Все на продажу, или ничего личного
Существует ли реальная возможность защитить личную информацию?
В середине ноября 2020 года на рассмотрение в Госдуму РФ был внесен законопроект, запрещающий компаниям использовать общедоступные персональные данные без согласия владельца. И предоставляющий пользователю возможность требовать удаления опубликованных персональных данных. Пример стран, ужесточивших использование персональных данных, показывает, что иначе со злоупотреблениями не справиться.
Закон, ужесточающий использование персональных данных, нужен, чтобы предотвратить возможность их перепродажи
Фото: Сафрон Голиков, Коммерсантъ / купить фото
Со счетов жертвы
«Процесс перехода банков в онлайн начался давно, пандемия лишь подстегнула и ускорила этот процесс. Поэтому и проблемы с персональными данными, связанные с переходом в онлайн, банкам давно известны. Единственное, что изменилось в связи с коронакризисом,— это участившиеся случаи хакерских атак. Их стало больше, они стали успешнее, методы их реализации — более изощренными»,— отметил Александр Ветколь, ведущий системный инженер компании Varonis.
Самыми распространенными проблемами в онлайне являются атаки типа Account Takeover, подразумевающие кражу учетной записи в рамках фишинга, схем социальной инженерии, утечки пользовательских данных у контрагентов.
«Реализуя подобные схемы, злоумышленник получает доступ к интернет- или мобильному банку пользователя, а значит, к средствам управления пользовательскими счетам и к персональным данным. В дальнейшем киберпреступники выводят средства со счетов жертвы, предварительно, например, закрыв вклады или оформив новый кредит»,— рассказал Антон Окошкин, технический директор BI.ZONE.
Громкие утечки в финансовом секторе за 2018–2020 годы
|
Источник: ГК InfoWatch.
«Еще одна проблема — это передача информации в каналах, востребованных клиентом, и это не интернет-браузеры, защищенные изначально, а мессенджеры, Telegram-каналы и т. д. В каждом из них свои подходы и принципы обеспечения безопасности, поэтому масштабировать уже решенную задачу в одном канале на все остальные на практике невозможно»,— рассказал Алексей Евтушенко, генеральный директор «СберСервиса».
Эксперты отмечают, что банкам сейчас стало сложнее выявлять мошеннические схемы. Обычно в этом помогали специализированные антифрод-системы, которые по заранее заданным параметрам, а также с помощью искусственного интеллекта отличали типичное для клиента действие от потенциально мошеннического. «Но эти заранее заданные параметры могут оказаться нерелевантными в условиях резкого перехода к цифровым каналам обслуживания. Так, до пандемии клиент мог снимать в отделении деньги, а онлайн оплачивал только 10% покупок. Теперь он оплачивает все свои покупки онлайн, что система может посчитать мошеннической схемой. Чтобы таких ошибок не возникало, банкам придется существенно переработать и требования к антифрод-системам, и параметры их работы»,— заметил Павел Лихницкий, генеральный директор DIS Group.
Перед банками сейчас стоит задача создать востребованный, комфортный и, главное, безопасный сервис, минимизирующий риск потери персональных данных.
Бесправие клиента
Эксперты подразделяют персональные данные о человеке на два условных типа: персональные и косвенные. К первому типу относятся Ф.И.О., номера телефонов, странички в соцсетях, паспортные данные. Обезличивание данной информации ведет к полной утрате ее ценности, так как «хешированное и обезличенное» Ф.И.О. несет в себе тяжелые внутренние противоречия.
Косвенные данные представляют собой IP-адрес, адрес электронной почты, не связанные с номером телефона, разрешение экрана, браузер и др. Данная информация используется для аналитических и статистических данных о потребителях того или иного сервиса, ее «обезличивание» является рабочим способом сохранить приватность данных пользователей.
«Если компания, которая собирает у своих пользователей данные первого типа, заявляет, что использует и передает их в обезличенном виде, скорее всего, пользователей вводят в заблуждение, успокаивая умными словами. Также почти невозможно доказать, что компания не хранит персональные данные в хешированном виде»,— отмечает Филипп Мищенко, руководитель практики GMT Legal.
Для чего банки выводят на рынок анонимные цифровые карты
Стоит отметить, что существует обратимое и необратимое обезличивание данных. В первом случае данные, с помощью которых можно идентифицировать субъекта (например, СНИЛС), заменяются условным идентификатором, в итоге сохраняется возможность обезличенные данные снова связать с конкретным человеком. При необратимом обезличивании идентифицирующие данные полностью удаляются.
