https://ria.ru/20230809/vagner-1888893816.html

Милош Вагнер: не утекут только те данные, которых нет

Милош Вагнер: не утекут только те данные, которых нет - РИА Новости, 09.08.2023

Милош Вагнер: не утекут только те данные, которых нет

Обеспечение безопасности персональных данных в интернете уже много лет – большая проблема, у людей крадут не только "безобидные" почту и номер телефона, но... РИА Новости, 09.08.2023

2023-08-09T11:00

2023-08-09T11:00

2023-08-09T11:34

интервью

общество

технологии

россия

ирина андреева

федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (роскомнадзор)

федеральная налоговая служба (фнс россии)

https://cdnn21.img.ria.ru/images/07e7/08/08/1888888505_0:185:2981:1862_1920x0_80_0_0_9a1186fb20f322796d36b30d1eb12e36.jpg

Обеспечение безопасности персональных данных в интернете уже много лет – большая проблема, у людей крадут не только "безобидные" почту и номер телефона, но порой и всю жизнь: заводят фирмы для незаконной торговли, берут кредиты. Как сами граждане, а главное компании-держатели этой чувствительной информации могут защитить данные, почему не существует людей без цифрового следа, и куда обращаться, если у вас все-таки украли "личность", рассказал в интервью РИА Новости замглавы Роскомнадзора Милош Вагнер. Беседовали Эльвира Муравицкая и Ирина Андреева.– Скажите, сколько людей в России не имеет цифрового следа? Ведь есть же люди, которые не зарегистрированы в соцсетях, на Госуслугах, у них нет почты и кнопочный телефон образца начала нулевых?– Как говорится, если у вас нет мании преследования, это не значит, что за вами не наблюдают. Сейчас нет ни одного человека, про которого нет хоть какой-то информации. Вы точно когда-то обращались в государственный орган, получали документы, удостоверяющие личность и подтверждающие ваши права. Это уже информация о вас, ваш цифровой след. Даже если вы использовали кнопочный телефон, это тоже ваш цифровой след, потому что вы зарегистрированы как абонент, есть сим-карта, есть привязка к вашей геопозиции, ваши перемещения. Это все хранится в цифровой форме, вам не обязательно заходить на сайт в интернете. И эта информация может быть использована для того, чтобы повышать качество сервиса, может быть, это и обезличенные данные о вас в составе другой информации.Не хочу, чтобы у нас в обществе возникла более высокая тревожность по этому поводу, но в целом есть что-то, что находится вне контроля человека, с этим просто надо как-то жить.– Но некоторые люди считают, что если нет соцсетей, то про них никто ничего не может узнать.– Это уже личное убеждение каждого, насколько нужно быть открытым по отношению к друзьям, коллегам, к неизвестным, может быть, людям. Когда вы создаете профиль в социальной сети, то даже если вы считаете, что создаете закрытый профиль, о вас уже знают в самой социальной сети, которая, как правило, делится информацией со своими партнерами. Эта информация вас характеризует достаточно подробно. Учитывается все: и местоположение, и устройство, с которого вы заходили, и даже местоположение тех устройств, которые заходили к вам на страничку, и их предпочтения, в какие вы аккаунты заходили, в каких группах состоите, какой контент получаете. Это тоже формирует ваш цифровой образ. Если вы создаете какой-то чат, чтобы переписываться с двумя подружками, вы должны понимать, что теперь про вас знают чуть больше, и не только подружки.– Вы отвечаете за работу Центра правовой помощи гражданам в цифровой среде, который работает уже два года. Зачем он нужен? Сколько человек уже к вам обратилось?– Сегодня мы находимся в условиях, когда цифровая среда буквально нас окружает. Мы можем в один клик оказаться втянутыми в такие отношения, о которых мало что знаем. Зайдя на сайт или скачав приложение, вы согласились с рядом пользовательских соглашений, с договорами, которые не прочитали, потому что они объемные. Услуги, которые вы получаете, как правило, они комплексные, то есть, вас хотят окружить заботой целиком и полностью. Но когда что-то идет не так, выясняется, что вы находитесь в большом количестве гражданско-правовых отношений, и вы – слабая сторона этих отношений и нуждаетесь в поддержке. Центр как раз дополняет работу всех остальных ведомств по вопросам прав граждан в цифровой среде. Если сравнивать количество обращений, которое поступает в центр, в прошлом году за первые полгода было порядка 650 обращений, в этом году за первые полгода уже более 1600 – это говорит о том, что востребованность центра растет, и о том, что граждане начали больше ощущать на себе ту самую цифровую среду, в которой они ежедневно находятся.– Какие вопросы задают чаще, с чем связан наибольший объем запросов от граждан в центр?– Сами персональные данные как конечная цель действия злоумышленников нужны редко. В большинстве случаев жалуются на то, что принято называть мошенничеством – то есть, человек на какой-то уже терминальной стадии понял, что что-то пошло не так: на него оформили кредит, набрали займов, оформили какие-то документы, заключили сделки. И разобраться самостоятельно уже не получится. Почти половина обращений в центр как раз связаны с подобными неправомерными действиями. Нужно доказать, что в электронной среде, когда представлялись тобой, действия производил не ты. Это довольно сложно сделать, когда, например, была использована твоя учетная запись на Госуслугах, когда были введены твой логин, пароль. Поскольку это является надлежащим подтверждением личности у той стороны, то нет никаких оснований разрывать сделку. Каждый раз приходится собирать доказательства, общаться с правоохранительными органами, и, в конечном счете, в некоторых случаях даже обращаться в суд, чтобы признавать сделки недействительными.