Анализ мировой индустрии торговли персональными данными

Содержание

Введение 3

1 Теоретические основы торговли персональными данными 5

1.1 Понятие и сущность торговли персональными данными 5

1.2 Перспективы торговли персональными данными 9

1.3 Наиболее крупные случаи утечек и расценки на торговлю персональными данными 12

2 Оценка текущей ситуации торговли персональными данными 19

2.1 Общая характеристика текущей ситуации утечки и торговли персональными данными 19

2.2 Анализ текущей ситуации торговли персональными данными 21

2.3 Перспективы развития регулирования торговли персональными данными в России 24

Заключение 28

Список источников 30

Приложения 33

Введение

С каждым днем всё больше персональных данных людей поступают в доступ различных компаний. И многие из них, официально или нет, используют полученную информацию в коммерческих целях. В современном мире персональные данные это товар, имеющий свою цену. Этим товаром активно торгуют на черном рынке в Dark Web. Огромное количество случаев утечек персональных данных связано не только с разгильдяйством и безалаберностью вполне добропорядочных сотрудников, не имеющих злого умысла, но и с возможностью на этих самых данных не плохо заработать. Однако, даже если утечка произошла не из-за взлома хакерами или действий злонамеренных инсайдеров и данные попали в руки тех, кто не должен иметь к ним доступ, то все равно велика вероятность того, что эти данные позднее будут использованы злоумышленниками. Вышеизложенное определило выбор и актуальность темы исследования.

Соответственно, не так важно кто послужил причиной утечки, важен сам факт утечки. Большинство россиян прагматично относятся к своим персональным данным. Люди считают, что компании собирают о них больше сведений, чем они хотели бы им предоставлять. Число хакерских атак растет, а компании недостаточно защищены от этих угроз. Регулирование не защищает их персональные данные должным образом, а скорее мешает нормальной работе компаний и предоставлению ими услуг высшего качества.

Тем не менее люди продолжают пользоваться интернетом, замечая, что сегодня невозможно полностью отключиться от сети. Прагматичность россиян в подходе к своим персональным данным можно проследить по их пониманию роли данных в современной экономике. Сегодня мы не платим за многие услуги, которые получаем в интернете: за поиск информации, за электронную почту, за хранение наших данных в облаке, за общение в социальных сетях и т. д. Однако эти услуги лишь условно бесплатны: мы расплачиваемся за них своими данными, которые эти компании затем превращают в деньги, главным образом с помощью рекламы.

Регулирование в сегменте использования данных пользователей еще не сложилось и отстает от развития технологий не только в России, но и во всем мире, поэтому баланс интересов потребителей и компаний выстраивается сегодня, по сути, не на основе законов, а на основе прямого негласного договора между обществом и компаниями.

Целью исследования является анализ мировой индустрии торговли персональными данными.

Для достижения данной цели были поставлены следующие задачи:

- изучить понятие и сущность торговли персональными данными;

- изучить перспективы торговли персональными данными;

- исследовать наиболее крупные случаи утечек и расценки на торговлю персональными данными;

- дать общую характеристику текущей ситуации утечки и торговли персональными данными;

- провести анализ текущей ситуации утечки и торговли персональными данными;

- изучить перспективы развития регулирования торговли персональными данными в России.

Объектом исследования выступает мировая индустрия торговли персональными данными.

Предмет исследования - метод сравнительного анализа аналитических материалов в сфере обеспечения безопасности персональных данных.

Структура исследования включает введение, основную часть из 2 глав, заключение, список использованных источников и приложения.

В первой главе изложены теоретические основы торговли персональными данными.

Во второй главе дана оценка текущей ситуации торговли персональными данными.

1 Теоретические основы торговли персональными данными

1.1 Понятие и сущность торговли персональными данными

Персональные данные человека — это ценность. Сегодня их покупают и продают, их утечка рождает миллиардные судебные тяжбы. В федеральном законе № 152 [1], принятом в 2006 году, персональными данными называется «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Формулировка, с одной стороны, ясная, с другой — очень размытая. На деле границы понятия де-юре определяются де-факто. Они зависят от трактовки, разъяснения и судебной практики. В узком смысле персональными данными являются имя, фамилия и отчество человека, номера и серии его документов, адрес регистрации. В широком — это может быть и мировоззрение, и религиозная принадлежность, данные геолокации и даже генетический код. Более того, как видно из определения, персональными данными может считаться и информация, косвенно относящаяся к человеку.

Закон был ориентирован на бумажный документооборот, но стремительное развитие интернет-технологий привело к утрачиванию контроля за распространением персональных данных. Вопросы о правомерности обработки персональных данных все чаще решаются в суде. Из недавнего — судебные тяжбы между социальной сетью «ВКонтакте» и компанией ООО «Дабл». Камнем преткновения стал вопрос о том, допустимо ли использование пользовательских данных без их ведома третьими лицами.

На сегодняшний день в России, по данным Роскомнадзора, более 399 операторов персональных данных, и не все из них соблюдают закон. Персональные данные сегодня являются одним из самых дорогих продуктов глобального рынка, и за них идут настоящие судебные войны. В 2014 году британская аналитическая компания Cambridge Analytica при помощи приложения, разработанного научным сотрудником Кембриджского университета А.Коганом, получила доступ к персональным данным 50 млн пользователей социальной сети Facebook. Утечка была обнаружена только через год. За свою работу Алекс Коган получил $800 тыс.

Казалось бы, какие-то персональные данные. Пользователи их сами размещают в аккаунтах, однако аналитическая работа с большими массивами данных позволяет специалистам получить представление о массе прикладных вещей. Начиная от покупательной способности и семейном положении пользователей до мониторинга политических взглядов.

По данным ассоциации исследовательских компаний Esomar, мировой рынок онлайн-исследований оценивается сегодня в $13,7 млрд, российский — в $29,2 млн. Консалтинговая компания IDC оценивала мировой рынок big data к 2020 году примерно в $203 млрд против $130,1 млрд в 2016 году.