Нередки случаи, когда после просмотра, например, машин на каком-нибудь сайте потенциальному клиенту начинает приходить много сообщений, звонков с предложением приобрести автомобиль и с информацией о разных акциях. У пользователя встает вопрос, как компании узнали его номер телефона, если он его не оставлял. Все просто.
Если пользователь посетил один сайт и не оставил контактных данных, рекламная система ищет совпадение по cookie с партнерским сайтом, на котором клиент когда-то регистрировался и давал разрешение на рекламную коммуникацию с третьими лицами (те самые галочки в регистрационной форме типа «Даю согласие…», которые практически никто никогда не читает). В итоге, как в нашем примере, автосалон, сайт которого посещал пользователь, получает его контактные данные.
Cookie matching позволяет собирать информацию о пользователе посредством его идентификаторов из разных областей. Поэтому один из способов защитить себя от лишних звонков — регулярно чистить cookie. Также эксперты рекомендуют пользоваться браузером в режиме инкогнито, так как в этом случае после закрытия вкладки все полученные данные и идентификаторы автоматически стираются.
Банки также передают персональные данные третьим лицам, однако с разрешения пользователя. Правда, об этом мало кто знает, так как никогда не читает соглашения об обработке персональных данных. Вот пункт из такого соглашения одного из крупных российских банков.
«В случае если Банк откажет в заключении договора потребительского кредита, Клиент дает согласие на передачу ООО ХХХ следующих своих персональных данных: фамилии, имени, отчества, даты рождения, сведений о документах, удостоверяющих личность, адреса электронной почты, номера мобильного телефона, а также сведений о доходе в целях получения предложения ООО ХХХ о заключении договора на оказание консультационных услуг по подбору финансовых услуг. При этом ООО ХХХ вправе осуществлять обработку вышеуказанных персональных данных Клиента путем осуществления следующих действий или совокупности действий (с использованием средств автоматизации или без использования таких средств): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение».
Банк также указывает, что клиент может в любой момент отозвать свое согласие.
Благие цели прибыли
Компании, в том числе финансовые, активно используют собираемые ими персональные данные клиентов. И с благими целями, и с целью извлечения дополнительной прибыли.
К благим целям можно отнести использование персональных данных для обеспечения безопасности клиента. Например, пользователь онлайн-банка получает сообщение о том, что вход в систему произведен с нового незнакомого устройства, и предлагает подтвердить дальнейшую работу.
«Банки отправляют подобные предупреждения, потому что они хранят информацию о таких вещах, как IP-адрес клиента или методы шифрования маршрутизатора. Если данные, которые они собирают, не соответствуют типичным записям активности, они отправят эти предупреждения в качестве меры защиты»,— отметил Джим Пендергаст, старший вице-президент altLINE, подразделения The Southern Bank Company.
Данный способ проверки основан на так называемых fingerprint (отпечатках) данных, когда различные параметры сливаются в единое целое и получается уникальный идентификатор пользователя.
Цели использования персональных данных для зарабатывания денег можно разделить на два вида: для повышения эффективности собственных маркетинговых компаний (и, соответственно, увеличения уровня доходов) и для получения дополнительного дохода от продажи информации сторонним компаниям. Если с первым типом все понятно (данные используются для внутренних целей), то на втором остановимся поподробнее.
Банки во всем мире пытаются монетизировать информацию о клиентах и создают платформы обмена данными с партнерами, в рамках которых предоставляют (пока) анонимные данные о расходах своих потребителей. Если у клиента есть ипотека в банке, то он (банк), вероятно, упакует ее и продаст строителям, дизайнерам интерьеров, малярам, ландшафтным дизайнерам, агентам по недвижимости, оценщикам и другим заинтересованным лицам.
Также банки продают данные ритейлерам, которые создают на их основе персонализированные предложения и актуальные рекламные объявления, учитывающие уровень расходов и привычки клиента.
Сбербанк не так давно заявил, что планирует продавать информацию о трансакциях своих клиентов, в том числе геоаналитику. В Японии финансовая компания Mizuho Financial Group также собирается заработать на предоставлении информации о потребительских привычках своих клиентов.
По оценкам компании Accenture, банки могут получить прирост доходов как минимум на 1–2%, если правильно наладят продажу данных.
«Банки не собираются упускать возможность нажиться на новой золотой лихорадке — торговле данными. Единственное, что мешает им широко развернуть такую деятельность,— это законы о защите прав потребителей»,— отмечает Томас Чемберс (CFP), вице-президент по исследованиям и развитию бизнеса The Stock Dork.
