АНАЛИЗ - Владельцы конфиденциальных данных в основном теряют их по своей вине

АНАЛИЗ - Владельцы конфиденциальных данных в основном теряют их по своей вине

ЕРЕВАН, 27 июля. /АРКА/. Большинство случаев утечки конфиденциальных данных и секретных документов происходят из-за беспечности людей, имеющих к ней доступ, считают опрошенные РИА Новости эксперты.

В среду СМИ сообщили, что поисковик Google проиндексировал несколько сотен документов российских ведомств, в частности, ФАС, Счетной палаты, Минэкономразвития РФ. Некоторые из документов якобы имели грифы "ДСП" и "секретно", передает РИА Новости.

Представители ведомств уже назвали эту информацию "уткой" и заявили, что проиндексированные документы не содержат секретных сведений.

Эксперты, опрошенные РИА Новости, отмечают, что документы под грифами "для служебного пользования" и "секретно" вообще не должны находиться в открытых компьютерных сетях - это запрещено регламентом их обработки.

"Хранятся подобные документы на отдельных электронных носителях, к которым нельзя подключиться через интернет", - сказал советник председателя Национального антитеррористического комитета (НАК) Андрей Пржездомский.

В интернет такие документы могут попасть исключительно по халатности работающих с ними сотрудников.

СТАТИСТИКА ЧУЖИХ ОШИБОК

Случаи халатности госслужащих не единичны, они происходят постоянно и во многих странах.

По данным общественной организации Privacy Rights Clearinghouse, в США с 2005 года зафиксированы более 2,5 тысячи случаев утечки частных или секретных данных в открытый доступ.

Общее количество потерянных за этот период данных составило 535,3 миллиона записей. Чаще других утечки данных допускали коммерческие фирмы (22,6%), образовательные (21,3%) и медицинские учреждения (20,2%). Много таких случаев происходило в правительственных и военных структурах, документация которых зачастую засекречена (18,5%), а также в финансовых компаниях (15%).

При этом только 35% утечек была связана с хакерскими взломами, мошенничеством или намеренным раскрытием инсайдерской информации.

Остальные 65% были вызваны небрежным обращением с данными. Документы попадали "не в те руки" в результате случайной публикации в сети, из-за ошибок в адресах и номерах факсов при пересылке, электронные носители или бумаги были украдены или потеряны.

Как пишет Privacy Rights Clearinghouse, в двух третях случаев раскрытие информации по небрежности в США происходило в правительственных органах, военных структурах, вузах и больницах, хранящих большие объемы конфиденциальных личных данных.

По данным компании-разработчика систем информационной безопасности SecurIT, в мире в 2010 году было зафиксировано 1014 крупных утечек закрытой информации, из них почти пятая часть - из государственных учреждений.

Поскольку законодательство большинства стран (за исключением США и нескольких других) не обязывает сообщать о фактах утечки конфиденциальной информации, данные, учтенные исследованием, в реальности составляет примерно 0,1% от общего объема инцидентов такого рода, произошедших в прошлом году.

Самый "популярный" метод компрометации конфиденциальной информации - потеря или кража ноутбуков (22,5%). За украденными ноутбуками следует электронная почта (17,8%). Примерно 12,7% утечек произошло через бумажные документы, 12,6% - через носимые накопители (чаще всего флэш-карты), 11,1% - через интернет. На хакерские нападения и случаи мошенничества приходится лишь около десятой части общего числа инцидентов.

ЮРИДИЧЕСКАЯ СТОРОНА ВОПРОСА

"Действующее российское законодательство разграничивает три вида информации, в отношении которой устанавливаются особые защитные режимы - государственная тайна, коммерческая тайна, а также персональные данные", - пояснил РИА Новости старший юрист компании Lidings Сергей Патракеев.

С 1 июля в России вступил в силу закон, который обязывает всех операторов персональных данных обеспечить защиту своих систем обработки данных, запущенных до 1 января.

Гриф "секретно" устанавливается на носителях с информацией, отнесенной к государственной тайне. Произвольное использование грифа "секретно" для сведений, которые не относятся к гостайне, прямо запрещено законом, говорит эксперт.

Разглашение гостайны может повлечь за собой как административное, так и уголовное наказание. Причем к ответственности может быть привлечено только лицо, которому разглашенная информация была доверена по службе, тогда как граждан, распространяющих гостайны в интернете уже после утечки, привлечь к ответственности практически невозможно, поясняет Патракеев.

В этом состоит принципиальное отличие утечки государственных документов от предыдущих инцидентов последних дней, например, как в случае распространения SMS-сообщений, отправленные с сайта компании "МегаФон", и номеров их получателей, о чем стало известно 18 июля.

В понедельник в поисковой выдаче оказались веб-страницы со статусами заказов в интернет-магазинах, содержащие электронные адреса покупателей, перечень заказанных товаров, сумма покупки, адрес доставки и IP-адрес устройства, с которого был сделан заказ.

Во вторник таким же образом стала доступной информация о купленных онлайн билетах на поезда, также содержащая персональные данные.

По словам юриста, в случае нарушения тайны переписки (массовое чтение чужих SMS-сообщений с помощью поисковой системы) либо неприкосновенности частной жизни (получение несанкционированного доступа к заказам граждан в интернет-магазинах) к ответственности можно привлечь как лицо, допустившее утечку персональных данных, так и лицо, способствующее распространению информации.