Способов получения персональных данных множество. Они могут утечь от официальных операторов, могут быть получены через социальные сети, их можно извлечь из последовательности мобильных операций по банковской карте или посредством скрытых функций приложений для смартфона. Специалист по безопасности Федерации исследований электоральной политики (ФИЭП) А. Абросимов рассказал о примере кражи данных. Его знакомая оформляла кредит в банке для покупки ноутбука. Специалист банка через включенный Bluetooth скрытно скопировал контакты адресной книги клиентки, и при первом случае задержки выплаты по кредиту на сутки всем, кто был в адресной книге, начали поступать звонки [5].

Одним из эффективных «повседневных» способов сохранения контроля за своей учетной записью и персональными данными при работе с интернет-ресурсами и приложениями является двухфакторная аутентификация. Она предполагает доступ на портал не только введением идентификатора, который может храниться в кэш-памяти, но с обязательным введением одноразового пароля, который приходит на телефон. Нужно помнить о том, что ваши персональные данные — это ценность.

Профессор Колумбийского университета А. Уэстин в 1968 году выступил перед частью конгресса США с речью об опасности для неприкосновенности частной жизни американцев кредитных бюро. Проблема была в том, что персональные данные клиентов легко оттуда утекали. Этим пользовались и банки, и рекламщики, и банальные мошенники. Нарушение конфиденциальности персональных данных было прямым нарушением закона о неприкосновенности частной жизни и ее анонимности. Речь Уэстина привела к правкам в законодательстве.

В августе этого года житель США (штат Калифорния) Н. Патаксил подал в суд на компанию Google, обвинив ее в незаконном сборе информации о передвижениях пользователей. Тем самым нарушался закон о персональных данных. Агентство Associated Press провело свое расследование, в котором выяснилось, что данные о геолокации и перемещениях пользователей собираются даже при выключенном телефоне. Google отвергла обвинения.

За примерами того, как нарушение конфиденциальности персональных данных влияет на жизнь, далеко ходить не надо. Телефонные звонки с неизвестных номеров, навязчивая контекстная реклама в интернете, различные «акции», которые будут выгодны именно нам, именно в эту секунду, стали частью современной жизни. Базы телефонных номеров, контактов, продаются в открытом доступе на рынках и в интернете. Есть сегодня и биржи персональных данных. По сути, за полвека ничего не изменилось.

В июле 2018 года российские банки начали создавать Единую биометрическую систему (ЕБС), которая позволит клиентам пользоваться их услугами удаленно. Идентификаторами будут служить голос клиента банка и его фото. Данные биометрии по запросу могут передаваться ФСБ и МВД. Общество встретило эти нововведения неоднозначно. Возникли опасения, что Россия идет по пути Китая, где собрана самая крупная биометрическая база и разрабатывается система социального рейтинга [13].

Директор по правовым инициативам Фонда интернет-инициатив А. Орехович считает, что и в России есть предпосылки для аналогичного опыта, однако они возникают скорее не благодаря, а вопреки правовому регулированию. Сейчас тоже есть ряд проектов, которые позволяют рейтинговать субъекта в зависимости от его поисковых запросов, от того, что он смотрит в интернете, куда он ездит, что постит на своей странице. Эта информация впоследствии может быть применена и при принятии решений о кредитовании в банковской сфере, и при приеме на работу. Такие проекты действительно существуют, но такая деятельность зачастую находится в окололегитимном поле.

Наше законодательство в этой сфере имеет ряд пробелов, и в каждом случае либо суд, либо контролирующий орган разбирается, действительно ли получение этих сведений нарушает права граждан. Во многом такие особенности связаны с тем, что наше законодательство не определяет четко, кому же принадлежат данные субъекта, кто имеет право принимать решения по вопросам их распространения, анализа, использования. В ряде случаев такая неопределенность позволяет действовать некоторым операторам данных по принципу «что упало, то пропало» — то есть в соглашения с субъектом закладываются права оператора «распоряжаться» по своему усмотрению теми данными, которые предоставляет субъект [20].

Вместе с тем Россия является членом Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Наше законодательство приведено в соответствие с этой конвенцией. По прогнозам директора Фонда интернет-инициатив, Россия пойдет в направлении регулирования оборота персональных данных по пути европейского законодательства, а оно сегодня движется в сторону наибольшего установления «принадлежности» данных самому субъекту.

1.2 Перспективы торговли персональными данными

Развитие технологий неизменно оказывает влияние на все сферы жизни людей. Так в 2008 году появился термин «Big Data», обозначающий разнообразные данные огромных объемов. Накопление у операторов данных больших объемов информации постепенно стало восприниматься как возможность извлечения дополнительной прибыли, при этом формально не допуская нарушения законодательства. Однако данные, особенно относящиеся к области финансов, зачастую становятся предметом интереса различных мошенников.

Люди зачастую не обращают внимания на то, как оставляют большому количеству компаний свои персональные данные. Мобильные сим-карты, скидочные карты магазинов, программы лояльности, запись на услуги через интернет и создание личных кабинетов на сайтах – информация о действиях клиентов есть у очень многих компаний. Особенно это стало проявляться с широким распространением интернета и социальных сетей, возникло такое понятие как «цифровой след» [4].

Следует отметить, что информацию, которая может продаваться, можно разделить на две категории. К первой будут относиться данные, предоставляющие информацию о передвижениях, транзакциях или других действиях, но при этом используются обозначения, коды шифрования и так далее, то есть личность не раскрывается. Сюда входит сбор данных сотовыми операторами, производителями операционных систем смартфонов и сбор MAC-адресов смартфонов через Wi-Fi. К последним внедренным инновациям в этой сфере можно отнести маяки IBeacon и подобные технологии активного сбора данных.

Отдельно здесь можно выделить сеть Интернет. «Цифровой след», оставляемый пользователями также становится предметом монетизации различными компаниями. По данным Cliqz и Ghostery, изучивших более 144 миллионов страниц, 77,4% сайтов имеют хотя бы один инструмент, собирающий информацию о действиях на страницах. Более 10% ресурсов используют одновременно более 10 таких счётчиков [11].

Сотовые операторы готовы предложить не только обезличенные данные об определенных группах своих клиентов, но и оказать услугу по доставке рекламного сообщения конкретным людям, подходящим под характеристики запроса заказчика.

Во вторую категорию включаются данные, раскрывающие персональную информацию и личности конкретных людей. Торговля, как и любой другой способ передачи третьим лицам в этом случае регламентируется законом.