Стоимость данных зависит от их масштаба и детализации.
«Банки обычно используют комиссионный способ, когда производится оплата покупки. Они берут 10–15% от стоимости каждый раз, когда потребитель покупает продукт в результате целевой рекламы или рекламного предложения, основанного на данных банка»,— рассказал Нишанк Ханна, главный финансовый директор Clarify Capital.
Требования закона
Законы о защите персональных данных постоянно совершенствуются. Самый заметный шаг последних лет — принятие Европейского регламента защиты персональных данных, более известного как GDPR (General Data Protection Regulation), который, во-первых, внес серьезные изменения по части штрафов за нарушения порядка работы с персональными данными, во-вторых, дал пользователям возможность влиять на сбор и обработку своих персональных данных. Согласно этому закону, каждый гражданин ЕС в любой момент может обратиться к сервису, который запрашивал у него разрешение на обработку персональных данных, и отозвать свое согласие, а также потребовать удалить, изменить, предоставить ранее полученные данные и др.
США, в частности штат Калифорния, также расширили собственное законодательство о персональных данных, приняв Калифорнийский акт о защите данных потребителей (California Consumer Privacy Act — CCPA), который предоставляет расширенные права на управление и распоряжение собственными данными.
«В США очень немногие штаты признают широкое толкование «права на неприкосновенность частной жизни». Однако Калифорния расширила собственное законодательство о персональных данных, приняв CCPA (Акт о защите данных потребителей), расширяющий права пользователей в сфере распоряжения своими персональными данными»,— рассказал Дэвид Райшер, адвокат и генеральный директор LegalAdvice.com (США).
«Многим компаниям тяжело дается переход от довольно либерального законодательства о защите персональных данных к новым, более строгим и жестким регуляциям, что приводит к судебным искам, блокировкам в магазинах приложений и росту расходов на правильную организацию работы с персональными данными. Поэтому, по данным специалистов, многие компании до сих пор работают в серой зоне, балансируя на грани законного использования и получения таких данных, что является серьезной проблемой»,— добавил Филипп Мищенко.
Неизбежный риск
Персональные данные могут попадать третьим лицам не только посредством продаж, но и через утечки.
«В общем количестве выявленных утечек конфиденциальной информации в финансовом секторе лидируют США и Россия: на них приходится примерно по 25% всех случаев. Но во многом такое положение связано со спецификой поиска инцидентов: сообщения в базу утечек заносятся в основном на английском и русском языках. По 4% утечек пришлись на Индию и Великобританию. Доли более 1% (в произвольном порядке): Украина, Австралия, Индонезия, Канада, Япония, Китай, Южная Корея, Сингапур, ОАЭ, Вьетнам, Бразилия»,— отмечает Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch.
Специалисты указывают, что большинство потерь персональных данных происходит по вине (чаще по злому умыслу) сотрудников. Такой способ на профессиональном языке называется «социальная инженерия» (в контексте информационной безопасности).
«Какой бы надежной ни была защита от несанкционированного доступа к персональным данным, сам сотрудник эти данные и передает. Так происходит в каждой крупной компании во всем мире, и это неизбежно. Здесь возникает понятный вопрос о том, как полностью избежать утечки личной, конфиденциальной и другой информации и как защитить эту информацию от редактирования. К сожалению, на сегодня мы не можем обеспечить стопроцентную защиту от проникновения и от получения какой-либо закрытой информации посторонних лиц»,— заметил Даниил Ростовцев, основатель компании «Только высокие технологии».
Даже очень крупные финансовые организации могут подвергнуться рискам кражи персональных сведений. «Например, весной этого года база на 12 млн человек с паспортными данными, контактами и информацией об электронных кошельках оказалась в открытом доступе. Всех их объединяло то, что они оформляли микрозаймы в период с 2017 по 2019 год, причем под подозрение Роскомнадзора тогда подпал один конкретный финансовый маркетплейс»,— рассказал Юрий Орлов, директор департамента информационной безопасности QBF.
Подводя итог, можно сказать, что между законным и незаконным использованием персональных данных существует очень тонкая грань (по крайней мере в России в рамках существующего законодательства). Компании любыми путями (на первый взгляд законными) получают согласие от пользователя на продажу, передачу и т. п. информации третьим лицам. Базовая гигиеническая безопасность — очищение кэша, использование режима инкогнито и т. п.— только минимизирует риск потери персональных данных, но не обеспечивает защиту от потери личной информации. Для улучшения ситуации требуется ужесточение законодательства в данной сфере по примеру ЕС.