Большинство случаев утери конфиденциальных данных – вина их владельцев

Большинство случаев утери конфиденциальных данных – вина их владельцев

В среду СМИ сообщили, что поисковик Google проиндексировал несколько сотен документов российских федеральных ведомств, среди которых, в частности, ФАС, Счетная палата, Минэкономразвития. Ряд этих документов якобы имели грифы "для служебного пользования" (ДСП) и "секретно". Представители госведомств уже опровергли эту информацию, назвав ее "уткой" и заявив, что проиндексированные документы не содержат секретных сведений.

Как сообщили эксперты, опрошенные РИА Новости, документы под грифами "ДСП" и "секретно" вообще не должны находиться в открытых компьютерных сетях – это запрещено регламентом их обработки. В интернет такие документы могут попасть исключительно по халатности работающих с ними сотрудников. Однако случаи утери конфиденциальной информации вследствие ее небрежного хранения типичны – этим объясняется большинство инцидентов такого рода.

Статистика чужих ошибок

Случаи такого рода халатности госслужащих далеко не единичны, они происходят постоянно и во многих странах. Так, по данным общественной организации Privacy Rights Clearinghouse, в США с 2005 года зафиксированы более 2,5 тысячи случаев утечки частных или секретных данных в открытый доступ. Общее количество потерянных данных за этот период составило 535,3 миллиона записей. Чаще других утечки данных допускали компании (22,6%), образовательные (21,3%) и медицинские учреждения (20,2%). Большое число инцидентов имели место в правительственных и военных структурах, документация которых зачастую засекречена (18,5%), а также в финансовых компаниях (15%).

Только треть этих инцидентов связана с хакерскими взломами, мошенничеством или намеренным раскрытием инсайдерской информации. Остальные 65% вызваны небрежным обращением с данными самих пользователей – например, случайные публикации документов в сети, ошибки в адресах и номерах факсов при пересылке, а также физическая потеря и кражи информации на бумажных и электронных носителях.

В двух третях инцидентов с раскрытием информации по небрежности в США фигурируют правительственные органы, военные структуры, вузы и медицинские учреждения, хранящие большие объемы конфиденциальных данных о гражданах, пишет Privacy Rights Clearinghouse.

По данным компании-разработчика систем инфобезопасности SecurIT, в мире в 2010 году было зафиксировано 1014 крупных утечек закрытой информации, из них почти пятая часть – из государственных учреждений. Поскольку законодательство большинства стран (за исключением США и нескольких других) не обязывает сообщать о фактах утечки конфиденциальной информации, данные, учтенные исследованием, в реальности составляют примерно 0,1% от общего объема инцидентов такого рода, произошедших в прошлом году.

Самый "популярный" метод компрометации конфиденциальной информации - потеря или кража ноутбуков (22,5%). За украденными ноутбуками следует электронная почта (17,8%). Примерно 12,7% утечек произошло через бумажные документы, 12,6% – через носимые накопители (чаще всего флэш-карты памяти), 11,1% – через интернет. На хакерские нападения и случаи мошенничества приходится лишь около десятой части общего числа инцидентов.

Юридическая сторона вопроса

Действующее российское законодательство разграничивает три вида информации, в отношении которой устанавливаются особые защитные режимы -  государственная тайна, коммерческая тайна, а также персональные данные, пояснил РИА Новости старший юрист компании Lidings Сергей Патракеев.

С 1 июля 2011 года в России вступил в силу закон, который обязывает всех операторов персональных данных обеспечить защиту своих систем обработки данных, запущенных до 1 января 2011 года. Операторами персональных данных считаются все компании, хранящие информацию о сотрудниках и клиентах. Эти компании должны установить правила доступа к персональным данным, обеспечить регистрацию и учет всех действий, совершаемых в системе обработки персональных данных.

Гриф "секретно" устанавливается на носителях с информацией, отнесенной к государственной тайне. Произвольное использование грифа "секретно" для сведений, которые не относятся к гостайне, прямо запрещено законом, говорит эксперт.

Разглашение государственной тайны может повлечь за собой как административное, так и уголовное наказание. Причем к ответственности может быть привлечено только лицо, которому разглашенная информация была доверена по службе, тогда как граждан, распространяющих гостайны в интернете "по цепочке" после их утечки, привлечь к ответственности практически невозможно, поясняет Патракеев.

В этом состоит принципиальное отличие утечки государственных документов от предыдущих подобных инцидентов последних дней. Напомним, что 18 июля в открытый доступ попали SMS, отправленные с сайта компании "МегаФон", и номера их получателей. По словам юриста, в случае нарушения тайны переписки (массовое чтение чужих SMS-сообщений с помощью поисковой системы) либо неприкосновенности частной жизни (получение несанкционированного доступа к заказам граждан в интернет-магазинах) к ответственности можно привлечь как лицо, допустившее утечку персональных данных, так и лицо, способствующее распространению информации.

