«Вечная течь»: как регуляторы борются со сливами персональных данных
Проблема утечки ПД пользователей социальных сетей и веб-сервисов все чаще обсуждается в СМИ. Вероятно, все слышали историю с аналитической компанией Cambridge Analytica, которая смогла заполучить персональные данные 87 млн пользователей Facebook (в том числе данные самого Марка Цукерберга [1]).
Однако есть и менее известные кейсы с утечками ПД, масштаб проблемы которых ничуть не меньше. Разберем несколько примеров и поговорим, какие меры предпринимают регуляторы и IT-компании в попытках предотвратить подобные случаи.
[2]
/ фото Mike Rickard [3] CC [4]
Ситуация с утечками персональных данных
В 2016 году число случаев кражи ПД увеличилось [5] на 40%, по сравнению с годом ранее. В конце весны 2016-го хакеры выставили на продажу [6] 360 млн учетных данных пользователей сервиса MySpace. Та же участь постигла [7] 164 млн адресов электронной почты и паролей социальной сети LinkedIn и 100 млн «учеток» пользователей vk.com [8].
И «объемы» утечек только растут. Как отметили [9] в компании InfoWatch, занимающейся вопросами ИБ, за первое полугодие 2017 года оказались скомпрометированы [10] 7,78 млрд записей с персональной и платежной информацией пользователей интернациональных сервисов. Это почти в восемь раз больше, чем в первом полугодии 2016 года (1,06 млрд), и вдвое больше, чем за весь 2016 год (3 млрд). Причем за утечки становятся ответственными [11] как хакеры, так и сотрудники компаний (умышленно или непреднамеренно).
Например, в утечке ПД пользователей Yahoo несколькими годами ранее оказались виноваты хакеры [12]. В 2014 году они похитили персональные данные более чем 500 млн юзеров сервиса. Согласно заявлению компании, «утечь» могли имена, адреса и телефоны, а также даты рождения. Позднее выяснилось, что в 2013 имел место другой, более серьезный случай взлома, когда хакеры заполучили информацию более чем 1 млрд пользователей Yahoo, включая пароли и ответы на секретные вопросы.
А в случае с аналитической компанией LocalBlox [13], о котором стало известно пару месяцев назад, «слив» данных произошел по вине сотрудников компании. LocalBlox собирали данные о пользователях сразу нескольких социальных сетей — Facebook, LinkedIn, Twitter и Zillow. Среди этих данных числились: фамилия и имя, ссылки на аккаунты в соцсетях, адрес, дата рождения, почта и телефон, размер зарплаты, интересы и многое другое. Весь этот массив данных о 48 млн человек (его объем составил 1,2 терабайта) компания «оставила» в открытом хранилище Amazon. Его обнаружили сотрудники UpGuard [14], занимающейся вопросами кибербезопасности.
Нельзя обойти стороной и ситуацию с Equifax, которую называют [15] «наихудшей утечкой». В 2017 году номера соц. страхования, кредитных карт и водительских удостоверений, которые хранило кредитное бюро, попали в руки злоумышленников. Всего пострадали 143 млн клиентов.
Известны и случаи, когда к утечкам ПД пользователей оказывались причастны брокеры данных. В 2011 году была взломана [16] маркетинговая компания Epsilon. Тогда в сеть попали e-mail’ы миллионов людей, а их владельцы попали под серию фишинговых и спам-атак. А в 2015 году была взломана Experian. Хакеры «слили» личную информацию 15 млн пользователей.
Чтобы избежать снизить урон от подобных инцидентов в будущем, американские телекоммуникационные компании даже решили прекратить продавать брокерам геоданные клиентов. Подробнее об этом мы писали в одном из наших прошлых материалов в блоге [17].
Ужесточение норм — решение или новый виток противоречий
Многие мировые эксперты и политики сошлись [18] на том, что прошлые кейсы утечек и краж демонстрируют необходимость ужесточения государственного контроля над процессами хранения, распространения и защиты ПД пользователей. Один из самых известных законов, принятых за последнее время, — это GDPR.