В законе 152-ФЗ «О персональных данных» указывается, что к персональным данным относится любая информация, если таковой будет достаточно для идентификации определенного человека [1]. Даже пару имя и электронный адрес можно расценить как персональные данные. Далее в статье 7 указана обязанность компаний не раскрывать и не распространять данные третьим лицам без согласия субъекта. Нарушение закона грозит гражданской, административной, дисциплинарной, уголовной или иной ответственностью. А не допустить нарушения можно, получив письменное согласие граждан на обработку данных.

Под обработкой, согласно 3 статье 152ФЗ, в том числе подразумевается и передача (распространение, предоставление) данных. В случае же, если предложение оператора данных о продаже товара или услуги расценивается как публичная оферта, то принимая её субъект данных даёт согласие на обработку его персональных данных, указанных при заполнении заявки на покупку [13].

Зачастую компании собирают информацию, предоставляя какие-либо услуги в свободный доступ. Так, например, организация МаксимаТелеком, обеспечивающая Wi-Fi покрытие в метрополитене Москвы и Санкт-Петербурга, помимо показа рекламы при подключении, монетизирует данные о передвижении пользователей, использовавших Wi-Fi. В открытом доступе представлена презентация услуг компании и инструмента «MT_BOX», где демонстрируется, что можно сделать настройку таргетированной рекламы на тех людей, которые заходили, выходили или проходили мимо конкретной станции московского метрополитена [24]. Используются MAC-адреса, поэтому фактически в данном случае закон не нарушается, так как пользовательские данные не раскрываются.

Другой пример можно привести из банковской сферы. Компания Тинькофф предлагает через участие в своей программе кэшбэк доступ к таргетированной настройке рекламы на обезличенную аудиторию. То есть компания выбирает необходимые параметры, такие как возраст, пол, геолокации, покупательское поведение и так далее, а банк обеспечивает доставку персонального предложения кэшбэка до целевой аудитории [5]. Подобная монетизация данных также не противоречит закону.

В тоже время в связи с широким распространением «Дарквеб» или «Даркнет», позволяющей сохранять анонимность, всё больше мошенничества и нелегальной торговли персональными данными приходится на эту сеть.

Согласно данным исследования портала TOP10VPN стоимость полного пакета персональных данных человека в даркнет в среднем составляет около 1170 долларов США. Входят туда разнообразные данные, начиная от не представляющей особой опасности информации об аккаунтах Spotify, ASOS или Pizza Hut и заканчивая данными паспорта, банковских счетов и кошельков PayPal. Финансовые данные – наиболее дорогая категория, цена продажи здесь зачастую составляет около 10% баланса счёта. Так, за 300 долларов можно купить полный доступ к кошельку с суммой до 3000 долларов США. Фактические адреса, имена, номера социального страхования, дата рождения и другая персональная информация – всё это находится в продаже [16]. Схожие значения представлены и в исследовании компании Experian. PayPal 20200 долларов, аккаунты с подписками на различные сервисы от 1 до 10 долларов [7].

Рынок торговли геоданными и другой обезличенной информацией в ближайшие годы будет только расти, учитывая новые технологические возможности активного сбора статистики. Таргетинг по геолокациям, поисковым запросам и интересам станет точнее и эффективнее. В свою же очередь торговля персональными данными требует более тщательного контроля со стороны государства, особенно если информация касается финансового сектора.

1.3 Наиболее крупные случаи утечек и расценки на торговлю персональными данными

В рамках данного исследования был проведен обзор цен на персональные данные, документы, банковские карточки, аккаунты в различных платных сервисах [10]:

1. Персональные данные американцев: $0.5 - $1 за одну запись. Данные включают полное имя, адрес, дату рождения, телефон, эл. почту, номер карточки социального страхования.

2. Банковские карты VISA, MasterCard, AmEx с балансом до $10000: $150 - $600 за одну карту. Очень часто в цену входит и сама пластиковая карта с доставкой. Иногда доставка оплачивается отдельно, а бесплатно предоставляется только дамп.

3. Аккаунты PayPal с балансом до $10000: $130 - $850 за один аккаунт.

4. Безлимитные аккаунты Netflix, HBO , Showtime, Spotify, Pandora, UFC, E SPN и др.: $50 за один аккаунт.

5. Паспорта Великобритании, Германии, США, Франции, Австралии: $1700 - $2200 за один паспорт.

Metric Labs провели исследование и выяснили сколько стоят персональные данные (Приложение 1). Эта компания занимается изучением спроса и предложения на различные товары и услуги уже более 10 лет. В частности они провели исследование востребованности персональных данных и подсчитали сколько такая информация будет стоить в даркнете.

Мошенники покупают и продают в теневом интернете похищенные личные данные пользователей. Это не только данные кредитной карты. Сюда входят анкеты на различных онлайн сервисах и социальных сетях, которые тоже имеют доступ к личной информации. На момент написания данной работы персональных данных в даркнете может стоить около $ 1200.

Неудивительно, что данные кредитной карты относятся к числу наиболее продаваемых, знаете ли вы, что мошенники взламывают учетные записи Uber, Airbnb и Netflix и продают их не по 10 долларов США каждый? Кажется, что в теневом интернете цена есть у всего. Счет Paypal с положительным балансом привлекает самые высокие цены (в среднем 247 долларов США). Наименее востребована информация со взломанных аккаунтов сетевого питания Grubhub или американской торговой сети Walmart. Эти данные продаются менее чем за $ 10. Купить мошеннику логин и пароль от аккаунта какого-нибудь онлайн-магазина обойдется в 2-5 долларов. Вы только вдумайтесь насколько это дешево. Перекусить в какой-нибудь забегаловке и то будет дороже.

В среднем у человека несколько десятков учетных записей, которые формируют его онлайн-идентичность. Каждый из аккаунтов может быть взломан и продан. Эксперты по информационной безопасности Metric Labs рассмотрели десятки тысяч листингов на трех из самых популярных темных веб-рынков, Dream, Point и Wall Street Market. Эти ресурсы доступны только в браузере Tor, через который преступники анонимно продают похищенную личную информацию вместе со всеми видами контрабанды, такими как незаконные наркотики и оружие. Из исследования видно, что совокупность данных одного среднестатистического американца будет стоить около 1170 долларов [8].

