Иван Бегтин: Самое страшное — не в утечках данных, а в том, что рынок нелегального пробива людей никак не блокируется

Иван Бегтин: Самое страшное — не в утечках данных, а в том, что рынок нелегального пробива людей никак не блокируется
Надбавки к пенсиям. Россия и Белоруссия: объединение экономик? Рост цен на жильё. Школьное питание. Капризы погоды
Пенсии будут расти? Когда и на сколько поднимутся социальные выплаты?
Сергей Лесков: Хватит кормиться за счёт нефти и газа - переработанных останков всяких мамонтов и диплодоков. Это оскорбительно для страны!
Татьяна Кулакова: Хотя на городском транспорте и низкие тарифы, мы всё равно много платим за проезд – своими налогами
Владимир Жарихин: Лукашенко понимает, что Беларусь, может, и нужна Западу, но Лукашенко ему не нужен
Чем более запутана система для потребителя услуги, тем легче управленцу проводить решения, которые ему выгодны
Прежде всего должен быть утвержден сбалансированный рацион питания школьников. В этом вопросе нельзя ставить во главу угла деньги
Сергей Хестанов: Если не собирать усиленно налоги, а оставить деньги людям или бизнесу, они распорядятся ими с большей пользой для экономики
Личное мнение: Владимир Малахов
Цены на недвижимость в России растут вдвое быстрее, чем по всему миру
Гости
Иван Бегтин
председатель Ассоциации участников рынков данных

Рубрика «Личное мнение». Из крупнейшей российской монополии утекли персональные данные. Информация о большинстве сотрудниках РЖД оказалась в интернете. Как это произошло? Правила цифровой безопасности - в рубрике «Личное мнение» с главой Ассоциации участников рынков данных Иваном Бегтиным.

Ольга Арсланова: Ну а прямо сейчас время нашей рубрики «Личное мнение».

Петр Кузнецов: Мы поговорим про утечку персональных данных.

Ольга Арсланова: Да. Накануне в интернете оказались персональные данные сотрудников РЖД, почти всех. Их там, по-моему, 750 тысяч или около того. 703 тысячи сотрудников оказались – не знаю, как это? – деанонимизированными. В общем, их персональные данные оказались в интернете, скажем так. Откуда произошла утечка – неизвестно. Но есть предположение, что это база данных службы безопасности.

Это не первая масштабная утечка. В июне в открытом доступе оказались данные клиентов «ОТП-Банка», «Альфа-Банк» – имена, телефоны, паспорта и места работы. И это коснулось примерно 900 тысяч россиян.

Петр Кузнецов: Кто и зачем сливает личные данные? Как злоумышленники могут ими воспользоваться? Есть какая-нибудь защита от всего этого? Об этом мы поговорим в рубрике, еще раз, «Личное мнение». Сегодня это личное мнение Ивана Бегтина, председателя Ассоциации участников рынков данных. Здравствуйте, Иван.

Ольга Арсланова: Здравствуйте.

Иван Бегтин: Добрый день.

Ольга Арсланова: И поговорим вообще о том, как свои данные беречь смолоду.

Какие варианты? Что произошло в этой истории с нашей крупной монополией, с РЖД? Как это – 700 тысяч человек оказались в интернете?

Иван Бегтин: Ну, если быть честным, то, конечно, 700 тысяч – это относительно небольшая утечка, она просто очень специализированная, это РЖД. Как это произошло? Ну, пока только можем гадать. Надо вообще дождаться хоть каких-то публичных расследований. Обычно, в принципе, информация об утечках происходит довольно часто, только узнаем мы об этом только в тех случаях, когда об этом пишут СМИ и начинают публично говорить.

Ольга Арсланова: Или когда вдруг одна компания…

Петр Кузнецов: Крупная компания, крупный банк. Мы понимаем, что РЖД, «Альфа-Банк», по нашей инфографике. То есть под удар попадают довольно-таки крупные организации.

Иван Бегтин: Ну, пока вы упомянули только тех, кому вообще хоть раз писали СМИ за последнее время. Ну, чтобы тоже было понимание: есть огромный «черный» рынок персональных данных. И, как правило, если произошла утечка, об этом знают только те, кто на этом рынке являются активными продавцам и покупателями.

Ольга Арсланова: То есть те, кому это выгодно.

Иван Бегтин: Да. Есть большая, я бы сказал, «серая» и большая «черная» масса продавцов и покупателей.

Ну, например, примеры покупателей на «сером» рынке – это службы безопасности огромного количества компаний, которые периодически занимаются тем, что проверяют у сотрудников наличие судимости, штрафов ГИБДД и всего остального. Где взять эту информацию? Те, кто имеют подключение к СМЭВ (это государственная система запросов в разных государственных ГИСах на предмет наличия информации о человеке), те пользуются этим. Но у многих нет. И они покупают на рынке информацию для собственной работы.

А есть «черный» рынок. И «черный» рынок – это в первую очередь мошенники. Это те самые, которые названивают с мошенничеством клиентам банков и говорят, что у них были какие-то странные переводы, и пытаются развести их на то, чтобы им передали коды SMS.

Петр Кузнецов: То есть, как правило, скорее всего, мы можем предположить, что это не дыры в программах, в программном обеспечении, а именно человеческий фактор, то есть сливы непосредственных сотрудников компаний?

Иван Бегтин: Ну, не всегда. То есть там есть три основных фактора, связанных именно с утечками персональных данных.

Первый фактор – это хакеры, то есть это целенаправленный взлом или неправильно настроенное программное обеспечение. Это регулярно случается.

Вторая причина – это, безусловно, личный фактор. Это кто-то продал эту базу, кто-то обозлился на работодателя и передал в открытый доступ. Такое тоже бывает.

И третий фактор – безусловно, это то, о чем были недавно публикация в РБК, когда раскрытие персональных данных предусмотрено законом. Например, сведения о залогах на автомобиль, включая паспортные данные, раскрываются через систему Федеральной нотариальной палаты официально, по закону, включая паспортные данные. Или сведения о СНИЛС, о другой информации официально раскрываются в цифровых подписях на электронных торговых площадках.

