Опасные сети
Что грозит компаниям за беспечное обращение с данными пользователей
В конце апреля основатель Facebook Марк Цукерберг объявил о первом в истории соцсети масштабном преобразовании: он пообещал, что изменится не только дизайн станицы, но и уровень конфиденциальности. К этому моменту руководство соцсети уже несколько раз признавало утечку персональных данных своих пользователей. Но если в Европе и США Facebook и другим IT-гигантам грозят серьезные штрафы за «утерю» паролей и адресов электронной почты, то в России за такое нарушение нет строгой ответственности. Параллельно с этим мир потрясают скандалы, вызванные небезопасностью интернета вещей: взламывая «умные» устройства, злоумышленники превращают их в шпионов и даже получают контроль над финансами пользователей.
«Скандал на миллионы евро».
540 млн записей пользователей Facebook стали доступны для скачивания на открытой облачной платформе Amazon, сообщила в начале апреля австралийская компания по кибербезопасности UpGuard. Названия учетных записей, действия пользователей, их лайки и другую личную информацию собирала мексиканская цифровая платформа Cultura Colectiva: эта информация хранилась в облаке Amazon. База другой, уже не работающей площадки — приложения At the Pool — содержала имена, пароли, информацию о любимых фильмах и книгах, фотографии, а также адреса электронной почты 22 тыс. пользователей соцсети. Доступ к базам был закрыт уже после того, как журналисты Bloomberg предупредили Facebook об утечке.
Штраф Facebook выписало в конце 2018 года и Антимонопольное ведомство Италии, обязав соцсеть заплатить €10 млн за использование в коммерческих целях данных своих пользователей. Затем к числу стран, которые недовольны действиями соцсети, присоединилась Турция: управление по защите персональных данных оштрафовало Facebook на $270 тыс. за нарушения конфиденциальности фотографий пользователей. При этом большую часть суммы компания должна заплатить за то, что не приняла мер после того, как получила предупреждение о нарушении закона.
В будущем соцсети могут грозить новые выплаты: в апреле расследование против Facebook начала прокуратура Нью-Йорка из-за несанкционированного хранения электронных почт и контактных данных 1,5 млн пользователей. Перед этим Facebook призналась, что может непреднамеренно загружать контакты в электронных почтах пользователей, которые регистрировались в соцсети с мая 2016 года.
Помимо ущерба компании такие утечки непосредственно влияют на безопасность пользователя. Данные — особенно те, что связаны с платежной информацией,— могут монетизировать злоумышленники, поэтому интерес со стороны киберпреступного мира к ним по-прежнему высокий, рассказывает руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников. Личные данные пользователей могут использовать фишеры (технически подкованные злоумышленники): имея подробную информацию о человеке, намного легче провести успешную целенаправленную кибератаку как на него самого, так и в дальнейшем попасть в сеть компании, в которой он работает, добавляет эксперт.
Радионяня-шпион
Facebook не единственный IT-гигант, который сталкивается с проблемами, связанными с защитой и хранением конфиденциальной информации. Google и ее «дочки» также вынуждены защищаться от критики, вызванной утечкой персональных данных. Камеры видеонаблюдения, радионяни, дроны, «умные» колонки, бытовые приборы с выходом в интернет — эти устройства все чаще используют семьи по всему миру. Такие гаджеты становятся новыми мишенями для хакерских атак, особенно в США, где каждый третий потребитель владеет двумя и более устройствами для «умного» дома.
На рубеже 2018 и 2019 годов Америку потрясли скандалы, вызванные взломами камер фирмы Nest (принадлежит Google), установленных в радионянях. Например, в январе в Калифорнии американка Лаура Лайонс находилась дома, когда ее «умная» камера предупредила, что на Лос-Анджелес, Чикаго и Огайо были направлены три северокорейские ракеты. В сообщении говорилось, что США принимают ответные меры, а люди в зоне поражения должны быть эвакуированы в течение трех часов. Когда Лайонс включила телевизор, чтобы узнать подробности, то не нашла никакой информации о предстоящей атаке. Ничего о ней не знали и в службе спасения. После звонка в службу поддержки Nest женщина поняла, что стала жертвой хакерского взлома.