GDPR должен дать гражданам ЕС больше контроля за своими данными, которые запрашивают различные онлайн-сервисы. В частности, пользователи теперь могут запретить социальным сетям распространять персональные данные без своего ведома и требовать предоставления информации о том, как они используются.
В случае нарушения требований, компаниям грозят серьезные штрафы. Они могут достигать 20 млн евро или 4% годового оборота [19]. Потому многие сервисы уже изменили свои политики конфиденциальности соответствующим образом и внедрили новые функции. Например, чтобы выполнить требования регламента GDPR, в WhatsApp добавили возможность запроса информации об аккаунте — это настройки, фото профиля, имена групп и др. А в Instagram анонсировали новую опцию загрузки данных. О других изменениях в политиках медийных компаний мы подготовили отдельный материал [20].
Также регуляторы устанавливают временные рамки, в пределах которых компания должна доложить [21] о произошедшей «потере» персональных данных. По GDPR это «окно» составляет 72 часа после обнаружения «слива».
В разных странах и даже в разных штатах Америки регуляторы устанавливают свои правила, касающиеся [24] сообщений о произошедших инцидентах. Например, во Флориде и Колорадо регулятора необходимо уведомить [25] в течение 30 дней с момента обнаружения утечки. При этом по данным исследований, сейчас у американских компаний в среднем уходит до 206 дней [26] на то, чтобы обнаружить потерю конфиденциальной информации. Поэтому, как отмечают в исследовательском агентстве Ponemon, компаниям придется улучшить свои показатели.
Если компания скрывает информацию о произошедшей утечке или взломе, то она рискует получить крупный штраф. В конце апреля 2018 года Комиссия по ценным бумагам и биржам США заявила, что компания Altaba (в прошлом — Yahoo) должна заплатить штраф [27] за замалчивание утечки персональных данных 2014 года. Размер штрафа (за умалчивание масштабов кражи, а не за сам факт её допущения) составил [28] 35 млн долларов.
В России размеры штрафов за нарушения в сфере обработки ПД меньше. Однако в скором времени регулирование может пойти по стопам Запада. Власти страны планируют [29] компании страховать риски утечки персональных данных. Судьба инициативы должна решиться уже в этом месяце.
Окажутся ли подобные правительственные проекты эффективными в долгосрочной перспективе, и как они повлияют на онлайн-жизнь пользователей, еще предстоит увидеть. Так как в этой сфере все же встречаются законопроекты, с которыми не все так однозначно. Как в случае с недавней реформой авторского права в ЕС [30], которая была отклонена [31] Европарламентом на этой неделе.