Поэтому эти три основных фактора. Основной обычно при таких масштабах – это, конечно, сливы сотрудниками внутри. И поэтому тут вопрос чести РЖД, чтобы найти.

Ольга Арсланова: А давайте начнем прямо с самых азов, потому что у нас зрители интересуются: «А какие персональные данные? О чем идет речь? Это что, какое-то фото? Фото учительниц в купальниках или еще что?» Что такого страшного?

Петр Кузнецов: Там как раз фотографии, которые к анкете при поступлении на работу прилагаются, и соответствующие данные: фамилия, имя, отчество, возраст.

Ольга Арсланова: Да, вот интересно, о чем идет речь, о каких персональных данных?

Иван Бегтин: Конкретно про РЖД – там, насколько я помню, была утечка именно что фотографий. Базовая анкета, которая именно по сотрудникам. То есть здесь мы можем быть немножко спокойны, что, по крайней мере, это не данные пассажиров. А у РЖД же много данных, которые связаны с перевозками. Вроде бы как эти данные никак не были затронуты.

Ольга Арсланова: То есть там информация: фамилия, имя, отчество, фотография. И мы понимаем, что человек работает в РЖД?

Петр Кузнецов: Ну, согласитесь, как будто бы рядом, потому что следующий шаг – это утечка уже персональных данных клиентов РЖД. Знаете, такой удар, рядом попало.

Иван Бегтин: Знаете, я периодически мониторю и отслеживаю, что происходит на этом «сером» нелегальном рынке. Я могу сказать, что, конечно, вот то, что случилось с РЖД – это не самое страшное. Самое страшное, что у нас фактически никем не контролируемый, никак не блокируемый Роскомнадзором рынок этого самого нелегального «пробива» людей. Потому что, помимо продажи баз данных, в принципе, получить сведения из банков о ваших транзакциях по счетам, о том, где вы передвигаетесь, по базовым станциям, мимо которых вы проходили, у сотовых операторов, то есть по вашему треку, – это все возможно за деньги. Есть специальные форумы, сайты, сервисы в Dark Web, возможность заплатить криптовалютой за то, чтобы получить о вас всю эту информацию.

Петр Кузнецов: То есть эти все «пакеты Яровой», хранение персональных данных исключительно на отечественных серверах (ну, это больше об авиакомпаниях), всякие законы о спаме – они нас никак не защищают? Хотя призваны. Или они друг другу противоречат, и поэтому…

Ольга Арсланова: Или они еще, может быть, пока не заработали, и все изменится?

Иван Бегтин: Ну, «закон Яровой», будем честными, пока особо не работает. Даже если он будет работать…

Петр Кузнецов: У нас же много сейчас защиты персональных данных.

Иван Бегтин: К сожалению, это все по большей части только на словах. И до тех пор, пока рынок «пробива» есть…

Ну, из недавних расследований. Журналисты «Би-Би-Си» делали «пробив» на самих себя через один из таких сервисов, и у них была большая публикация с разбором этого рынка, как это делается. Такие эксперименты, кроме них, проводят периодически представители разных изданий.

Если вы просто погуглите в интернете «пробив человека по номеру телефона», то можете поэкспериментировать, запросить на себя. И надо понимать, что, например, если вы обманываете свою жену или мужа, а они решат вас проверить неожиданно, они могут узнать все ваши транзакции, трекинг, где вы были. Вы сказали, что на рыбалке, а были на самом деле в соседнем доме, занимались чем-то другим. Это опасное явление.

Ольга Арсланова: А кому это массово может быть нужно? Мы не говорим о каких-то персональных историях, это единичные случаи. Вот кому нужны данные всех сотрудников РЖД или данные какой-то большой группы людей? Что они будут делать с их перемещениями, с их общением в мессенджерах и так далее?

Иван Бегтин: Эта история с РЖД – там же только анкеты. Но, в принципе… Ну давайте по списку, кому это надо.

Первое – мошенники. Люди, которые знают о вас, и чем больше они знают… Они могут установить с вами доверительный диалог, представиться вашим вышестоящим начальством или представителем другого отдела и выудить из вас информацию или заставить вас сделать то, что вы бы не стали делать ни в одной другом случае.

Людей, которые владеют социальной инженерией, их много. Мошенники, которые «разводят» людей под видом служб безопасности банков, – это чистая социальная инженерия, профессиональная. И люди абсолютно не стыдятся того, чем они занимаются.

Ольга Арсланова: Это новая профессия.

Петр Кузнецов: На удивление, все это еще работает.

Иван Бегтин: Ну, это такая новая антипрофессия. Ну да, к сожалению, это…

Петр Кузнецов: Люди продолжают «клевать» на это.

Иван Бегтин: Второе – это, безусловно, маркетологи, это люди, которые пытаются что-то продать. Их в первую очередь интересуют люди по определенным профилям. Например, все директора больниц с их е-мейлами и телефонами, которым нужно устроить либо спам-рассылку, либо обзвон. И они тогда собирают эту информацию, в том числе персонифицированно.

Третье – это, безусловно, такое полулегальное использование, это службы безопасности компаний. То есть, зная некоторый бэкграунд человека… А особенно их в этом случае интересуют суды, приводы, штрафы, психоневрологические диспансеры, если кто-то стоит на учете. То есть это очень персональные данные, но они их интересуют с точки зрения проверки человека, прежде чем трудоустроить.

Ну, безусловно, есть наверняка гораздо большее количество применений. Мне некоторые – совсем уж криминальные – описывать не хочется.

Ольга Арсланова: Ну, это тоже, наверное, частные истории, не очень массовые. Или все-таки…

Иван Бегтин: Они разные. Я бы сказал, что вещи, которые связаны в большей степени с целевым криминальным использованием – это истории больше не про сами утечки баз данных, а про тех, кто продает сервисы на основе этих утечек, то есть про тех, кто существует на рынке «пробива». Наводки преступникам или, наоборот, сбор какой-то информации в объекте будущей атаки.

Ольга Арсланова: Ну, какие-то «сталкеры», наверное, тоже могут этим пользоваться, если преследуют человека с какими-то целями.