– Есть способ как-то защитить себя от таких проблем?– Для совершения таких операций достаточно ввести логин, пароль, поэтому мы рекомендуем, пока ничего не произошло, включить второй фактор аутентификации на Госуслугах, чтобы помимо логина и пароля нужно было подтверждение из смс или электронной почты. Завладеть двумя ключами гораздо сложнее.Кроме того, можно периодически проверять бюро кредитных историй – это можно сделать через те же Госуслуги: нет ли у вас займов, о которых вы не в курсе, пока к вам не пришли судебные приставы. Еще можно посмотреть на сайте ФНС, какие счета у вас открыты, иногда это тоже является признаком того, что от вашего имени кто-то действует.Сейчас у нас есть обращение, когда от имени человека запустили электронную подпись, зарегистрировали юрлицо, а он узнал об этом, когда налоговая привлекла его к ответственности за то, что он неправильно это сделал. Теперь в центре помогают восстановить его права.Другой пример из жизни центра еще печальней – обратилась женщина с тем, что ей начали поступать исполнительные листы о том, что она не платит штрафы за то, что она якобы занималась незаконной дистанционной продажей алкогольной продукции. Выяснилось, что действительно, ряд исполнительных производств открыт, ее счета опустошены практически. Дошло до того даже, что ее арестовывали. Почему так получилось? У женщины была очень трудная жизненная ситуация, и она выкладывала в открытый доступ свои персональные данные для сбора средств на лечение ребенка. Таким образом мошенники получили доступ к ее данным и зарегистрировали большое количество доменных имен, на которых, собственно, развернули незаконную деятельность.– Получается, что люди сами сначала выкладывают данные в открытый доступ, а потом оказывается, что ими воспользовались…– Мы сейчас находимся в таких условиях, когда вынуждены во многих случаях делиться своими персональными данными. В нашей воле только постараться это минимизировать. Но это не всегда зависит от человека – доступ к вашей учетной записи можно получить простым путем подбора пароля. Но есть случаи, когда действительно в ваших силах предотвратить доступ – те самые звонки мошенников, из "службы безопасности" или от "следователей", или еще от кого-то, которые выглядят как настоящие. Поэтому, кто бы ни звонил, если от вас просят какие-то коды из смс от банков, код карты с обратной стороны – это признаки того, что в отношении вас совершается что-то нехорошее. Прекратите разговор и самостоятельно через официальные источники свяжитесь с банком, полицией, кем представился звонящий.– Вы сказали, что жалоб стало больше. Как считаете, это связано с тем, что инцидентов по сути стало больше или с тем, что граждане узнали, что существует центр?– И то, и другое. Представьте, что вас кто-то обманул. Вы же перед тем, как обращаться в структуры, не являющимися государственными, 20 раз подумаете – поэтому определенное доверие сам центр должен был заработать, это, во-первых. Второе – это, конечно же, о нем стало известно. Самой цифровой среды за два года стало больше.В большинстве случаев у человека складывается ситуация, неожиданная и необычная для него, а у людей, которые занимаются этим ежедневно второй год подряд, как правило, есть алгоритмы действий, которые они могут предложить сразу.– А сколько в целом на сейчас утечек персональных данных в России?– Драматический рост утечек, который мы связываем с началом специальной военной операции, начался прямо с марта 2022 года. Пошли сообщения, каждый месяц по несколько, иногда даже десятки. Если за прошлый год было зафиксировано порядка 140 таких инцидентов, то за семь месяцев этого года их уже больше 150. С другой стороны, сам объем скомпрометированных данных стал гораздо меньше, раза в три, по нашим оценкам. Более того, по результатам взаимодействия операторами, у которых произошли инциденты, при расследовании административных дел, мы приходим к выводам, что даже утечки этого года – это так называемые "консервы" прошлогодних. Когда-то наворовали эти базы, а сейчас постепенно выкладывают частями, создавая ощущение, что у нас в России бесконечно что-то происходит не так.– Какие отрасли и компании чаще всего сейчас становятся жертвами утечек?– Утечки сейчас у всех подряд: до кого удалось дотянуться, у того и утекло, какой-то специализации мы не наблюдаем. Чаще всего это интернет-компании и интернет-магазины. На самом деле направленность только одна – чтобы это была российская компания, и чтобы там было что-то похожее на персональные данные.– Давайте поговорим об ответственности. Минцифры предлагало, что оборотные штрафы будут назначаться только в случае повторного нарушения. Часто ли вы фиксируете такие?