P.S. О чем еще мы пишем в Первом блоге о корпоративном IaaS:
- ПД в облаке: зоны ответственности заказчика и облачного провайдера [32]
- Как обрабатывать ПД в облаке [33]
- Что считать ПД с точки зрения российского регулятора [34]
P.P.S. Посты по теме из нашего блога на Хабре:
- Как обрабатывать ПД в РФ и не нарушать закон [35]
- «Ещё немного о ПД»: телекомкомпании США прекратят продавать геоданные клиентов [17]
- «Забудьте о GDPR»: реформа авторского права в ЕС может полностью изменить положение дел в Сети [30]
Автор: ИТ-ГРАДовец
Источник [36]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/personal-ny-e-danny-e/285384
Ссылки в тексте:
[1] данные самого Марка Цукерберга: https://www.rbc.ru/technology_and_media/11/04/2018/5ace6b6e9a79474b9d1bfbc7
[2] Image: https://habr.com/company/it-grad/blog/416463/
[3] Mike Rickard: https://www.flickr.com/photos/narshada/8101174824/
[4] CC: https://creativecommons.org/licenses/by-nd/2.0/
[5] увеличилось: https://www.bloomberg.com/news/articles/2017-01-19/data-breaches-hit-record-in-2016-as-dnc-wendy-s-co-hacked
[6] выставили на продажу: https://www.troyhunt.com/dating-the-ginormous-myspace-breach/
[7] постигла: https://motherboard.vice.com/en_us/article/4xaaxb/you-can-now-finally-check-if-you-were-a-victim-of-the-2012-linkedin-hack
[8] «учеток» пользователей vk.com: https://motherboard.vice.com/en_us/article/d7yyqv/another-day-another-hack-100-million-accounts-for-vk-russias-facebook
[9] отметили: https://infowatch.com/report2017_half
[10] оказались скомпрометированы: https://infowatch.com/news/6975
[11] ответственными: https://www.rbc.ru/technology_and_media/10/10/2017/59db57549a7947f8d8839ac3
[12] виноваты хакеры: https://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.html
[13] аналитической компанией LocalBlox: https://www.rt.com/usa/424620-48-million-social-leaked/
[14] обнаружили сотрудники UpGuard: https://www.upguard.com/breaches/s3-localblox
[15] которую называют: https://www.identityforce.com/business-blog/equifax-breach-impacts-143-million-steps-to-keep-your-identity-protected
[16] взломана: https://krebsonsecurity.com/2015/03/feds-indict-three-in-2011-epsilon-hack/
[17] прошлых материалов в блоге: https://habr.com/company/it-grad/blog/415589/
[18] сошлись: https://www.theguardian.com/commentisfree/2018/mar/19/facebook-data-cambridge-analytica-privacy-breach
[19] 20 млн евро или 4% годового оборота: https://gdpr-info.eu/art-83-gdpr/
[20] мы подготовили отдельный материал: https://habr.com/company/it-grad/blog/358728/
[21] должна доложить: https://www.cyberark.com/resource/gdpr-infographic-responding-72-hour-notification-personal-data-breach/
[22] Descrier: https://www.flickr.com/photos/descrier/35440117101/in/faves-142704596@N03/
[23] CC: https://creativecommons.org/licenses/by/2.0/
[24] свои правила, касающиеся: https://www.bakerlaw.com/files/Uploads/Documents/Data%20Breach%20documents/Data_Breach_Charts.pdf
[25] уведомить: https://www.law.com/legaltechnews/2018/06/06/new-colorado-law-sets-30-day-requirement-for-data-breach-notification/
[26] до 206 дней: https://www.itgovernanceusa.com/blog/how-long-does-it-take-to-detect-a-cyber-attack/
[27] должна заплатить штраф: http://money.cnn.com/2018/04/24/technology/yahoo-altaba-hack-sec-fine/index.html
[28] составил: https://www.sec.gov/news/press-release/2018-71
[29] планируют: https://www.vedomosti.ru/finance/articles/2018/01/15/747748-strahovat-riski-utechki
[30] реформой авторского права в ЕС: https://habr.com/company/it-grad/blog/414615/
[31] отклонена: https://habr.com/post/416265/
[32] ПД в облаке: зоны ответственности заказчика и облачного провайдера: http://iaas-blog.it-grad.ru/bezopasnost/zony-otvetstvennosti-zakazchika-i-oblachnogo-provajdera-personalnye-dannye-v-oblake-chast-3/
[33] Как обрабатывать ПД в облаке: http://iaas-blog.it-grad.ru/bezopasnost/principy-obrabotki-personalnyx-dannyx-personalnye-dannye-v-oblake-chast-2/
[34] Что считать ПД с точки зрения российского регулятора: http://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/
[35] Как обрабатывать ПД в РФ и не нарушать закон: https://habr.com/company/it-grad/blog/416131/
[36] Источник: https://habr.com/post/416463/?utm_source=habrahabr&utm_medium=rss&utm_campaign=416463
Нажмите здесь для печати.