Иван Бегтин: Наверное, могут и «сталкеры». Но в большей степени это делают люди, которые все-таки имеют некоторые экономические интересы – мошенничество, ограбление.

Петр Кузнецов: Ну да. Изначально должен быть какой-то не простой человек.

Ольга Арсланова: Потому что, видимо, эта же информация столько-то стоит, то есть ее не каждый может себе позволить купить. Или это сейчас дешево?

Иван Бегтин: Это десятки тысяч рублей, но не сотни. И то десятки тысяч – это уже некоторая детализация. Там какие-то ограничения возникают только у людей, которых отдельно защищают по законам, заменяют их фамилии на какие-то нечитаемые буквы в государственных реестрах.

Ольга Арсланова: Ну да, есть у нас такие люди.

Иван Бегтин: Но здесь это тоже происходит не совсем… Есть некоторые компании, которые работают с персональными данными, у которых все в порядке, никогда не было у них утечек. И есть много систем, а особенно государственных, особенно, будем честными, относящихся к силовому блоку: МВД, ранее была ФМС и другие… Ну, это очень легко проверить, информацию можно простым поиском найти в интернете.

Петр Кузнецов: Послушаем наших телезрителей. Вопросы, предложения, примеры, опасения. Михаил из Волгоградской области, здравствуйте.

Ольга Арсланова: Здравствуйте.

Зритель: Здравствуйте. Вот у меня вопрос к вам такой. Проблема в том, что захожу в любое учреждение, будь то медицинское, будь то какое угодно, и везде просят бумажку о персональных данных подписывать. Я отказываюсь это делать. Они начинают возбухать и говорить, что я это обязан. Как говорится, на законодательном уровне можете объяснить, пожалуйста, это добровольное дело или нет?

Петр Кузнецов: Спасибо. Уже и на сайтах есть галочка, без нее невозможно перейти на следующую страницу.

Ольга Арсланова: Очень многие зрители пишут о том, что есть сайт Госуслуг. Как быть уверенным, что оттуда не утечет? Уж там-то есть все самое важное.

Иван Бегтин: Ну, пока еще не все, если честно, потому что… Но планируется все. Это то, что называется «цифровой профиль».

Ольга Арсланова: А что там еще?

Иван Бегтин: Ну, если можно, я до ответа расскажу предысторию. С сайтом Госуслуг история какая? Есть Госуслуги, на которых у вас базовый аккаунт. Вы регистрируетесь по коду СНИЛС, и о вас там базовая информация. И вы можете добровольно внести о себе дополнительные сведения: свой ИНН, транспортные средства…

Петр Кузнецов: Дополнить профиль.

Иван Бегтин: Да. И благодаря этому вы получаете доступ к другим услугам. Основной тезис, который разработчики портала и Минкомсвязь, Министерство цифрового развития продвигают сейчас: «А давайте не гражданин будет вводить о себе в профиль, а мы из разных баз сами будем интегрировать всю ключевую информацию о нем и подтягивать все необходимые ему услуги, в том числе в проактивном режиме».

Целеполагание, в общем, довольно благое. Но, безусловно, возникают риски, потому что данные, которые хранятся в ПФР, в ФОМС, в МВД, в других органах власти, оказываются в единой базе. Поэтому есть очень резонный вопрос, который возникает, и не только по поводу утечки, но и по поводу злоупотреблений. То есть сотрудник ведомства, работающий с этим порталом, имеет возможность узнать о человеке все – то, чего он не мог бы раньше сделать. Поэтому вокруг этого возникает довольно много вопросов.

Если говорить как раз про эти требования, про галочки с персональными данными, то тут же как устроено? Если вы пойдете в коммерческую компанию и у вас потребуют подписать, а вы не согласитесь, то вам просто не окажут услуги. И они, в принципе, имеют на это право. Это конкурентный рынок, вы вправе работать или не работать с сервисом.

Больше того, часто же там конкретно прописано то, для чего данные используются. Если вас компания не спрашивает про эту галочку, то на самом деле поводов напрягаться гораздо больше, потому что это значит, что они а) нарушают закон и б) точно используют для чего-то нехорошего. То есть это нарушение закона. Как это? Не от счастливой жизни вам подсовывают эту бумажку с персональными данными. Если вам ее не подсовывают, то это значит, что их все равно используют.

Ольга Арсланова: А так просто, по крайней мере…

Петр Кузнецов: Честнее.

Иван Бегтин: Вопрос в том, что там написано. И вопрос, как дальше это используется. Если там, например, написано, что организация собирается давать эти данные кому угодно, и вы ее не подписываете – ну, наверное, вы можете вступить с ней в некоторое юридическое противостояние, оспаривая само право их навязывать то, что они передают данные любому источнику.

Но надо понимать, что в России с нашим текущим регулированием и, прости Господи, регулятором в лице Роскомнадзоре, который больше увлечен цензурой, чем именно защитой персональных данных, работает это все плохо. Те компании, которые максимально законопослушные, они сами воют с этими бумажками-подтверждениями по персональным данным, потому что это резко мешает им работать с данными даже абсолютно легальным образом.

Например, ритейловая компания покупает другую ритейловую компанию, ту закрывает и хочет передать базу лояльности себе. Она не может этого сделать по закону, потому что закон «О персональных данных» требует, чтобы каждый человек, который дал разрешение передать этому юрлицу, повторно дал бы решение передать этому юрлицу. Если там было 5 миллионов человек – ну, как вы у них запросите это подтверждение? И наоборот. Гражданин, который хотел бы защитить свои права…

Петр Кузнецов: Вот в РЖД, наверное, и собирали все вместе.

Иван Бегтин: Ну конечно. И другой пример. Вот я считаю, что… У нас сейчас говорят про кодексы этики, про все остальное. Есть очень простое право каждого гражданина, которое должно быть законодательно закреплено. Если есть информационная система, в которой есть информация о вас, должно быть полное право запросить всю информацию, которая о вас там содержится. И вам должны ее предоставить по умолчанию.