Самые востребованные это данные кредитных карт и счетов, на которых есть деньги. Цены на продажу, как правило, составляют 10% от имеющегося на них баланса. Исследователи заметили, что есть повышенный спрос на счета Paypal, так как цена на них может быть гораздо выше.

Популярным типом листинга здесь является то, что известно как «Fullz». Эти пакеты «полной» идентифицирующей информации иногда также упаковываются с финансовыми реквизитами или продаются отдельно. В таких списках указано имя владельца, его адреса, девичьей фамилии матери, номера социального страхования, даты рождения и других персональных данных.

Удостоверение личности. Предпочтительной тактикой киберпреступников является создание кредитных линий под чужим именем. Вот почему мы видим всевозможные цифровые доказательства идентичности, которые торгуются, например, сканирование паспортов, самоубийство и коммунальные счета. Высокие цены отражают легкость, с которой такие предметы могут использоваться для совершения мошенничества.

Онлайн шопинг. Там может быть большой уступка в цене, но взломанные учетные записи онлайн-покупок предоставляют множество возможностей для мошенничества. Большинство людей сменили руки менее чем на 10 долларов, некоторые из них намного меньше. Хранение платежных реквизитов на счетах Amazon или Bestbuy может быть очень удобным, но это оставляет владельцев учетных записей открытыми для ряда мошенников, таких мошенников, которые заказывают дорогие предметы, чтобы продать их и забрать наличные.

Самые высокие цены на учетные записи, которые с наибольшей вероятностью предоставят доступ к более полной личной информации, а также к стоимости товаров, которые могут быть обмануты. Взломанные учетные записи eBay также особенно привлекательны, поскольку они не только позволяют преступникам обманывать покупателей, отправляя им деньги на поддельные листинги, но также покупают дорогие товары на средства владельца счета [5].

Путешествие. Купленный аккаунт Airbnb всего за 8 долларов открывает большие возможности для мошенника. Например, он может забронировать себе (или кому-нибудь еще) проживание в дорогих отелях. На аккаунте арендодателя хакеры могут подменить платежные реквизиты и деньги за аренду номера могут поступить на счет хакера. Конечно, Airbnb ужесточил меры безопасности, но на форумах продолжают писать о возникновении подобных случаев.

Тут стоит вспомнить и недавнюю историю про Uber. Кто-то купил взломанные аккаунты пассажиров Uber проживающих в Европе и США. Людям приходили счета за поездки в России, хотя они там никогда не бывали. Стоимость аккаунта Uber была около 7 долларов. Не стоит забывать, что мошенники могут отправлять фальшивые электронные письма от владельца взломанного аккаунта.

Развлечения. Как и в случае с большинством взломанных учетных записей, обнаруженных для продажи в даркнете, эти логины тоже используют для кражи личных данных. Дополнительный бонус заключается в том, что преступники могут также бесплатно передавать контент, по крайней мере до тех пор, пока истинный владелец не заметит, что их учетная запись, например, Netflix или Spotify была скомпрометирована. Низкая стоимость этих предметов отражает ограниченную емкость для повторного использования.

Связь. Взломанные учетные записи Skype были использованы для отправки спама, даже если была установлена двухфакторная аутентификация. Спам-сообщения иногда содержат фишинг-ссылки на популярные сайты, такие как LinkedIn и Baidu. Учетные записи мобильных телефонов — это сокровищница возможностей мошенничества, особенно с учетом использования SMS-сообщений, например, для проверки банковского счета. T-Mobile, представленный в списке со средней ценой $ 10,51, был недавно взломан [14].

Доставка. Недавно были пойманы мошенники, которые создавали сложные аферы, связанные с похищенными счетами Paypal и eBay. Они покупали дорогую электронику. Взломанная учетная запись DHL за 10,40 долларов может быть недостающим фрагментом головоломки, которая позволяет им получить доступ к товарам, которые они обычно перепродают.

Соцсети. Вход в Facebook стоит около 5,20 долларов США. Это примерно в 2 раза дороже, чем стоимость учетных записей в других социальных сетях. Фейсбук — это кладезь персональных данных. С помощью него мошенники могут получить доступ к другим счетам жертвы, поэтому он стоит гораздо дороже. Другие соцсети используются в основном для кражи личных данных и наличия компромата в личной переписке (интимные фото и прочее). Такие данные в сети лучше не хранить.

Электронная почта. На черном рынке, как и в обычной экономике, работают законы спроса и предложения. Даркнет наполнен буквально миллионами взломанных учетных записей электронной почты, соответственно и цены на них низкие.

Хотя получение доступа к электронной почте жертвы часто является критическим аспектом онлайн-мошенничества, он не так полезен сам по себе, как другие учетные записи. Детали кредитной карты обычно не хранятся там, а поиск личной информации в тысячах писем это довольно утомительное занятие, особенно, если оно не автоматизировано.

Безопасность в Gmail, такая как двухфакторная аутентификация и подозрительные предупреждения для входа в систему, снижают цену до 1 доллара по сравнению с другими почтовиками, так как несанкционированный доступ можно быстро заблокировать, что делает взломанные аккаунты бесполезными [9].

Знакомства. Аккаунты на сайтах знакомств являются самыми дешевыми, что отражает их ограниченное использование для преступников. Хотя взломанные учетные записи для знакомств, безусловно, можно было бы использовать для «сомаринга», классического совета, в котором мошенник принимает вымышленную личность, чтобы заманить свою жертву в отношения, чтобы использовать ее потом для извлечения финансовой прибыли. Некоторые эксперты считают, что дешевле и проще создавать фальшивые аккаунты, а не покупать их. Но это не означает, что такие данные продавать будут меньше. Хакеры будут продавать любую информацию, даже если ее ценность минимальна.

Рассмотрим наиболее крупные случаи утечек персональных данных за последнее время [22]:

1. Утечка данных затронула 300 000 пользователей генеалогического сообщества. Утечка данных затронула учетные записи 300 000 пользователей системы RootsWeb – крупнейшего онлайн-генеалогического сообщества. 4 декабря 2017 года аноним разместил на хакерском форуме файл с именами пользователей и паролями 300 000 пользователей сервиса. Анализ дампа показал, что информация была похищена с сервера rsl.rootsweb.ancestry.com, поддерживаемого крупнейшей генеалогической компанией Ancestry.com для бесплатного онлайн-генеалогического сообщества RootsWeb. Инцидент произошел в 2015 году. Ancestry.com проверила файл и подтвердила достоверность содержащейся в нем информации.

