Современный человек делится информацией о себе почти со всеми: с онлайн-платформами, государственными структурами, частными компаниями. Эти данные могут утечь в сеть, а еще хуже – их могут украсть. Поэтому нужно уметь персональную информацию защищать.
О том, что такое утечка персональных данных и как ее предотвратить, CABAR.asia поговорил с Даной Буралкиевой из общественного Фонда «Еркіндік қанаты». Она независимая исследовательница, экспертка и тренерка по свободе выражения и защите персональных данных.
Что такое утечка данных?
Это разглашение конфиденциальной, защищенной либо чувствительной информации, которая попадает в открытый доступ из-за неправомерных действий. Чаще всего утекают именно персональные данные.
Что относится к персональным данным?
Это те данные, которые идентифицируют личность. Это может быть фамилия, адрес проживания, электронная почта, дата рождения, номера телефонов, почтовые адреса и в том числе ip-адрес (уникальный код любого устройства, подключенного к интернету).
Также в категорию персональных данных входит и финансовая информация: данные о банковских счетах, кредитных и дебетовых картах, информация о доходах и платежах.
Медицинская информация тоже в этом списке – это анализы и диагнозы, генетическая и биометрическая информация (отпечатки пальцев, сетчатка глаза, рисунок вен, голос).
Почему утечка биометрических данных страшнее, чем утечка другого вида персональной информации?
Потому что почтовый ящик или банковский счет можно сменить, а вот отпечатки пальце у человека одни и на всю жизнь.
«Представьте, что у вас есть доступ к важному помещению. Например, ваша квартира открывается с помощью отпечатка пальца. А потом система хранения и обработки, куда вы сдавали ваши отпечатки пальцев, была взломана. Теперь у злоумышленников есть доступ к вашим биометрическим данным, они могут скачать их или заменить ваши отпечатки своими, чтобы попасть в вашу квартиру», — приводит пример Дана Буралкиева.
Как предотвратить утечку персональных данных?
Очень важно не делиться своими данными со всеми подряд. Чаще всего люди предоставляют данные мошенникам, которые звонят по телефону, просят поделиться данными карточки, назвать код на обратной стороне и так далее, а после снимают деньги с этой карты. Ситуации осложнены еще и тем, что не всегда возможно найти виновников – часто они оказываются за пределами Казахстана, вне нашей юрисдикции.
Еще один важный пункт – это политика конфиденциальности тех организаций, которым вы свои данные предоставляете. С ней важно внимательно ознакомиться. Дана Буралкиева отмечает, что читать нужно всё.
На что нужно обратить пристальное внимание при прочтении политики конфиденциальности?
Важно прочесть, к каким приложением данное приложение просит у вас доступ. «Если у вас фонарик просит доступ к диктофону, то это уже немного странно», – говорит Буралкиева.
В политике конфиденциальности должны быть пункты, что сбор данных будет происходить только по вашему согласию. Допустим, когда мы скачиваем приложение на iPhone, то всплывает окно с уведомлением, что приложение хочет отслеживать вашу активность. В этом случае лучше нажать «не отслеживать».
Важный пункт в политике конфиденциальности — по защите данных. Например, что именно организация делает, чтобы утечка не произошла и какие меры будут предприняты, если это все-таки случится.
Откуда может утечь информация?
Дана Буралкиева рассказывает, что это могут быть абсолютно разные источники: и онлайн, и офлайн. Например, информация может утечь из онлайн-систем или баз данных. Это могут быть и телефоны, и флеш-карты, и компьютеры. Все эти системы могут взломать, а физические носители можно потерять или их могут попросту украсть. И если там хранится важная информация, например, финансовые данные либо ЭЦП (электронная цифровая подпись), то этой информация могут воспользоваться мошенники.
Что делать, если мои данные все-таки несанкционированно попали в сеть?