У нас сейчас это делают только те социальные сети, где присутствуют граждане Евросоюза, и они соблюдают GDPR. Не знаю, «ВКонтакте» позволяет вам выгрузить сейчас весь свой профиль. Эта российская социальная сеть соблюдает это и дает вам эту возможность. Это уникальный случай.

А в остальном вы не можете выгрузить по аналогии с другими сервисами, не знаю, из «Яндекса» все, что вы накопили, из Mail.ru и других каких-то сервисов все, что вы считаете… Там собрана ваша почта, ваши все лайки, дизлайки, посты в социальных сетях, видео. У вас нет такой возможности.

Кроме этого, ваши данные хранятся в бюро кредитных историй, в банках, в государственных системах. Это должно быть ваше неотъемлемое конституционное право – знать, что о вас хранится, и получить эту информацию назад, за исключением случаев, связанных с расследованием преступлений. Соответственно, если вы являетесь объектом расследования, наверное, вам не всю информацию могут предоставить.

Но в остальном почему вы не имеете права получить всю информацию, которая содержится о вас в Пенсионном фонде? Вы получаете только краткую выписку. Почему вы не имеете права получить всю информацию, которая содержится о вас в ФОМС или в системе любой больницы?

Ольга Арсланова: Да, было бы интересно – как минимум.

Смотрите, я открыла какой-то сайт (их много таких) по проверке людей, персональных данных. Платишь 300 рублей. Значит, что тут предоставляют? База недействительнных паспортов, бюро кредитных историй, база розыска МВД, Росфинмониторинг, судебные приставы, нотариальная контора, база ГИБДД, налоговая. Вот это все они каким-то образом обследуют.

Иван Бегтин: Это еще относительно…

Ольга Арсланова: Это законно вообще? За 300 рублей любого человека по фамилии, имени, отчеству и региону можно проверить, все его документы.

Иван Бегтин: Конечно нет. Это нарушение закона в части обработки персональных данных, потому что у вас же не спрашивали на это разрешения.

Ольга Арсланова: Совершенно верно.

Иван Бегтин: А особенно некоторые данные, типа Росфинмониторинга.

Правда, какая единственная оговорка? Если этот сервис существует в легальном поле, не заблокирован в России и, например, пользуется открытыми источниками, то он нарушает, скорее всего, очень мало, light, то есть он просто агрегирует данные о людях. Можно подвести под то, что незаконная обработка персональных данных. А вот если… Ну, это «серая» зона, то есть скорее ближе к «белой». Например, если они собрали базу террористов с сайта Росфинмониторинга, которую те официально публикуют, и проверяют, вы там находитесь или нет, то, наверное, это легально.

А вот если на «черном» рынке они покупают базу клиентов какого-то конкретного банка или сотрудников РЖД и дают вам справку развернутую на этих людей…

Петр Кузнецов: Только по ним?

Иван Бегтин: Да. Это абсолютно «черный» рынок, это нелегально.

Ольга Арсланова: Понятно.

Иван Бегтин: Больше того, в России много лет назад был доступен сервис (я не буду сейчас его называть), который хостился вообще в Панаме, который накупил кучу этих баз данных, в которой были все телефонные номера, данные по таможенным транзакциям, налоговые данные – в общем, куча всего. И там можно было заплатить предоплаченной картой VISA, то есть анонимно, и за какие-то небольшие деньги – типа 100–200 рублей – получить справку подробную о человеке. И он работал прямо как онлайн-сервис, то есть можно было зайти, пополнить тысяч на десять и «пробивать» одного за другим. Его много месяцев не могли закрыть.

Петр Кузнецов: Потому что в Панаме, прежде всего?

Иван Бегтин: Я думаю, потому, что не сильно старались. То есть такое уже было. И он исчез. Вот как он появился внезапно, так и внезапно исчез.

Ольга Арсланова: Заработали и ушли.

Иван Бегтин: Да. И на «черном» рынке, абсолютно нелегальном, безусловно, все это есть. И безусловно, есть возможность или индивидуализированно через какого-то посредника, или прямо через онлайн-сервисы «пробивать» эту информацию. И пока не будет действительно жесткого контроля за утечками и выявленных и наказанных людей, которые это обеспечили, в том числе и борьбы с элементарной нищетой, то есть когда люди, которые работают с этими данными, делают это за копейки, то это будет повсеместно.

Ольга Арсланова: Послушаем зрителей.

Петр Кузнецов: Татьяна из Ставрополья на связи давно ждет. Здравствуйте, Татьяна.

Зритель: Добрый вечер. Наконец-то я дозвонилась, хоть один раз.

Ольга Арсланова: Здорово!

Зритель: Здорово.

Петр Кузнецов: Это только начало, Татьяна.

Зритель: У меня такой к эксперту вопрос. Не чрезмерно ли с нас сейчас везде по каждому поводу и без повода требуют ксерокопии? Вот меняла я один счетчик: ксерокопия права собственности на дом, ксерокопия паспорта, ксерокопия домовой книги. В общем, пакет документов – бери и продавай дом. Пошла на мусор заключать: СНИЛС, домовая книга, паспорт, право собственности… Это для чего нужно? Для того, чтобы договор заключить? Для чего это? Они забивают потом все это. Так же в газовой службе. Все это забивается, как они объясняют, в программы свои, в компьютер. А после этого куда деваются эти все ксерокопии? На свалку?

Петр Кузнецов: Очень хороший вопрос. Спасибо.

Зритель: Не чрезмерно ли с нас везде и повсюду, на каждом шагу требуют ксерокопии? Сегодня в программе смотрела, что, по-моему, на Урале подняли чуть ли не митинг по поводу того, что на них в Москве оформлены по их ксерокопиям паспортов фирмы.

Ольга Арсланова: Да, понятно, спасибо.

Петр Кузнецов: Ну а потом узнаешь о потребкредите.

Ольга Арсланова: Да. У нас как раз пенсионер из Волгоградской области спрашивает: «А могут ли напрямую потом еще и кредит оформить?»

Петр Кузнецов: Да. И там уже, когда спрашивают все копии паспортов и так далее, других документов, уже эту бумажку с согласием тебе не подсовывают, уже ее нет.