Из 300 000 учетных записей, примерно 55 000 использовались как на RootsWeb, так и на одном из сайтов Ancestry, и подавляющее большинство из них были для бесплатной пробной версии или в настоящее время не использовались. Около 7000 были учетными записями активных клиентов Ancestry. На специализированных форумах постоянно появляются базы с учетными данными различных сервисов.

2. Данные 123 миллионов американских домохозяйств хранились в открытом хранилище Amazon. Облачное хранилище Amazon, содержащее информацию калифорнийской компании Alteryx, занимающуюся анализом данных, были доступны в Интернет. В результате этого было обнаружено огромное количество персональной информации о 123 миллионах домохозяйств США.

Внутри хранилища находятся массивы данных Experian ConsumerView и результаты переписи населения США 2010 года, принадлежащие партнерам Alteryx - бюро кредитных историй Experian и бюро переписи населения США соответственно. В совокупности данные содержат миллиарды персональных деталей практически по каждому американскому домохозяйству. От домашних адресов и контактной информации, владения ипотекой и финансовых историй, до очень специфического анализа покупательского поведения.

Хранилище Amazon Web Services (AWS) S3, расположенное в субдомене «alteryxdownload» было настроено таким образом, что позволяло любому аутентифицированному пользователю AWS получить доступ к этому хранилищу. Аутентифицированный пользователь AWS это по факту любой пользователь, у которого есть учетная запись AWS. У Amazon уже насчитывается более миллиона таких пользователей. Регистрация для такого аккаунта бесплатна. Особую ценность представлял 36-гигабайтный файл с названием «ConsumerView», который имел расширение .yxdb.

3. 111 Гб внутренней информации о десятках тысяч клиентов Национальной кредитной федерации (National Credit Federation, NCF), службы кредитов в городе Тампа, штат Флорида, обнаружены в открытом доступе в хранилище данных Amazon S3 (AWS). Было обнаружено 47000 файлов, большинство из которых - PDF и текстовые документы, содержащие чувствительные данные клиентов NCF (Приложения 2 и 3). По самой низкой оценке, количество пострадавших клиентов NCF составляет порядка сорока тысяч человек [2].

Простейшим и весьма эффективным решением проблемы может служить регулярная инвентаризация данных. Такой процесс позволит выявлять те данные, которые попали в облачные хранилища случайно или намеренно, в нарушение политики безопасного хранения информации в компании, и хранятся в открытом виде. Давно существуют решения класса data discovery как самостоятельные продукты или компоненты DLP-систем.

2 Оценка текущей ситуации торговли персональными данными

2.1 Общая характеристика текущей ситуации утечки и торговли персональными данными

За январь–апрель 2020 г. количество случаев увеличилось более чем на треть. Немалая доля краж связана с пандемией — зафиксированы десятки инцидентов с утечками информации о больных с COVID-19, контактных лицах, нарушителях режима самоизоляции и туристах, вернувшихся из-за рубежа. Эти данные, как правило, распространяют в соцсетях и мессенджерах, в том числе сотрудники медицинских учреждений. Заболевшие при этом могут подвергаться травле.

Если в мире за первые четыре месяца 2020-го количество утечек персональных данных сократилось на 1% год к году, то в России — выросло на 38%, сообщили в InfoWatch. За январь–апрель в целом утекло 6,37 млрд записей, что на 5% меньше, чем в аналогичный период прошлого года. В России за это время было скомпрометировано 47 млн записей, что на 34% больше, чем за январь–апрель прошлого года [23].

Львиная доля инцидентов происходит по инициативе сотрудников компаний, на них приходится 80% всех случаев. Годом ранее доля умышленных утечек была на уровне 44%, сказали в компании.

В прошлом году объем украденных персональных данных россиян из баз организаций госсектора и частных компаний вырос в 6,5 раза в сравнении с 2018-м, добавили в InfoWatch. Всего в 2019-м было скомпрометировано 172 млн записей — больше, чем жителей в стране (146,7 млн человек, согласно официальной статистике на 1 января 2020 года). Почти треть всей украденной личной информации россиян в 2019 году — это паспортные данные (30,8%). Также злоумышленники активно похищают номера телефонов, иногда с детализацией разговоров, на них приходится 32,5% всех случаев.

С одной стороны, активизировались внутренние нарушители, которые почувствовали, что в цифровую эпоху данные стали ликвидным товаром на черном рынке и на них можно заработать. С другой — случаи нелегального использования персональной информации, в том числе в мошеннических целях, начали чаще выявляться благодаря развитию корпоративных систем безопасности и активной работе соответствующих служб.

Паспортные данные и телефонные номера крадут не столько из-за того, что это самая востребованная у злоумышленников информация, а скорее потому, что она распространена больше всего и есть много каналов, через которые она может быть украдена. Паспортных данных достаточно в том числе для того, чтобы помочь злоумышленнику провести успешную атаку с использованием социальной инженерии.

Сегодня внешний злоумышленник может проникнуть в сети 93% компаний и получить полный контроль над ключевыми системами, украсть конфиденциальную информацию. Телефонные номера и паспортные данные, особенно отсканированные копии документов, очень востребованы в дарквебе. Один отсканированный паспорт на теневом рынке киберуслуг может стоить от $2, а если к нему прилагаются сканы других документов, телефон, адрес и другие данные, цена существенно увеличивается [4] .

Эти данные активно используются в фишинговых атаках, мошеннических схемах и для таргетирования рекламы. Но возможны и более опасные варианты применения — например, злоумышленники могут зарегистрировать фирму или домен, арендовать сервер на чужое имя, проводить с него атаки. Поэтому всегда есть вероятность, что владелец утекших данных станет фигурантом дела об участии в кибератаках, — заключил он.

