава раскрываемой информации. Мошеннические действия от имени пострадавшего, спам, шантаж, дискриминация (например, в результате раскрытия сведений о заболеваниях) – вот далеко не полный их перечень. Убытки может понести и компания, которая допустила утечку данных.
Снизить негативный эффект помогает продуманное и оперативное реагирование, а потому к утечке нужно быть готовым.
Почему важно реагировать на утечку персональных данных?
Уменьшение оттока клиентов
Согласно исследованию PwC в России, потребители обеспокоены атаками и хотят знать о них. Так, 89% опрошенных согласны, что компании должны извещать о таких атаках клиентов и общественность. 88% участников исследования не будут покупать у компании товары и пользоваться ее услугами, если не верят, что та ответственно подходит к защите персональных данных своих клиентов.
Чем более открыто и профессионально компания действует при утечке, тем меньше будет отток клиентов. Это особенно важно для организаций, работающих в здравоохранении, фармацевтике, сфере услуг и технологическом секторе, где изначально велика вероятность оттока клиентов в подобных случаях.
Уменьшение размера санкций
Если компания подпадает под действие GDPR – Общего регламента о защите персональных данных, то некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты.
Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.
Вместе с тем своевременное реагирование поможет уменьшить вред, причиненный людям, чьи данные были раскрыты, что может сказаться на размере штрафа. Примером служит следующий случай: немецкая социальная сеть известила надзорный орган в Германии об утечке персональных данных 330 000 пользователей, произошедшей в июле 2018 г. Компании назначили относительно небольшой штраф в размере 20 000 евро благодаря взаимодействию с регулятором, открытости и готовности улучшать меры защиты.
Уменьшение размера возмещаемого ущерба
Если вы оператор персональных данных, может потребоваться возмещение ущерба клиентам. Если вы обработчик данных по поручению, на это вправе рассчитывать ваш заказчик – оператор персональных данных. Размер компенсации будет зависеть от понесенного ущерба.
При этом состав мер реагирования может предусматривать действия, направленные на уменьшение вреда, причиненного клиентам. А это повлияет на сумму компенсации.
Уменьшение потери стоимости компании
Некорректное реагирование на утечку способно усугубить ситуацию. Доверие инвесторов может быть потеряно так же, как и доверие клиентов. По данным британской исследовательской компании Comparitech, утечка оказывает долгосрочный негативный эффект на стоимость акций.
С чего начать?
- Даже представление о том, что относится к персональным данным, а что нет, может быть разным у сотрудников компании. Необходимо создать единый центр компетенций. Это не обязательно должен быть отдел или выделенная рабочая группа. Для небольшой организации достаточно одного опытного человека. Главное, чтобы он обладал авторитетом, необходимым для обеспечения единого подхода к защите персональных данных.
- После следует структурировать информацию о процессах обработки персональных данных: кому они принадлежат, в каких бизнес-процессах обрабатываются, для каких целей, в каком составе и т.д. Составление такого реестра – непростая задача, но с момента его появления управление процессами обработки и защиты данных значительно упрощается.
- При составлении реестра нелишним будет указать внутренние и внешние заинтересованные стороны. Внутри компании это могут быть, например, бизнес-владельцы данных, юристы и маркетологи, вовне – клиенты, контрагенты, надзорные органы. Это пригодится при построении процедур реагирования.
- Важно выявлять события, указывающие на возможную утечку. Без налаженных процедур идентификации об эффективных ответных действиях не может быть и речи. Невозможно реагировать на событие, о котором не знаешь.
Как выявить события, сигнализирующие об утечке?
Если есть возможность использовать технические средства – используйте их. Могут быть полезны DLP-системы, инструменты анализа логов информационных систем и прочие средства мониторинга.
В то же время важно помнить, что определяющим успех фактором является не наличие программного обеспечения, а актуальная информация о процессах обработки персональных данных, событиях, указывающих на утечку, и регулярный их анализ.
Работа с обращениями
Сотрудники, клиенты и другие люди могут рассказать об утечке. Необходимо дать им такую возможность. Желательно, чтобы канал коммуникации был анонимным и максимально простым.
Важно, чтобы внешние каналы можно было легко найти, внутренние должны быть известны всем сотрудникам.
Не стоит забывать и про контрагентов. Требования о своевременном информировании представителей вашей компании о нарушениях безопасности персональных данных должны быть включены в договор.
Мониторинг информационного пространства
Существуют программы, которые по ключевым словам собирают публикации в СМИ. Это не только интернет-СМИ, но и офлайн-периодика, радио и телеэфир, а также социальные сети. Такой мониторинг позволяет выявить утечки, которые пока не идентифицированы другими способами, и своевременно на них отреагировать.
Представители вашей компании могут действовать в роли лиц, покупающих персональные данные ваших клиентов. Зная о том, какие именно данные покупают, и системы, где они обрабатываются, вы можете отслеживать, кто обращался к этой информации, и таким образом выходить на злоумышленников. Этот метод применим не всегда, но в определенных случаях может быть очень эффективным.
Как работать с утечкой внутри компании?