Иван Бегтин: Скажем так, если данные сами по себе, в чистом виде, конечно, они просто существуют, они не влияют на то, что с вами может произойти. Когда данные попадают в руки людей, которые обладают, с одной стороны, каким-то административным ресурсом, то есть находятся в какой-то цепочке принятия решений, и имеют некоторые злые намерения, то, безусловно, они могут использоваться во вред.

Если это сотрудник банка, у которого одновременно есть персональные данные на людей, которые об этом никогда не узнают, то человек, который украл эти данные, вместе с сотрудником банка могут сговориться и оформить на них как раз «левые» кредиты. Просто так человек с улицы этого не сможет. Но при наличии предумышленного сговора, безусловно, это возможно.

И то, что у нас помимо этих указанных случаев с ксерокопиями, везде требуют номера паспортов в любой нотариальной доверенности – это то, что приводит в итоге к колоссальным утечкам данных. Через свалки, через просто крайне низкое обеспечение безопасности… Я бы сказал, что наша безопасность скорее всегда играет в минус. То есть все, кто ее пытаются обеспечить, как правило, создают условия, при которых, наоборот, она нарушается.

И возникает проблема в том, что еще много этих случаев возникает с государственными системами, когда государство, с одной стороны, требует сбор данных, а потом еще и раскрывает их по тем или иным причинам. И у нас самые распространенные утечки – это как раз утечки сканированных документов, в которых, например, паспорт указан, в нотариальных доверенностях или где-то еще.

Я приведу другой пример. У нас есть ведомства, которые обеспечивают разного рода контроль и безопасность в госучреждениях. Что они делают? Они приходят и контролируют. «Здесь у вас есть официальный адрес электронной почты, и вы не имеете права через него передавать никакие персональные данные».

Но людям нужно в работе передавать те самые персональные данные. Что они делают? Они в рабочей почте перестают это делать. Они заводят почту на Mail.Ru, «Яндекс», Gmail и так далее и начинают через телефоны, через вай-фай или просто через телефон делать эту пересылку, или со своего рабочего компьютера. То есть начинают пользоваться еще и бесплатной электронной почтой и точно так же пересылают те же персональные данные, но уже не через рабочую почту, где это можно хоть как-то контролировать, а через…

Ольга Арсланова: …а через значительно менее защищенные.

Иван Бегтин: Конечно. И вообще где крупнейшие базы персональных данных в России? Google, Mail.Ru и «Яндекс» – электронная почта у них. Также «Яндекс.Диск» какой-нибудь, диск Mail.Ru – через них всякие турагентства и все остальные шарят паспорта, которые нужно предоставить туристам. Это массовые нарушения! Но это до сих пор является какой-то такой, я бы сказал, культурной, что ли, нормой в России. Но это ровно до тех пор, пока не возникают истории, вроде этих, как с утечкой в РЖД.

Ольга Арсланова: Давайте тогда объясним нашим зрителям, которые уже взволнованы, какие данные лучше не хранить. И вообще – где их лучше не хранить, в каких приложениях, мессенджерах, не знаю, в почте, нигде? Где это относительно безопасно?

Петр Кузнецов: Самым уязвимым считается облако же.

Ольга Арсланова: Сам контент какой лучше не хранить и не делиться им?

Иван Бегтин: Ну, не пересылать паспортные данные свои, включая сканы паспортов, коды СНИЛС. Ну, ИНН – это менее…

Ольга Арсланова: А если вы посылаете какому-нибудь знакомому своему? Тоже нельзя?

Иван Бегтин: Ну, если взломают знакомого вашего или как-то произойдет утечка, то можно будет об этом узнать.

Петр Кузнецов: Еще в почте, как правило…

Ольга Арсланова: То есть паспорт, СНИЛС. Что еще?

Иван Бегтин: Паспорт, СНИЛС. Не знаю, результаты некоторых анализов не стоит хранить. Все, что вы считаете чувствительным. Не знаю, распечатки из банка реквизитов. Если вы обратите внимание, то многие банки раньше присылали выписки по счетам автоматически полностью на почту. Сейчас они всегда присылают вам ссылку, через которую вы входите, авторизуетесь – и только тогда можете их увидеть. Это имеет некоторую причину – чтобы эта информация не выходила за пределы.

Ольга Арсланова: А как быть с приложениями, например, кредитными по ипотеке, по банковским картам? Сейчас же у всех на смартфонах стоят эти приложения, в которых есть вся информация.

Иван Бегтин: Ну смотрите. Как это происходит? Если вы не являетесь каким-то ключевым человеком под большим интересом каких-то хакерских групп, не знаю, или не следят спецслужбы или кто-то еще, или службы корпоративной безопасности, то вам нечего опасаться.

Ну, я бы сказал, что у вас скорее другие риски. У вас риски больше, что это будет либо какой-то массовый взлом и будут вытаскивать конкретно из вашей электронной почты… Не знаю, взломают сотни тысяч почему-то и оттуда извлекут, или сломают какую-то базу данных, где уже есть информация. Для хакеров, конечно, интереснее взломать базу РЖД, чем вашу, либо любого авиаперевозчика.

Ольга Арсланова: То есть простые граждане могут расслабиться?

Иван Бегтин: Расслабляться никогда нельзя. Но надо понимать, что цена – паранойя. Цена в том, что чем больше вы думаете об этом постоянно, тем на самом деле вам сложнее жить. Потому что если вы будете всегда использовать не обычные чаты, а поставите специальную программу и режим чатов в Telegram только Secret Chat, то у вас возникают другие проблемы: вы не получаете историю сообщений, вы не можете обмениваться между разными устройствами. Оплата комфорта – это безопасность. И наоборот, плата за безопасность – это комфорт. По-другому не получится.

Ольга Арсланова: В общем, в основном… То есть большинство малоинтересно этим людям? То есть, скорее всего, мы можем быть интересны мошенникам, которые банковские услуги какие-то…

Иван Бегтин: Смотрите, есть некоторые базовые правила. Проверяйте, что ваш аккаунт…

Ольга Арсланова: Для всех?