Немалая доля краж информации в этом году связана с пандемией коронавируса — зафиксированы десятки случаев утечек данных больных с COVID-19, контактных лиц, нарушителей режима самоизоляции и туристов, вернувшихся из-за рубежа во время эпидемии. Этой весной InfoWatch насчитала в России больше 20 инцидентов, связанных с пациентами с таким диагнозом. Виновниками часто могут быть сотрудники медицинских учреждений, утверждают в компании. Они распространяют персональные данные в мессенджерах и соцсетях. Утечки, связанные с заболеванием коронавирусом, показывают, что даже разглашение основной информации (имя, фамилия, контакты) может быть очень чувствительным для человека. Заболевшие, чьи данные разгласили, часто подвергались травле и преследованиям, отметили в InfoWatch.

2.2 Анализ текущей ситуации торговли персональными данными

За первое полугодие 2019 года Аналитическим центром InfoWatch зарегистрировано 1276 случаев утечки конфиденциальной информации [18] (рис. 1).

Рис. 1. Число зарегистрированных утечек информации, 2006-2019 гг.

Это на 22% больше, чем за аналогичный период 2018 года (1039 утечек). На графике представлена динамика количества утечек, начиная с первого полугодия 2006 г. Совокупный объем скомпрометированных данных составил 8,74 млрд записей, в том числе номера социального страхования, реквизиты пластиковых карт, иная критически важная информация. За аналогичный период 2018 года скомпрометировано 2,39 млрд записей.

Зарегистрировано 695 утечек информации, причиной которых стал внутренний нарушитель — 55,6% от общего числа зарегистрированных случаев. В 555 случаях (44,4%) утечка информации произошла из-за внешнего воздействия (рис. 2).

Рис. 2. Распределение утечек по вектору воздействия, 2019 г.

По сравнению с первым полугодием 2018 года наблюдается рост доли утечек, которые происходили под воздействием внешних атак. Этот рост составил 8,9 п. п. В первом полугодии 2019 года по вине внешнего злоумышленника («внешние утечки») скомпрометировано 4,02 млрд записей. Объем данных, скомпрометированных по вине или неосторожности внутреннего нарушителя («внутренние утечки»), составил 4,5 млрд записей. Как и в первом полугодии 2018 года, объем данных, скомпрометированных в результате действий внутреннего нарушителя, превысил объем данных, скомпрометированных в результате внешнего воздействия [16].

При этом по сравнению с данными первого полугодия 2018 года объем данных, пришедшийся на «внешние утечки», вырос чуть более чем в 7 раз. Объем данных, пришедшийся на «внутренние утечки», показал рост в 2,8 раза. Число зафиксированных «мега-утечек»11 также увеличилось вдвое — в исследуемом периоде зарегистрирован 41 случай, когда объем скомпрометированных данных превысил 10 млн записей, против 21 случаев за аналогичный период 2018 года.

На «мега-утечки» пришлось 8,51 млрд скомпрометированных записей (97% от общего числа). Менее чем в 2% случаев утечек в первой половине 2019 года зафиксирована вина руководителей организаций (топ-менеджмент, главы отделов и департаментов) — рис. 3 [18].

Рис. 3. Распределение утечек по источнику (виновнику), 2018-2019 гг.

Топ-менеджмент, как и непривилегированные сотрудники, склонен к нарушению установленных правил безопасности. Причем это касается не только незаконного распространения информации ограниченного доступа (собственно утечки данных) но и действий, которые прямо направлены на причинение ущерба работодателю (например, из мести) и ведут к блокированию или уничтожению данных.

Совокупная доля утечек персональных и платежных данных составила 85,1%. При этом на персональные данные пришлось 74,3% утечек (рост на 5,3 п. п. по сравнению с первым полугодием 2018 года). По сравнению с 2018 годом, снизилась доля утечек платежной информации, составив 10,8%. Заметно (на 6,5 п. п.) подросла доля утечек информации, составляющей коммерческую тайну.

Доля утечек государственной тайны в мировом масштабе незначительно сократилась [11] (рис. 4).

Рис. 4. Распределение утечек по типам данных, 2018-2019 гг.

Рост доли утечек информации, составляющей коммерческую тайну, как представляется, во многом связан с новым витком торговых войн (прежде всего между США и Китаем), распространением средств защиты данных, позволяющих собрать доказательства нарушения и добиться решения суда, например, в делах обладателей информации против своих бывших сотрудников или конкурентов. Как следствие, растет внимание к утечкам коммерческих секретов со стороны СМИ и общества.

2.3 Перспективы развития регулирования торговли персональными данными в России

Роспотребнадзор предложил запретить продавцам (в том числе владельцам агрегаторов) отказывать в заключении, изменении, расторжении или исполнении договора, если покупатель не хочет предоставлять свои персональные данные. Часто при совершении покупки через интернет (и в обычных магазинах) продавцы требуют составить договор или предоставить данные паспорта при получении товара. Предложенный Роспотребнадзором законопроект должен ограничить такие действия продавца.

Этот законопроект опубликован на сайте regulation.gov.ru. Он прямо запрещает продавцам, включая онлайн-магазины, требовать, чтобы потребитель предоставлял персональные данные при покупке товара или услуги. Исключение составляют случаи, когда необходимость этого сбора данных можно обосновать с точки зрения закона. Но даже в этом случае потребитель вправе потребовать от продавца письменного объяснения, для чего ему нужны персональные данные [71].

В случае если речь идет именно о таких случаях, законопроектом вносится следующая поправка. По требованию потребителя, предъявляемого в письменной форме (в том числе в форме электронного документа), продавец (исполнитель, владелец агрегатора) в течение семи календарных дней должен представить потребителю информацию о конкретных причинах и правовых основаниях, определяющих невозможность заключения, изменения, расторжения или исполнения договора без предоставления персональных данных.

Как отмечается в пояснительной записке авторами законопроекта, указанные нововведения призваны ограничить практику принудительного или непрозрачного, неосознанного сбора персональных данных потребителей для целей, не связанных с заключением и исполнением договора. Напомним, что новый закон о создании единого регистра информации о россиянах вступит в силу в январе 2022 г. Регистр будет содержать детальнейшую информацию о каждом гражданине России, включая базовые сведения (фамилия, имя, отчество, дата и место рождения и смерти, пол, реквизиты записи акта гражданского состояния о рождении и смерти, СНИЛС, ИНН) и дополнительные (семейное положение, родственные связи человека и т.д.).