Во-первых, нужно оценить риски, чтобы понять масштаб утечки, а после утекшие данные нужно изолировать. Например, если у вас пропал физический носитель (флэш-карта или ноутбук), необходимо полностью его отключить от электронных онлайн-систем – приостановить доступ к этим данным, чтобы предотвратить дальнейшее распространение информации. Если данные утекли из компьютерной системы, то нужно принять меры для ее закрытия. Для этого необходимо связаться с той организацией, которая допустила утечку.
Во-вторых, необходимо обязательно проинформировать ответственные лица – например организацию, в которой вы работаете. Кроме того, нужно связаться с правоохранительными органами.
В-третьих, нужно понять, как эта информация использовалась. Дана Буралкиева называет это небольшим внутренним расследованием: выяснить, для чего и кому это было нужно, как эта информация будет использоваться против вас. Экспертка советует сформировать список мер, которые вы предпримете, если эту информацию обернут против вас. Это делается для того, чтобы вы заранее знали, как будете реагировать.
Как самостоятельно определить, кто спровоцировал утечку?
Это очень сложный процесс и сделать это самостоятельно, вероятнее всего, не получится. Дана Буралкиева рассказывает, что для этого нужны не только понимание законов и технической стороны проблемы, но и специальная аппаратура.
Но вот организация, хранившая данные, может самостоятельно проанализировать ситуацию — сами данные, которые были скомпрометированы, дату и период утечки, ее метод. Это поможет сузить список потенциальных источников. Однако лучше пригласить техспециалиста, который занимается кибербезопасностью.
Что делать, если утечка произошла через Chat GPT или другой сервис на базе ИИ?
Дана Буралкиева отмечает, что механизм по работе с последствиями такой же, как и с другими платформами: нужно написать в службу поддержки. После этого ненадежным ИИ-сервисом нужно перестать пользоваться.
«Более того, в случае утечки через ИИ, которые находятся не в юрисдикции Казахстана, законодательно себя защитить невозможно. Единственный способ защиты – это соблюдать правила кибербезопасности. Самое важное из них — не грузить важную информацию в искусственный интеллект, тем более персональные данные», – посоветовала экспертка.
Что делать, если информация обо мне утекла из частной компании или госструктуры?
С точки зрения закона «О персональных данных и их защите» разницы между ответственностью государственной и частной компании нет. Согласно этому закону, вы имеет право написать заявление на любую организацию, которой доверили информацию о себе, об утечке персональных данных.
Возможно ли удалить данные, которые утекли в сеть?
Дана Буралкиева рассказывает, что это очень сложная задача. Иногда — даже невозможная. Тем не менее необходимо связаться с хостом платформы, куда данные были слиты, и попросить их удалить. У них есть собственные процедуры, которые проводятся в таких ситуациях. И снова – сотрудничество с правоохранительными органами. Тем более, если утечка несет серьезные последствия или может быть связана с преступной деятельностью.
Предусмотрено ли наказание за утечку персональных данных?
Да. Есть как административная, так и уголовная ответственность и для физических, и для юридических лиц. Согласно статье 79 Кодекса об административных правонарушениях, существует наказание в виде штрафа. Уголовная ответственность идет в соответствии со статьей 147 о нарушении неприкосновенности частной жизни. Она предусматривает наказание либо в виде штрафа, либо ограничения или лишения свободы в зависимости от состава преступления.
К кому обратиться за помощью, чтобы устранить дальнейшую утечку данных?
Если есть ресурсы, то можно обратиться к компаниям, которые занимаются кибербезопасностью. Но зачастую с проблемами утечки данных, говорит экспертка, сталкиваются организации, у которых нет финансов на оплату специалистов по IT-безопасности. В этом случае можно обращаться в некоммерческие фонды, которые помогают решить проблему.
Эта публикация финансируется Европейским Союзом. Её содержание является исключительной ответственностью IWPR и не обязательно отражает точку зрения Европейского Союза.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.