Иван Бегтин: Да.

Ольга Арсланова: Они могут быть для всех полезны.

Иван Бегтин: Использовать антивирусы, безусловно. Регулярно проверять компьютер, мобильное устройство при необходимости – это безусловно. Если вы опасаетесь корпоративной слежки или слежки вашего провайдера, то использовать VPN. Здесь вопрос не в юрисдикции. Можете хоть через Россию VPN гонять, неважно. Главное, чтобы ваш провайдер вас не видел. Безусловно, это все то, что касается использования паролей: не использовать одинаковые пароли на разных сайтах. Если утечет с одного, то у вас будут скомпрометированы все ваши аккаунты.

Петр Кузнецов: Это про меня. Я понял. Просто эти пароли потом надо где-то записывать – в тех же заметках. Понимаете, тут замкнутый круг получается. Так же, как сканы паспортов. Вроде бы хранишь в почте, чтобы…

Иван Бегтин: Система управления паролями. Особенно если вы используете какой-то не очень доверенный ресурс, не используйте ваши типовые пароли. Стандартный способ взлома вашего почтового аккаунта: если взломали какой-то сервис иной, а там вы были авторизованы по е-мейлу, то хакеры просто могут его использовать для подбора. И защищает от этого только двойная аутентификация, которую тоже надо включать. Либо это специальное приложение авторизации, либо это эсэмэска.

Ольга Арсланова: А если мы говорим о прослушке и о чтении мессенджеров – правда ли, что за нами всеми следят? Кому бы мы сдались?.. Но – тем не менее.

Петр Кузнецов: Просто видят экран онлайн.

Ольга Арсланова: И где можно чувствовать себя более безопасно? Ну, если вдруг кто-то переживает, собирается на какие-то, не знаю, акции протеста, а у него запрещено на работе, или делится какой-то информацией, которую хочет скрыть по каким-то причинам, не противозаконной.

Иван Бегтин: В вашем вопросе было одновременно два ответа на это.

Ольга Арсланова: Извините.

Иван Бегтин: С одной стороны – да, за всеми следят. С другой стороны – кому мы нужны? Понимаете, особенность Большого Брата в мире современном в том, что в первую очередь вы нужны, как ни странно, не спецслужбам и не правоохранительным органам, если вы, конечно, не в Китае живете или в одной из Корей.

Ольга Арсланова: Ну, мы про Россию.

Иван Бегтин: Первый объект интереса – это все компании, которые следят за вашей активностью, желая вам что-то продать. То есть – рыночная слежка. «Яндекс», Google, все корпорации в принципе.

Петр Кузнецов: Максимум, что воруют – это наше время, да?

Иван Бегтин: Ну, это не совсем. Все-таки здесь есть возможность потребительского манипулирования у тех компаний, которые знают…

Ольга Арсланова: То есть те, кто хочет нам что-то впарить, они на первом месте?

Петр Кузнецов: Смотря в какой ситуации нас застали.

Иван Бегтин: Да, на самом деле побудить вас к эмоциональным покупкам, спонтанным, как их называют. Это первое. И это то, с чем надо бороться всякими устройствами, приложениями, сервисами. Вот VPN от этого защищает: ваш провайдер не отследит, куда вы ходите, который тоже сливает информацию. Если вы ставите специальные блокировщики рекламы, блокировщики трекеров – это защищает.

Вторые, кто следят – конечно, это всегда делают спецслужбы, в какой стране вы бы ни находились, и правоохранительные органы. Но они работают в двух режимах. Один уровень слежки, условно, – постоянно. Это «закон Яровой», трафик, анализ. И второй – это режим СОРМ, СОРМ-2, СОРМ-3. Это те специальные механизмы, когда следят за определенными группами людей.

Ну, по умолчанию надо исходить из того, что слежка есть. Не надо, значит, говорить о том, о чем не надо говорить. Я всегда говорю: если в стране есть такие механизмы, исходите по умолчанию из того, что следят.

И третье, которое на самом деле иногда важнее, чем второе, – это корпоративная слежка. В большинстве стран работодатели следят за сотрудниками и всем, что они делают на своих телефонах, компьютерах, гораздо более тщательно, чем даже государство, потому что оберегать корпоративную тайну часто бывает важнее. И доходит вплоть до того, что они заменяют базовые станции, которые ставят сотовые операторы, до того, что они следят за трафиком абсолютно и отслеживают любую переписку, любое письмо, личное или корпоративное, с конкурентами.

Ольга Арсланова: С корпоративного компьютера?

Иван Бегтин: Безусловно. Следят и за домашними компьютерами, и за многим другим. Во многих вполне развитых европейских странах это прямо прописано в corporate policy. Ну, там такой, я бы сказал, жесткий тоталитаризм в части обмена информацией.

Ольга Арсланова: А у нас?

Иван Бегтин: Ну, у нас в крупных корпорациях, в основном связанных с оборонкой, но не только, и в западных представительствах тоже довольно жесткие правила по контролю за личными устройствами, по контролю за корпоративными устройствами. Это просто та цена, которую вы платите за социальные льготы разные, гарантии и высокую зарплату.

Ольга Арсланова: Но люди обычно знают о том, что у них в компании это происходит?

Иван Бегтин: Ну, большинство из них подписывают соответствующие бумаги, что они находятся фактически под некоторым наблюдением. Иногда есть судебные разбирательства в разных странах, когда это прямо достигает совсем уже каких-то нарушающих права человека масштабов. Ну, это тоже имеет место быть.

Петр Кузнецов: А глазок камеры на ноутбуке тоже лучше заклеить?

Иван Бегтин: Я говорю, что надо исходить из того, что по умолчанию за вами следят всегда. Но вопрос масштаба паранойи – это насколько вы уровень своей тревожности хотите поднять.

Петр Кузнецов: Если спокойнее от этого – ну, пожалуйста.

Иван Бегтин: Если спокойнее, то лучше не пользоваться ноутбуком с камерой вообще.

Петр Кузнецов: Тоже вариант.

Ольга Арсланова: И вообще никаких приложений банковских, например, не иметь на смартфоне.