Правильно классифицировать инциденты
Все обозначенные ранее методы направлены на выявление признаков утечки. Но не каждый инцидент, касающийся информационной безопасности, будет связан с нарушением конфиденциальности и реальной утечкой персональных данных. Если одинаково реагировать на все, то времени на по-настоящему критичные случаи может попросту не хватить.
Сформировать кросс-функциональную группу
Для уточнения информации о произошедшем событии может потребоваться вовлечение смежных подразделений, в первую очередь центра компетенций по персональным данным. Состав группы реагирования и критерии вовлечения тех или иных лиц должны быть определены заранее. И слово «заранее» ключевое, когда мы говорим об эффективном реагировании.
Заранее определить порядок реагирования
Он должен быть настолько подробным, насколько возможно. Это позволит сократить время, затрачиваемое на принятие необходимых мер. Порядок действий следует тестировать как непосредственно при внедрении, так и позже в формате учений.
Особенно если данные процедуры задействуются редко.
Контролировать промежуточные сроки
На каждом этапе реагирования должен быть определен ответственный сотрудник, который будет контролировать промежуточные сроки. Своевременная идентификация заминок позволит вовремя принимать компенсирующие меры и сократить общее время реакции.
Документировать принимаемые решения
Это может пригодиться для демонстрации корректности мер реагирования регуляторам, а также для последующего разбора и оптимизации процесса внутри компании. Документирование всех нарушений безопасности персональных данных также является требованием GDPR.
Итоговая отчетность и принятие компенсирующих мер
Рекомендуется составлять отчетность по произошедшему инциденту и, что еще важнее, предпринимать действия для недопущения подобных событий в будущем, будь то реально произошедшая утечка или ложное срабатывание технического средства.
Кого необходимо уведомить об утечке?
Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе.
В России пока нет закона, обязывающего информировать надзорные органы об утечке персональных данных. Однако он может в скором времени появиться в связи с подписанием в октябре 2018 г. протокола о внесении изменений в Конвенцию Совета Европы о защите персональных данных, предусматривающего такую обязанность.
Важно помнить, что уведомлять, возможно, потребуется и органы, которые не связаны напрямую с персональными данными. Например, ФинЦЕРТ 1 , у которого есть собственные правила уведомления, или правоохранительные органы, если компания намерена привлечь нарушителя к ответственности.
В некоторых случаях сведения об утечке должны быть переданы клиентам, конфиденциальность данных которых была нарушена. Например, когда утечка может привести к высоким для них рискам (раскрытие медицинских сведений, данных для входа в систему интернет-банкинга и т.д.). Клиентам нужно предоставить детальную информацию о действиях, которые они могут предпринять, чтобы защитить себя.
Сообщение должно быть написано на простом и понятном языке.
Размещение информации в СМИ также может оказаться хорошей идеей, например, когда необходимо быстро проинформировать тысячи потерпевших, полный список которых сложно установить. Но этот инструмент с трудом поддается контролю и может серьезно навредить. Особенно если у вас пока недостаточно информации и ресурсов для того, чтобы ответить на возникающие у клиентов вопросы.
Требования об уведомлении могут предъявляться со стороны контрагентов или материнской компании. Важно не забыть и про собственных сотрудников: каждый должен знать, что вопросы от СМИ необходимо переадресовать в пресс-службу. Позиция компании должна быть единой.
Не запутаться в том, кому, в какие сроки и что именно сообщать, помогут меры, принятые на предыдущих этапах. Каждое сообщение об утечке должно быть адаптировано под целевую аудиторию. Заранее подготовленные шаблоны коммуникаций помогут сэкономить время.
При этом не стоит забывать: спешка и формальный подход не принесут пользы, а только навредят.
1 Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере – структурное подразделение Департамента информационной безопасности Центрального банка РФ.
Утечки персональных данных из банка: насколько это опасно и как защитить себя
Данные из банков утекают редко, но метко: опасность стать жертвой мошенников, получивших доступ к персональной информации, велика. Разбираем правила защиты со специалистом в области расследований Никитой Артемовым. Персональные данные — спорный термин. Под ним могут подразумеваться базы данных социальных сетей, списки сотрудников организаций, информация о клиентах интернет-магазинов и многое другое. И эти базы данных из разных компаний периодически «утекают». В связи с этим у обычного человека возникают вопросы:
- Почему такие утечки случаются?
- Какая информация может «утекать»?
- Насколько эти утечки опасны для каждого из нас и что с этим делать?
Разберемся по порядку.
Почему наши данные «утекают»
Утечки персональных данных из банков случаются намного реже, чем из небанковских организаций. Банки могут позволить себе ставить дорогостоящее программное обеспечение, которое сильно снижает риски утечек.
Многие считают, что банки подвергаются только атакам извне и всему виной хакеры. На самом деле обойти защищенный информационный периметр банка сложно и потому безумно дорого. Особенно когда конечной целью является получение базы данных клиентов.
Результаты расследований самых крупных инцидентов утечек говорят о том, что данные «утекают» именно по вине рядового персонала, который допускает ошибку либо осознанно продает информацию. Поэтому демонизировать «страшных хакеров» не стоит.