Утечки по небрежности

Проблемы, связанные с небрежным отношением к собственным документам или халатностью при хранении и обработке доверенной информации, усложняются пропорционально росту объема данных, доступных в интернете.

В августе 2006 года стало известно, что американский интернет-провайдер AOL по ошибке раскрыл базу данных со статистикой 20 миллионов запросов, которые в течение трех месяцев сделали 658 тысяч его зарегистрированных пользователей. Имена пользователей AOL не раскрыла, однако опубликовала их ID-номера, под которыми они учитывались в системе, и сгруппировала запросы и адреса просмотренных сайтов по каждому пользователю с указанием даты и времени поиска.

В октябре 2007 года департамент правительства Великобритании, ответственный за сбор налогов и выплату государственных пособий, потерял два CD-диска с данными о всех семьях в стране, получающих материальное пособие на детей.

В 2008 году GE Money - финансовое подразделение General Electric – потеряло записи с информацией о кредитных картах более 650 тысяч клиентов и 150 тысячами номеров социального страхования.

Одной из крупнейших утечек 2010 года стала потеря американской компанией ECMC Group персональных данных более чем 3,3 миллиона человек в результате хищения неизвестными лицами некоего портативного устройства, тип которого в интересах следствия не был назван.

В сентябре 2010 года в издании Advertising Age был опубликован внутренний документ компании Google, в котором содержалась информация о расходах крупнейших рекламодателей AdWords (системы контекстной рекламы Google) за июнь 2010 года. Тогда выяснилось, в частности, что 47 компаний ежемесячно тратят на контекстную рекламу в AdWords более 1 миллиона долларов.

Также в прошлом году компания Shell потеряла персональные данные более чем 170 тысяч своих работников, а Honda – данные о 2,2 миллионах американских покупателей автомобилей этой марки.

В ноябре 2010 года интернет-компания Google согласилась выплатить 8,5 миллиона долларов по иску, связанному с утечкой персональных данных пользователей через сервис Google Buzz.

Наконец, в марте 2011 года сотрудник британской нефтегазовой корпорации British Petroleum потерял ноутбук с личными данными 13 тысяч жителей штата Луизиана, которые подавали жалобы с требованием компенсации ущерба от разлива нефти в Мексиканском заливе. Данные включали список имен жителей Луизианы, потребовавших компенсацию от ВР, номера полисов социального страхования, адреса и номера телефонов.

Опасны ли соцсети

Около 22% россиян старше 18 лет боятся утечек персональных данных в сети, свидетельствует исследование, проведенное аналитическим агентством YouGov. При этом 38% опрошенных считают, что социальные сети "знают слишком много" об их онлайн-жизни. Государства как источника потенциальной утечки граждане боятся намного меньше - таких всего 14%.

Поводы для опасения действительно есть - среди крупнейших инцидентов с раскрытием информации в интернете прошлого года стала утечка персональных данных из крупнейшей в мире социальной сети Facebook, случившаяся в сентябре. Популярные приложения для этой социальной сети, имеющие доступ к персональным данным ее пользователей, без ведома передавали их как минимум 25 рекламным агентствам и компаниям, ведущим маркетинговые исследования. По данным на апрель 2011 года, почти 100 тысяч популярных игр и приложений Facebook непреднамеренно раскрывали личные данные пользователей третьим лицам.

Для усиления информационной защиты пользователей от несанкционированного доступа за последний год Facebook ввела ряд новых функций - от одноразовых паролей для использования на общедоступных компьютерах до возможности извлекать единым ZIP-архивом всю загруженную пользовательскую информацию, включая данные профиля и фотографии – это позволяет сохранить свои данные в случае потери доверия к ресурсу.

Пользователи Facebook получили возможность включить шифрование всего интернет-трафика между своим компьютером и сайтом Facebook, что уменьшает вероятность перехвата информации злоумышленниками.

Однако во многих случаях инциденты соцсети связаны не со взломом аккаунтов, а со сбором данных, открытых их владельцами - например, сайт знакомств Lovely-Faces.com скопировал данные четверти миллиона открытых профайлов в Facebook и разместил их как информацию о собственных пользователях.

В случае компрометации персональных данных клиента по вине компаний гражданин имеет право подать в суд, говорит руководитель комиссии по законотворчеству РАЭК, один из разработчиков закона о персональных данных Михаил Якушев. Однако прецеденты рассмотрения таких исков ему неизвестны.

Источник:
РИА Новости