Иван Бегтин: Желательно выключить сотовый телефон и никогда не появляться в зоне действия мобильных устройств. И желательно даже не выходить из леса и других укрытий, чтобы вас спутники тоже не заметили. Это идеальный сценарий, если вы бегаете от спецслужб, причем от спецслужб всего мира. Тогда вас точно не отследят.

А если вы как-то живете обычной жизнью, то просто некоторые правила информационной гигиены: антивирусы, не пользоваться неправильными сервисами и быстро менять пароли, если вы чувствуете, что они скомпрометированы.

Петр Кузнецов: Давайте послушаем Алексея из Москвы.

Ольга Арсланова: Здравствуйте, Алексей, добрый вечер.

Зритель: Здравствуйте. У меня такой вопрос Ивану. Мы научились собирать разрешения на обработку персональных данных. А как-то этот вопрос в обратную сторону работает? Например, я в силу работы регистрируюсь периодически на каких-то сервисах в ознакомительных целях. В принципе, я уже счет потерял, ну, не знаю, где я зарегистрировался, по каким адресам. Соответственно, не планируется, может быть, какой-то сервис, по которому ты можешь, например, отследить те компании, которые получили от тебя разрешение на обработку? Насколько я понимаю, собрать данные, поставить галочку на сайте или на бумажечке сейчас можно легко. А вот забрать разрешение не так легко, не так механизм отработан. Есть ли какие-то…

Петр Кузнецов: Противоядия, Алексей, да?

Зритель: Да.

Петр Кузнецов: Тут, кстати, заодно спрашивали… Спасибо большое за вопрос. Заодно спрашивали тут… Не найду сейчас. Суть в том, что если уходишь из банка, закрываешь потребкредит, обязаны ли вслед за моим уходом уничтожать все данные, которые у них есть, при оформлении кредита?

Ольга Арсланова: Причем при тебе.

Петр Кузнецов: Прямо при тебе. Знаете, карту же перерезают, которую ты сдаешь.

Иван Бегтин: А толку? Если даже при вас их сожгут на красивом костре…

Ольга Арсланова: Эффектно!

Петр Кузнецов: Но у них есть еще одна ксерокопия!

Иван Бегтин: Нет, подождите. Из Росфинмониторинга, из банка и из ЦБ это никуда не уйдет, это навсегда. Надо понимать, что некоторые ваши действия необратимые. Ваша кредитная история – это навсегда. Там есть определенная процедура, когда вы можете ее исправить, она очень четко и жестко регламентирована. Но, в принципе… Я всегда всем говорю: «Береги честь смолоду. Не делай того, о чем потом будешь жалеть, потому что это на всю жизнь».

Петр Кузнецов: Не берите кредит.

Иван Бегтин: Да, не берите кредит.

Ольга Арсланова: Или, по крайней мере, гасите его.

Иван Бегтин: Да. И желательно в пубертатном возрасте ничего не публикуйте в соцсетях, потому что это тоже навсегда.

Ольга Арсланова: Это самое опасное время.

Иван Бегтин: Даже если все удалить, оно останется.

Ольга Арсланова: Серьезно?

Иван Бегтин: Да. Все, что вы удаляете в социальных сетях, никуда не исчезает. Это тоже надо понимать.

Петр Кузнецов: Ну почему только в пубертатном?..

Иван Бегтин: Пубертатный возраст растягивается.

Петр Кузнецов: И к вопросу Алексея об общем ресурсе виртуальном.

Иван Бегтин: Это давняя идея, о ней много лет говорят. В мире такого унифицированного нигде нет. Про Россию были разговоры подобные у коллег в Минкомсвязи. Они действительно предлагали так, чтобы через Госуслуги. Во-первых, компании бы уведомляли туда о том, что данные используются. И чтобы вы могли через Госуслуги централизованно отозвать это право.

Идея хорошая, я ее всячески поддерживаю. Я очень надеюсь, что она будет как-то реализовываться. У нее есть одно важное, важнейшее, я бы сказал, ограничение. Первое – надо понять, к чему это привязать, то есть как это сделать. Вам надо через Госуслуги… Например, если регистрироваться на этом сайте, готовы ли вы с таким подходом к приватности, что государство будет всегда знать, на каких услугах вы зарегистрированы?

Второе – это куча сервисов, которые не находятся в российской юрисдикции. Если вы зарегистрировались в сервисах Microsoft, Google – ну, предположим, они гиганты, и с ними еще как-то правительство договорится о том, что они передают информацию. Но есть куча маленьких стартапов, находящихся в основном за пределами российской юрисдикции, которые не будут следовать этим правилам. И что тогда будет происходить? Роскомнадзор будет массово банить всех тех, кто не будет следовать российским законам?

Вот у Евросоюза есть экстерриториальный GDPR. То есть здесь нужен такой же экстерриториальный закон. Но у Евросоюза есть влияние на мировую экономику, а у нас не особо, поэтому не будет это работать. Но для российских точно надо. Я всячески поддерживаю. Я считаю, что… я надеюсь, что Минкомсвязи в ближайшие месяцы как-то подробнее расскажет о том, что они делают.

Петр Кузнецов: На МФЦ много жалоб.

Ольга Арсланова: Вот еще история, история вот какая из Вологды: «Сын «засветил» данные при устройстве на работу, и теперь его на имя открыты две подставные фирмы в разных городах и взят заем в микрофинансовой организации».

Петр Кузнецов: Кстати, Томск пишет, не разделяет все эти опасения, пишет следующее: «Даже если представить ситуацию, что кто-то оформил на мой паспорт кредит, то я ведь его не брал. И это достаточно легко доказать. Это не моя проблема, что с помощью моего паспорта кто-то кинул банк».

Ольга Арсланова: Или все-таки моя?

Иван Бегтин: Люди, которые так рассуждают…

Петр Кузнецов: Как Томск?

Иван Бегтин: Да, как в Томске. Они, к сожалению, никогда не сталкивались, например, с опечатками в паспорте или с опечатками в каких-то других документах официальных. Вы могли не брать этот кредит, но вы задолбаетесь ездить в тот регион, где взяли, и доказывать, что вы его не брали. К подобным нарушениям не надо относиться слишком легко.