– Давайте определимся, что мы будем понимать под повторными утечками. На наш взгляд, если компания два раза допустила утечку разных данных, это и есть та самая повторность. За последние два года было как минимум два таких случаях, о которых нам стало известно, одна – это из области ритейла, другая компания связана с логистикой. А по поводу введения ответственности, мы исходим из того, что конечно же те, кто взламывает системы и получает персональные данные и потом их размещает, конечно же, должны привлекаться – за это уже установлена уголовная ответственность. А для тех, кто не уберег данные своих клиентов-пользователей, обсуждается как раз тот самый законопроект об ужесточении административного наказания.Но ведь есть еще и те, кто эти данные, которые якобы находятся в общем доступе, начинают использовать, обогащая свои базы данных о клиентах, о потенциальных клиентах, контрагентах. Они делают это, зная, что это совершенно незаконно, понимая, что это может привести к очень негативным последствиям для человека. Причем, такие люди делают это осознанно, систематически, что вообще похоже на негласное наблюдение за человеком – а это прерогатива уполномоченных органов. Для сотрудников организаций, такого рода деятельности, мы считаем, должна быть введена уголовная ответственность.– Если говорить про защиту данных, ранее вы заявляли, что для повышения уровня их защищенности предлагается ввести доверенных операторов. Как это должно работать, на ваш взгляд?– Операторов персональных данных – те, кто обладает такими данными или направил уведомление в Роскомнадзор, на которых распространяется требование законов и так далее, – сейчас несколько миллионов. Это говорит о том, что контроль за ними будет всегда при любых обстоятельствах очень выборочный. Логика нашего предложения именно в том, что если ты набрал достаточно большое количество персональных данных, сведений о людях, то их компрометация уже может нести риски не только конкретному человеку. На основе анализа этих данных можно спрофилировать группу людей, можно сделать выводы о предпочтениях, поведении, а это уже риски, связанные с безопасностью общества. Поэтому вы должны гарантированно подтвердить, что выполняете все эти требования законодательства. Речь не идет о том, что с завтрашнего дня будут какие-то лицензии на обработку данных и что нельзя будет обрабатывать эти данные, если вы не спецоператор. Вопрос только в том, что вы теперь на особом счету должны быть.На наш взгляд, в большинстве случаев можно вообще избежать такого рода перехода к доверенному оператору, если соблюдать принципы в обработке персональных данных. Они в законе прямо прописаны, но поскольку не несут прямой административной ответственности и какого-то серьезного наказания, компании, как правило, ими пренебрегают. Если можете решить свою задачу, не собирая персональных данных, не собирайте их. Если все-таки нужно что-то знать о человеке: куда доставлять, как его зовут – собирайте по минимуму. И если все-таки собрали, то достигнув цели – удалите, если же вы уже доставили товар, уже деньги получили. А вот если вы после того, как достигли своей основной цели, для чего-то сохраняете всю эту историю, накапливаете эти данные ретроспективно, даже если уверены, что клиент больше никогда не придет – это ваша зона ответственности.– Сейчас все данные о человеке оператор хранит в одном месте, не разделяя их по группам. Насколько это безопасно?– С одной стороны, защитить одну комнату проще, чем 20 комнат. С другой стороны, если ворваться в эту комнату, в которой все имущество, то можно получить суперприз. С третьей стороны, нельзя настаивать на том, чтобы одинаковые рекомендации выполняли все. Операторы разные, специфика деятельности разная. Кому-то нужен повышенный отклик при обработке данных, и поэтому хранение в разных местах может разрушить бизнес-процессы. Но наши рекомендации заключаются в том, чтобы по возможности отделять идентифицирующие данные от транзакционных и иных сведений пользователей, чтобы затруднить восстановление данных, если хоть что-то будет утеряно, снизить вероятность каких-то рисков для человека и для бизнеса. Стол на одной ножке менее устойчив, чем на нескольких.Но, по нашим данным, многие операторы не разделяют эти базы по разным ячейкам, чтобы снизить те самые издержки на обеспечение безопасности. Одно дело, когда тебе нужно защитить 100 тысяч записей, другое дело, когда это десятки миллионов. Но если у тебя из десятков миллионов на самом деле очень чувствительных данных только 10 тысяч, то зачем тратиться? На наш взгляд, нужно начинать не с защиты собранной информации, а раньше, с того, чтобы выстроить процессы так, чтобы у вас этих данных как минимум как можно меньше оказалось изначально. Данные токсичны, и нужно от них избавляться. Не утекут только те данные, которых у вас нет. Это однозначно.

https://ria.ru/20230802/proverka-1887884346.html

https://ria.ru/20230807/moshenniki-1888539807.html

https://ria.ru/20230804/gosuslugi-1888261851.html

https://ria.ru/20230614/moshenniki-1877931554.html

https://ria.ru/20230807/ugrozy-1888730339.html

https://ria.ru/20221209/kiberbezopasnost-1837380585.html

https://ria.ru/20230602/utechka-1875852866.html

россия

2023

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

интервью, общество, технологии, россия, ирина андреева, федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (роскомнадзор), федеральная налоговая служба (фнс россии)