По данным ФНС, основу нового ресурса составят более 500 млн записей актов гражданского состояния. При этом речь идет не только о гражданах России, но и об иностранцах, проживающих и (или) работающих в России. Вести базу будет ФНС. За ней же будет закреплена функция по защите персональной информации, содержащейся в общей базе. В 2018 г. был принят законопроект, устанавливающий ответственность интернет-агрегаторов товаров и услуг перед потребителями.

Владельцем агрегатора законопроект называет компанию или индивидуального предпринимателя, которым принадлежит специальное ПО или сайты, на которых потребитель одновременно может ознакомиться с предложениями продавца, купить товар или услугу, а также внести предоплату за товар. Как правило, многие из этих действий связаны с передачей личных данных потребителей.

Изменения вносятся в статью 16 закона от 7 февраля 1992 года № 2300-1 «О защите прав потребителей». Они соответствуют руководящим принципам Организации Объединенных Наций для защиты интересов потребителей, принятых Резолюцией Генеральной Ассамблеи ООН 22.12.2015 г., в числе которых защита личной информации и использование механизмов получения согласия на сбор и использования личных данных потребителей. Также изменения соответствуют п. 48 рекомендаций Совета Организации экономического сотрудничества и развития (ОЭСР) по защите прав потребителей в электронной торговле от 24 марта 2016 № C [15].

Согласно этим рекомендациям, компании должны защищать конфиденциальность потребителя, гарантируя, что их практика в отношении сбора и использования потребительских данных является законной, прозрачной и справедливой. Законопроект предусматривает также перечень недопустимых условий договора, ущемляющих права потребителей. К таким условиям могут быть отнесены, например: односторонний отказ от исполнения обязательства или одностороннего изменения условий обязательства хозяйствующим субъектом; нарушение права потребителя на свободный выбор территориальной подсудности споров; уменьшение размера законной неустойки; ограничение потребителя в средствах и способах защиты нарушенных прав; установление незаконных штрафных санкций или иных обязанностей (обременений) потребителя, препятствующих свободной реализации права, установленного статьей 32 настоящего Закона.

Так, например, условие договора, определяющее, что в случае расторжения договора по инициативе потребителя предоплата не возвращается, не соответствует положению статьи 32 закона «О защите прав потребителей» и нарушает право потребителя.

Данные поправки обусловлены тем, что за последние семь лет возросло количество нарушений, связанных с включением в договоры с потребителями условий, ущемляющих их права. Если в 2010 г. было выявлено более 6,6 тысяч таких нарушений, то в 2019 г. – уже более 10 тысяч. При этом в договоры с потребителями, как показывает правоприменительная практика, продолжают включаться условия, которые неоднократно признавались в судах недопустимыми [9].

Несмотря на ужесточение ограничений по сбору данных, в части их обработки Минэкономразвития предлагает напротив более свободные режимы. В июле 2020 г. Министерство вынесло на обсуждение экспериментальные правовые режимы для обработки персональных данных, предлагая законодательно закрепить возможность передачи персональных данных пациентов (результаты тестов, анализы, личные телефонные переговоры) третьим лицам.

Поправки относились к законопроекту «О внесении изменений в отдельные законодательные акты Российской Федерации» закона «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации» (в части развития технологий искусственного интеллекта и больших данных).

Заключение

По оценке PwC, в 2019 году мировая выручка от использования пользовательских данных достигла $300 млрд. Можно сказать, что раздражение потребителей зачастую вызвано ощущением, что баланс негласного договора нарушен и компании несправедливо наживаются на их данных, оставляя самих пользователей ни с чем. Возможно, самый простой способ для компании снять подобные опасения – начать делиться с потребителями доходами от использования их данных.

Правда, возникает вопрос определения ценности данных каждого отдельного пользователя, ведь они, разумеется, различаются. Так, при покупке Instagram и WhatsApp каждый пользователь был оценен в среднем примерно в $30, а при покупке сети профессиональных контактов LinkedIn, чьи пользователи по определению более экономически активны, средняя цена оказалась намного выше – около $260.

В целом россияне понимают суть современных экономических отношений: 78% согласны с тем, что компании собирают данные о пользователях только для того, чтобы извлечь больше прибыли. Это отражает психологическую готовность российских потребителей сделать следующий шаг и отнестись к своим персональным данным как к товару.

Так, самым популярным ответом на вопрос о том, как компания, допустившая утечку данных, может вернуть доверие респондента, был ответ: «Выплатить компенсацию клиентам, ставшим жертвами утечки информации». Этот ответ выбрали 47% россиян. И наоборот, две третьих россиян готовы платить компаниям за бóльшую сохранность своих данных.

Россияне разделяют отношение к их собственным персональным данным как к капиталу. Например, в качестве положительного примера защиты пользовательских данных они предлагают взять опыт банков: 93% полностью или частично согласны с тем, что их персональные данные должны защищаться так же, как защищается их финансовая информация. Напомним также, что именно банки лидировали в ответах относительно самых защищенных от утечек данных отраслей.

С начала пандемии COVID-19 наблюдается всплеск утечек персональных данных. Тенденция, по его словам, связана также с тем, что многие сотрудники компаний сейчас работают из дома, где меньше контролирующих технических решений.

В Positive Technologies добавили, что в I квартале 2020 года около 13% атак, в которых киберпреступники задействовали методы социальной инженерии, были связаны именно с коронавирусом. Жертвами становились и сотрудники компаний, и частные лица, обеспокоенные происходящим, в условиях засилья недостоверной информации.

Пандемия COVID-19 заставила людей оставаться дома и делать больше покупок через интернет, а владельцев бизнесов — срочно налаживать или расширять онлайн-продажи. При этом многие ритейлеры не были готовы к столь стремительному развитию событий и не имели возможности качественно подготовить инфраструктуру к обеспечению сохранности персональных данных. В России количество утечек еще долго будет расти. По его словам, ценность многих видов информации увеличивается, а уровень ее защиты не всегда достойный. Основная угроза по-прежнему будет исходить от сотрудников самих компаний, хотя также можно ожидать роста хакерских атак. При этом в глобальном масштабе возможна некоторая стабилизация по утечкам.