Больше того, если производились какие-то прямо мошеннические операции, например, зарегистрировали компанию и через нее прогнали несколько миллиардов, закрыли ее, то придут потом к тому человеку, на которого ее оформляли. Но я еще раз повторюсь, что все эти случаи возможны только при наличии некоторого сговора тех людей, которые украли данные, и тех людей, которые провели операции и действия. Ну, это всегда сговор.

Другая проблема в том, что, в принципе, есть большой опять же подпольный рынок торговли идентифицирующими документами, и можно прямо купить сканы паспортов в товарном количестве, у них будет четкий ценник. Ну что я могу сказать? К сожалению, правоохранительная система наша с этим нормально не борется.

Ольга Арсланова: А почему с этим наша система не борется?

Иван Бегтин: Может быть, потому, что она в это вовлечена, учитывая, что очень много данных, которые могут быть только у очень конкретных органов власти. Ну, предположим, что они не сознательно это делают, а просто недостаточно контролируют сотрудников, имеющих к этому доступ.

Петр Кузнецов: Вот как раз к этому несколько историй, как раз про МФЦ. «Получила из МФЦ сообщение: «Ваши документы готовы». Приехала в МФЦ. Специалист спрашивает: «Вы сдавали документы на прописку?» Отвечаю: «Нет, никакие документы не сдавала». Ответ: «Значит, SMS отправлена ошибочно».

Краснодарский край: «Сдали документы в МФЦ на оформление земельного участка. С нас взяли номера телефонов у всех членов семьи. Сказали, что позвонят, когда будут готовы документы. Ждем четыре месяца. Идем к ним. Документы готовы еще месяц назад. Никто не звонил. Зачем брали номера телефонов?»

Ольга Арсланова: Ну, чтобы были.

Петр Кузнецов: И вот еще Челябинская область пишет…

Ольга Арсланова: Да, интересно.

Петр Кузнецов: «Банк, – не будем называть, – несколько раз звонил, предлагал свою карту. Спрашиваю: «Откуда мои данные? Никогда не имел отношений с банком». Ответ: «Вы работали с нашими партнерами».

Иван Бегтин: Ну, я могу вам сказать, что… Простой пример тоже из жизни. Вы регистрируете юрлицо – и буквально через несколько минут после официальной регистрации в ФНС вам начинают звонить банки с предложениями открыть счет.

Ольга Арсланова: Какие молодцы!

Иван Бегтин: При том, что в публичном доступе после регистрации юрлица контактов директора или учредителя никогда нет. Но они есть на этом самом рынке «черном», где прямо есть люди, которые официально предлагают услуги: «Платите нам ежемесячно такую-то сумму – и вы каждый день будете получать все новые открытые юрлица с контактами директоров». Это слив из ФНС, безусловно. Борется ли с этим хоть кто-то?

Ольга Арсланова: А это как-то можно вообще доказать? Ну, то есть понятно вроде бы, очевидно откуда. А как докажешь?

Иван Бегтин: Ну как? Если вам позвонил банк – соответственно, записать его название. Отправить туда оперативно-следственную группу, изъять документы, переписки сотрудников, которые за это отвечали. Но это же надо проделать. А после регистрации юрлица вам звонят не абы какие левые банки, а вполне себе… одни из крупнейших в России (не буду их называть ради рекламы), которые делают это очень оперативно.

При мне коллега какое-то время назад регистрировал юридическое лицо, где он был оформлен директором. Немедленно просто он получил шквал звонков! Это утечка персональных данных. Но это не в мошеннических целях, а с целью впарить конкретный продукт.

Ольга Арсланова: Вопрос лично вам от нашего зрителя, который как у информированного человека спрашивает: «Зачистили ли вы свои персональные данные?»

Петр Кузнецов: Я думал, номер паспорта спросит.

Ольга Арсланова: И как вы их лично защищаете? Какие ресурсы не посещаете? Какие данные закрываете?

Иван Бегтин: Ну, некоторое время назад на РБК вышла серия статей об утечках персональных данных на электронных торговых площадках и в некоторых государственных системах. Эта тема возникла не из воздуха, а после того, как я нашел свои личные персональные данные в открытом доступе в этих самых системах. И я как-то немножко, честно говоря, расстроился, обиделся и немножко разозлился. И все это в совокупности привело к тому, что анализ – и швырнуть это в СМИ. После чего хотя бы часть из этого была удалена.

Но я могу сказать, что такой очень неприятный результат этого всего: писать в Роскомнадзор, встречаться с Роскомнадзором, говорить с Роскомнадзором бессмысленно. Их надо переименовать в какой-нибудь Росинтернетконтроль или что-нибудь такое. Они не занимаются персональными данными. В лучшем случае они занимаются отписками, но не реальной борьбой с утечками.

А помогло только максимальное опубличивание, максимальная медийность. Но так же тоже нельзя. Если мы находим какую-то утечку и закидываем ее в СМИ – это опять же подогревание ажиотажа, страхов людей. Ну нельзя постоянно эксплуатировать негатив!

Поэтому, к сожалению, сейчас в России ситуация удручающая. Я про государственную политику в защите персональных данных ничего хорошего сказать не могу. Я считаю, что она требует глубокой перезагрузки. И в первую очередь – она должна быть настоящей, действенной. Она должна быть не реактивной даже на обращения граждан, а она должна быть проактивной. А этого нет.

Петр Кузнецов: Спасибо большое.

Ольга Арсланова: Спасибо.

Петр Кузнецов: Я думаю, что многих вы заставили задуматься сегодня. Стирайте лишнее или не делайте лучше лишнего.

Спасибо большое. «Личное мнение». Иван Бегтин, председатель Ассоциации участников рынков данных.

Ольга Арсланова: Спасибо.

Авторизуйтесь, чтобы быстро и удобно комментировать
Авторизуйтесь, чтобы быстро и удобно комментировать
Комментарии (0)

Выпуски программы

  • Все видео
  • Полные выпуски