Какая информация может быть в утечках
Ценность любой «уплывшей» базы зависит от конкретных данных, которые в ней содержатся. Сведения о номерах карт или счетов клиентов в связке с Ф. И. О. по понятным причинам считаются очень ценными. Также в базе могут содержаться данные об остатках средств на счетах клиентов, что тоже полезно для реализации многих мошеннических действий в дальнейшем.
А вот ценность базы, которая содержит, например, только контактные данные (почта и номер телефона), название банка и Ф. И. О. клиентов, будет на порядок ниже.
Самую большую опасность несут «обогащенные» базы данных. Предположим, «утекли» данные из какого-нибудь банка и крупного интернет-магазина. Злоумышленник может дополнить общий «цифровой профиль» конкретного человека, используя данные двух баз, так как объект может одновременно находиться в обеих.
В этом случае из одной базы можно получить контактную информацию, а из другой — платежную.
В чем опасность
Векторов атак, доступных злоумышленникам после получения на руки базы персональных данных, не так много, как может казаться. Ключевой тип атаки — социальная инженерия. Рассмотрим два самых частых сценария.
1. Массовая фишинговая рассылка. Составляется письмо, внутри которого будет ссылка, ведущая на вредоносный ресурс (например, сайт, который просит ввести данные банковской карты или нечто подобное). Эффективность этого метода до сих пор составляет порядка 10—12%.
Это довольно большая цифра при условии того, что все слышали про такой тип мошенничества. «Второе дыхание» у фишинга открылось в последний год благодаря пандемии.
2. Вишинг. Это «легендированный прозвон», задача которого — сделать так, чтобы жертва сама сообщила нужную злоумышленнику информацию. Для увеличения доверия к мошеннику используются персональные данные, полученные из той самой утечки.
Соответственно, чем больше информации есть у злоумышленника, тем больше вероятность, что жертва поверит в «развод».
Полученные в результате фишинга и вишинга сведения могут быть использованы как для похищения денег со счетов, так и для оформления кредитов на жертву.
Пример из практики. В 2019 году один из моих клиентов случайно обнаружил у себя задолженность по платежам в нескольких кредитных организациях. Общая сумма долга составила более 350 тыс. рублей. Мошенники получили доступ к его персональным сведениям после утечки данных 900 тыс. человек клиентов Альфа-Банка, ОТП Банка и Хоум Кредит Банка в мае 2019 года.
Все кредиты на клиента были оформлены в нескольких микрофинансовых организациях ровно через сутки после той самой утечки, причем он одновременно являлся клиентом ОТП Банка и Альфа-Банка. Примечательно, что кусок базы, относящийся к Альфа-Банку, был составлен по жителям Северо-Западного федерального округа, в котором как раз и проживал мой клиент. В той утечке были паспортные данные, сведения о месте работы и номера телефонов. Для многих кредитных организаций этих данных вполне достаточно, чтобы оформить кредит дистанционно. В тех организациях, где необходимо прислать фото паспорта, злоумышленники пользуются сервисами, которые генерируют сканы паспортов.
Туда достаточно ввести данные паспорта жертвы.
К сожалению, для моего клиента эта история закончилась печально: доказать, что кредиты были оформлены без его ведома, не удалось, и ему пришлось самостоятельно погашать задолженность.
Как с этим бороться?
Повлиять на уменьшение числа утечек мы с вами не можем никак. Со стороны государства недавно начались подвижки в эту сторону за счет ужесточения ответственности и увеличения штрафов. Также в Госдуме недавно предложили законопроект, который позволит гражданам заранее отказываться от любых кредитов и не платить по ним, если их все-таки оформят. Правда, об эффективности этого проекта говорить пока сложно. Например, не ясно, на какие именно финансовые организации будет распространяться запрет.
Также всегда остается риск недобросовестных действий со стороны сотрудников этих финансовых организаций. И наконец, мошенники могут посредством того же вишинга получить доступ к учетным записям граждан на «Госуслугах» и снять запрет. В общем, такая мера может снизить число пострадавших, но полностью проблему не решит.
Что можете сделать лично вы?
Главный способ минимизировать возможный ущерб — быть внимательным. Нужно сразу же вешать трубку в случае звонка из любого банка. Лучше перезвонить самому на официальный номер и спросить, звонили ли вам из банка. В 99% случаев вам скажут, что никто не звонил.
То же касается и писем. Всегда проверяйте ссылки специальными сервисами, хотя бы банальным VirusTotal, а лучше вовсе не переходите ни на какие сайты с подозрительным содержанием. И в целом повышайте свой уровень знаний в области цифровой гигиены.
В современных реалиях это стало одним из важнейших навыков.
Никита АРТЕМОВ для Banki.ru
\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t
\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t
\n\t\t\t \n\t\t\t\t\u0412\u043e\u0439\u0434\u0438\u0442\u0435\n\t\t\t \n\t\t\t\u0438\u043b\u0438\n\t\t\t \n\t\t\t\t\u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u0439\u0442\u0435\u0441\u044c.\n\t\t\t \n\t\t \n\t»>’ >