Законопроект предусматривал, что в России появятся экспериментальные правовые режимы, позволяющие вывести тайну переписки, связи и врачебны диагнозов из-под действующего регулирования. Чиновники поясняли, что это делается для ускорения создания и апробации цифровых инноваций в различных отраслях. Фактически речь о разрешении отступления от отдельных требований законодательства, которые ограничивают использование технологий искусственного интеллекта и больших данных.

Список источников

  1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (последняя редакция) [Электронный ресурс].- Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 08.09.2020).
  2. 111 Гб подробных кредитных историй физических лиц, выставлены на всеобщее обозрение [Электронный ресурс].- Режим доступа: https://www.devicelock.com/ru/blog/111-gb-podrobnyh-kreditnyh-istorij-fizicheskih-lits-vystavleny-na-vseobschee-obozrenie.html (дата обращения: 06.10.2020)
  3. База сданных Как устроена нелегальная торговля персональными данными [Электронный ресурс].- Режим доступа: https://www.kommersant.ru/doc/4133308 (дата обращения: 06.10.2020)
  4. База сданных: как устроена нелегальная торговля персональными данными [Электронный ресурс].- Режим доступа: https://zen.yandex.ru/media/kommersant/baza-sdannyh-kak-ustroena-nelegalnaia-torgovlia-personalnymi-dannymi-5db6dd4d9515ee00b34ad74c (дата обращения: 06.10.2020)
  5. Власти запретят продавцам собирать персональные данные покупателей [Электронный ресурс].- Режим доступа: https://www.cnews.ru/news/top/2020-09-24_vlasti_zapretyat_prodavtsam (дата обращения: 06.10.2020)
  6. Данные 123 миллионов американских домохозяйств хранились в открытом хранилище Amazon [Электронный ресурс].- Режим доступа: https://www.devicelock.com/ru/blog/dannye-123-millionov-amerikanskih-domohozyajstv-hranilis-v-otkrytom-hranilische-amazon.html (дата обращения: 06.10.2020)
  7. Дураки и воры: свои сотрудники стали опаснее хакеров [Электронный ресурс].- Режим доступа: https://iz.ru/1000295/ivan-nosatov/duraki-i-vory-svoi-sotrudniki-stali-opasnee-khakerov (дата обращения: 06.10.2020)
  8. Жизнь и кошелёк. Как в Даркнете продают все ваши данные [Электронный ресурс].- Режим доступа: https://life.ru/p/1203843 (дата обращения: 06.10.2020)
  9. Как продают и покупают персональные данные россиян? [Электронный ресурс].- Режим доступа: https://securenews.ru/how-to-sell-and-buy-personal-data-of-citizens-of-the-russian-federation (дата обращения: 06.10.2020)
  10. Коммерциализация персональных данных и понятие «биг дата» – злободневные вопросы IT-сферы [Электронный ресурс].- Режим доступа: https://www.garant.ru/article/1229761 (дата обращения: 06.10.2020)
  11. Кто владеет вашими данными в интернете и что об этом говорит закон [Электронный ресурс].- Режим доступа: https://www.vedomosti.ru/partner/articles/2019/06/05/803014-vladeet-dannimi (дата обращения: 06.10.2020)
  12. Максимателеком для малого бизнеса [Электронный ресурс].- Режим доступа:: http://files.runet-id.com/2017/riw/presentations/1nov.riw17-yell.16-00--vinokurov.pdf (дата обращения: 09.09.2020).
  13. Наказывают ли в России за незаконную торговлю персональными данными? [Электронный ресурс].- Режим доступа: https://habr.com/ru/post/442506 (дата обращения: 06.10.2020)
  14. Ответы Роскомнадзора на вопросы о персональных данных [Электронный ресурс].- Режим доступа: https://pravo163.ru/otvety-roskomnadzora-na-voprosy-opersonalnyx-dannyx/ (дата обращения: 08.09.2020).
  15. Переход на личное: в 2019 году утекло вдвое больше персональных данных [Электронный ресурс].- Режим доступа: https://iz.ru/958561/anna-urmantceva/perekhod-na-lichnoe-v-2019-godu-uteklo-vdvoe-bolshe-personalnykh-dannykh (дата обращения: 06.10.2020)
  16. Персональные данные как «товар» [Электронный ресурс].- Режим доступа: https://www.pwc.ru/ru/publications/protect-me-what-russian-consumers-want/personal-data-as-a-commodity.html (дата обращения: 06.10.2020)
  17. Персональные данные. Валюта XXI века [Электронный ресурс].- Режим доступа: https://iz.ru/805131/irina-rudevich-aleksei-rudevich/personalnye-dannye-valiuta-xxi-veka (дата обращения: 06.10.2020)
  18. Персональные, но большие: как новый закон изменит торговлю данными [Электронный ресурс].- Режим доступа: https://yandex.ru/turbo/forbes.ru/s/obshchestvo/377129-personalnye-no-bolshie-kak-novyy-zakon-izmenit-torgovlyu-dannymi (дата обращения: 06.10.2020)
  19. Продажа и покупка персональных данных [Электронный ресурс].- Режим доступа: https://goodlucker.ru/zakon/personal-information.html (дата обращения: 06.10.2020)
  20. Продажа персональных данных [Электронный ресурс].- Режим доступа: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/prodazha-personalnyh-dannyh (дата обращения: 06.10.2020)
  21. Рынок аналитики больших данных будет расти [Электронный ресурс].- Режим доступа: http://www.iksmedia.ru/news/5561226-Rynok-analitiki-bolshix-dannyx-bude.html#ixzz6ZzhaMtAK (дата обращения: 06.10.2020)
  22. Тинькофф.Таргет [Электронный ресурс].- Режим доступа: https://target.tinkoff.ru/ (дата обращения: 06.09.2020).
  23. Утечки данных все чаще используют, чтобы навредить репутации компаний [Электронный ресурс].- Режим доступа: https://tass.ru/interviews/7617441 (дата обращения: 06.10.2020)
  24. Цены черного рынка на персональные данные [Электронный ресурс].- Режим доступа: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-personalnye-dannye.html (дата обращения: 06.10.2020)

Приложения

Приложение 1

Расценки на персональные данные в DarkNet

Приложение 2

Персональные данные, представленные клиентами в NCF

Приложение 3

Персональные данные, представленные клиентами в NCF

Поднять процент оригинальности работы Заказать работу со скидкой 20%
Telegram Bot