«Вечная течь»: как регуляторы борются со сливами персональных данных

Проблема утечки ПД пользователей социальных сетей и веб-сервисов все чаще обсуждается в СМИ. Вероятно, все слышали историю с аналитической компанией Cambridge Analytica, которая смогла заполучить персональные данные 87 млн пользователей Facebook (в том числе данные самого Марка Цукерберга).

Однако есть и менее известные кейсы с утечками ПД, масштаб проблемы которых ничуть не меньше. Разберем несколько примеров и поговорим, какие меры предпринимают регуляторы и IT-компании в попытках предотвратить подобные случаи.

ncogxtv4j-av5nlwn-jhi3altlc.jpeg
/ фото Mike Rickard CC

Ситуация с утечками персональных данных


В 2016 году число случаев кражи ПД увеличилось на 40%, по сравнению с годом ранее. В конце весны 2016-го хакеры выставили на продажу 360 млн учетных данных пользователей сервиса MySpace. Та же участь постигла 164 млн адресов электронной почты и паролей социальной сети LinkedIn и 100 млн «учеток» пользователей vk.com.

И «объемы» утечек только растут. Как отметили в компании InfoWatch, занимающейся вопросами ИБ, за первое полугодие 2017 года оказались скомпрометированы 7,78 млрд записей с персональной и платежной информацией пользователей интернациональных сервисов. Это почти в восемь раз больше, чем в первом полугодии 2016 года (1,06 млрд), и вдвое больше, чем за весь 2016 год (3 млрд). Причем за утечки становятся ответственными как хакеры, так и сотрудники компаний (умышленно или непреднамеренно).

Например, в утечке ПД пользователей Yahoo несколькими годами ранее оказались виноваты хакеры. В 2014 году они похитили персональные данные более чем 500 млн юзеров сервиса. Согласно заявлению компании, «утечь» могли имена, адреса и телефоны, а также даты рождения. Позднее выяснилось, что в 2013 имел место другой, более серьезный случай взлома, когда хакеры заполучили информацию более чем 1 млрд пользователей Yahoo, включая пароли и ответы на секретные вопросы.

А в случае с аналитической компанией LocalBlox, о котором стало известно пару месяцев назад, «слив» данных произошел по вине сотрудников компании. LocalBlox собирали данные о пользователях сразу нескольких социальных сетей — Facebook, LinkedIn, Twitter и Zillow. Среди этих данных числились: фамилия и имя, ссылки на аккаунты в соцсетях, адрес, дата рождения, почта и телефон, размер зарплаты, интересы и многое другое. Весь этот массив данных о 48 млн человек (его объем составил 1,2 терабайта) компания «оставила» в открытом хранилище Amazon. Его обнаружили сотрудники UpGuard, занимающейся вопросами кибербезопасности.

Нельзя обойти стороной и ситуацию с Equifax, которую называют «наихудшей утечкой». В 2017 году номера соц. страхования, кредитных карт и водительских удостоверений, которые хранило кредитное бюро, попали в руки злоумышленников. Всего пострадали 143 млн клиентов.

Известны и случаи, когда к утечкам ПД пользователей оказывались причастны брокеры данных. В 2011 году была взломана маркетинговая компания Epsilon. Тогда в сеть попали e-mail«ы миллионов людей, а их владельцы попали под серию фишинговых и спам-атак. А в 2015 году была взломана Experian. Хакеры «слили» личную информацию 15 млн пользователей.

Чтобы избежать снизить урон от подобных инцидентов в будущем, американские телекоммуникационные компании даже решили прекратить продавать брокерам геоданные клиентов. Подробнее об этом мы писали в одном из наших прошлых материалов в блоге.

Ужесточение норм — решение или новый виток противоречий


Многие мировые эксперты и политики сошлись на том, что прошлые кейсы утечек и краж демонстрируют необходимость ужесточения государственного контроля над процессами хранения, распространения и защиты ПД пользователей. Один из самых известных законов, принятых за последнее время, — это GDPR.

GDPR должен дать гражданам ЕС больше контроля за своими данными, которые запрашивают различные онлайн-сервисы. В частности, пользователи теперь могут запретить социальным сетям распространять персональные данные без своего ведома и требовать предоставления информации о том, как они используются.

В случае нарушения требований, компаниям грозят серьезные штрафы. Они могут достигать 20 млн евро или 4% годового оборота. Потому многие сервисы уже изменили свои политики конфиденциальности соответствующим образом и внедрили новые функции. Например, чтобы выполнить требования регламента GDPR, в WhatsApp добавили возможность запроса информации об аккаунте — это настройки, фото профиля, имена групп и др. А в Instagram анонсировали новую опцию загрузки данных. О других изменениях в политиках медийных компаний мы подготовили отдельный материал.

Также регуляторы устанавливают временные рамки, в пределах которых компания должна доложить о произошедшей «потере» персональных данных. По GDPR это «окно» составляет 72 часа после обнаружения «слива».

zqfab-7cyebqci4ikbtpdlkcfa0.jpeg
/ фото Descrier CC

В разных странах и даже в разных штатах Америки регуляторы устанавливают свои правила, касающиеся сообщений о произошедших инцидентах. Например, во Флориде и Колорадо регулятора необходимо уведомить в течение 30 дней с момента обнаружения утечки. При этом по данным исследований, сейчас у американских компаний в среднем уходит до 206 дней на то, чтобы обнаружить потерю конфиденциальной информации. Поэтому, как отмечают в исследовательском агентстве Ponemon, компаниям придется улучшить свои показатели.

Если компания скрывает информацию о произошедшей утечке или взломе, то она рискует получить крупный штраф. В конце апреля 2018 года Комиссия по ценным бумагам и биржам США заявила, что компания Altaba (в прошлом — Yahoo) должна заплатить штраф за замалчивание утечки персональных данных 2014 года. Размер штрафа (за умалчивание масштабов кражи, а не за сам факт её допущения) составил 35 млн долларов.

В России размеры штрафов за нарушения в сфере обработки ПД меньше. Однако в скором времени регулирование может пойти по стопам Запада. Власти страны планируют компании страховать риски утечки персональных данных. Судьба инициативы должна решиться уже в этом месяце.

Окажутся ли подобные правительственные проекты эффективными в долгосрочной перспективе, и как они повлияют на онлайн-жизнь пользователей, еще предстоит увидеть. Так как в этой сфере все же встречаются законопроекты, с которыми не все так однозначно. Как в случае с недавней реформой авторского права в ЕС, которая была отклонена Европарламентом на этой неделе.


P.S. О чем еще мы пишем в Первом блоге о корпоративном IaaS:
P.P. S. Посты по теме из нашего блога на Хабре:

© Habrahabr.ru