Если злоумышленники взломают устройство «умного» дома, то они могут долгое время записывать информацию о пользователях — таким образом, помощники под управлением мошенников становятся шпионскими устройствами, предупреждает аналитик ГК InfoWatch Андрей Арсентьев. Домашний интернет вещей может быть использован для дестабилизации комфортного существования: взломав «умные» датчики температуры, злоумышленники получают контроль над изменением климата в комнате, а взломанный «умный» замок кардинально меняет свою функцию и становится отмычкой к дверям дома, отмечает он. «Страшно представить, к каким последствиям приведет внешнее управление "умным" автомобилем или подключенным к сети кардиостимулятором»,— говорит эксперт.
После серии взломов устройств Nest в начале текущего года компания разослала своим пользователям предупреждение и попросила придумать «сильный» пароль к домашней камере видеонаблюдения и защитить ее двухфакторной аутентификацией.
Деньги пользователя могут оказаться под угрозой в том случае, если взломанные устройства интегрированы с платежными системами, при этом не требуют подтверждения трансакции, отмечают в InfoWatch. Если холодильник запрограммирован на автоматический заказ молока, то, когда в нем не останется ни одного пакета, теоретически возможно изменить параметры оплаты и совершить мошеннический платеж. Выход для пользователя здесь в использовании технологии токенизации: она позволяет совершать безопасные мобильные платежи путем шифрования данных, заключает господин Арсентьев.
Инциденты с нарушением прав пользователей в области персональных данных подтолкнули европейских законодателей начать заботиться о своих граждан: после четырех лет обсуждений в 2018 году в ЕС вступил в силу закон об усилении ответственности за нарушение в области персональных данных (General Data Protection Regulation). Санкции за его неисполнение грозят компании максимальным штрафом до €20 млн или 4% от глобального оборота компании. Из-за этого суммы, которые начали выплачивать компании, значительно выросли.
Заткнуть утечку
Говорить о том, какая индустрия больше всего страдает от утечек данных, сложно, так как личную информацию клиентов сегодня хранит и обрабатывает большое количество организаций, работающих совершенно в разных областях, говорит Юрий Наместников. При этом в России компании действительно стали аккуратнее относиться к обработке и хранению данных — это произошло после принятия законов «О персональных данных» и «О безопасности критической информационной инфраструктуры».
В 2018 году в мире наиболее громкие случаи утечек, связанные, в частности, с платежными данными пользователей, происходили в финансовых организациях и онлайн-магазинах, а также в ресторанных и отельных сетях, через которые ежедневно обрабатывают большое количество платежных данных пользователей, добавляет господин Наместников. Но защита собственных данных особенно актуальна для российских пользователей: если в Европе и США за утечку информации пользователей компаниям грозят большие штрафы, то в России такая практика еще не сложилась. И сами граждане не относятся к персональным данным с должным вниманием, и строгой ответственности за нарушение их хранения не предусмотрено, говорит адвокат Forward Legal Данил Бухарин.
Административный штраф в России значительно меньше, чем в Европе: для организации он ограничен суммой 75 тыс. руб., отмечает юрист. За весь 2018 год Роскомнадзор составил всего 30 административных протоколов в случаях, когда оператор персональных данных не обеспечил безопасные условия их хранения и это привело к неправомерному доступу к личной информации. Отдельный вид ответственности за нарушение требований к сбору и хранению персональных данных россиян — это блокировка иностранного интернет-ресурса по требованию Роскомнадзора и решению суда. Например, в августе 2016 года в России был заблокирован LinkedIn.
Более серьезные санкции предусмотрены в Уголовном кодексе, но к уголовной ответственности возможно привлечь только физических лиц. За неправомерное копирование персональных данных могут лишить свободы на срок до семи лет, однако доказать наличие состава такого преступления крайне сложно, подчеркивает господин Бухарин. Если же компания незаконно передаст третьим лицам персональные данные клиента, с нее могут потребовать возмещения убытков или компенсации морального вреда. Суды удовлетворяют подобные иски, но суммы взысканий небольшие: моральный вред оценивается не дороже 30 тыс. руб.