УТЕЧКИ ПО НЕБРЕЖНОСТИ

Проблемы из-за небрежного отношения к документам усугубляются пропорционально росту объема данных в интернете.

В августе 2006 года стало известно, что американский интернет-провайдер AOL по ошибке раскрыл базу данных со статистикой по 20 миллионам запросов, которые в течение трех месяцев сделали 658 тысяч его зарегистрированных пользователей.

Имена пользователей AOL не раскрыла, однако опубликовала их ID-номера, под которыми они учитывались в системе, и сгруппировала запросы и адреса просмотренных сайтов по каждому пользователю с указанием даты и времени поиска.

В октябре 2007 года департамент правительства Великобритании, ответственный за сбор налогов и выплату государственных пособий, потерял два CD-диска с данными о всех семьях в стране, получающих материальное пособие на детей.

В 2008 году GE Money - финансовое подразделение General Electric - потеряло записи с информацией о кредитных картах более 650 тысяч клиентов и 150 тысячами номеров социального страхования.

Одной из крупнейших утечек 2010 года стала потеря американской компанией ECMC Group персональных данных более чем 3,3 миллиона человек в результате хищения некоего портативного устройства.

В сентябре 2010 года в издании Advertising Age был опубликован внутренний документ компании Google, в котором содержалась информация о расходах крупнейших рекламодателей AdWords (системы контекстной рекламы Google) за июнь 2010 года.

Тогда выяснилось, в частности, что 47 компаний ежемесячно тратят на контекстную рекламу в AdWords более 1 миллиона долларов.

В 2010 году компания Shell потеряла персональные данные более чем 170 тысяч своих работников, а Honda - персональные данные о 2,2 миллионах американских покупателей автомобилей этой марки.

В ноябре 2010 года интернет-компания Google согласилась выплатить 8,5 миллиона долларов по иску, связанному с утечкой персональных данных пользователей через сервис Google Buzz.

Наконец, в марте 2011 года сотрудник британской нефтегазовой корпорации British Petroleum потерял ноутбук с личными данными 13 тысяч жителей штата Луизиана, которые подавали жалобы с требованием компенсации ущерба от разлива нефти в Мексиканском заливе. Данные включали список имен жителей Луизианы, потребовавших компенсацию от ВР, номера полисов социального страхования, адреса и номера телефонов.

ОПАСНЫ ЛИ СОЦСЕТИ

Около 22% россиян старше 18 лет боятся утечек персональных данных в сети, свидетельствует исследование, проведенное аналитическим агентством YouGov.

При этом 38% опрошенных считают, что социальные сети "знают слишком много" об их онлайн-жизни. Государства как источника потенциальной утечки граждане боятся намного меньше (таких всего 14%).

Поводы для опасений действительно есть - среди крупнейших инцидентов с раскрытием информации в интернете прошлого года стала утечка персональных данных из социальной сети Facebook, случившаяся в сентябре.

Популярные приложения для этой социальной сети, имеющие доступ к персональным данным ее пользователей, без их ведома передавали их как минимум 25 рекламным агентствам и компаниям, ведущим маркетинговые исследования.

По данным на апрель 2011 года, почти 100 тысяч популярных игр и приложений Facebook непреднамеренно раскрывали личные данные пользователей третьим лицам.

Для усиления информационной защиты пользователей от несанкционированного доступа за последний год крупнейшая в мире социальная сеть ввела ряд новых функций - от одноразовых паролей для использования на общедоступных компьютерах до возможности извлекать единым ZIP-архивом всю загруженную пользовательскую информацию, включая данные профиля и фотографии - это позволяет сохранить свои данные в случае потери доверия к ресурсу.

Пользователи социальной сети Facebook получили возможность включить шифрование всего интернет-трафика между своим компьютером и сайтом Facebook, что уменьшает вероятность перехвата информации злоумышленниками.

Однако во многих случаях инциденты соцсети связаны не со взломом аккаунтов, а со сбором данных, открытых их владельцами - например, сайт знакомств Lovely-Faces.com скопировал данные четверти миллиона открытых профайлов в Facebook и разместил их как информацию о собственных пользователях.

КАК ПРЕДОХРАНИТЬСЯ

Поисковый интернет-сервис "Яндекс" ранее рекомендовал администраторам сайтов закрывать личную информацию пользователей паролями и запрещать индексирование конфиденциальных страниц с помощью файла robots.txt, чтобы избежать попадания персональных данных в выдачу поисковой машины.

Относительно универсальным советом для предотвращения попадания собственных данных в сеть может стать рекомендация администрации Facebook внимательнее относиться к настройкам конфиденциальности сайтов и заранее подумать, какие именно данные пользователь считает возможным выложить в открытый доступ.

В случае компрометации персональных данных клиента по вине компаний гражданин имеет право подать в суд, говорит руководитель комиссии по законотворчеству РАЭК, один из разработчиков закона о персональных данных Михаил Якушев. Однако прецеденты рассмотрения таких исков ему неизвестны.--0--
 

16:39 28.07.2011





 

« Август 2017

Пн
Вт
Ср
Чт
Пт
Сб
Вс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
 
 


Логин:
Пароль:

Регистрация
Если вы впервые на сайте, заполните, пожалуйста, регистрационную форму.

Войти на этот сайт вы можете, используя свою учетную запись на любом из предложенных ниже сервисов.

×