- Регистрация
- 30 Июн 2018
- Сообщения
- 2,003
- Реакции
- 722
- Репутация
- 16
Проблема утечки ПД пользователей социальных сетей и веб-сервисов все чаще обсуждается в СМИ. Вероятно, все слышали историю с аналитической компанией Cambridge Analytica, которая смогла заполучить персональные данные 87 млн пользователей Facebook (в том числе ).
Однако есть и менее известные кейсы с утечками ПД, масштаб проблемы которых ничуть не меньше. Разберем несколько примеров и поговорим, какие меры предпринимают регуляторы и IT-компании в попытках предотвратить подобные случаи.
/ фото
Ситуация с утечками персональных данных
В 2016 году число случаев кражи ПД на 40%, по сравнению с годом ранее. В конце весны 2016-го хакеры 360 млн учетных данных пользователей сервиса MySpace. Та же участь 164 млн адресов электронной почты и паролей социальной сети LinkedIn и 100 млн .
И «объемы» утечек только растут. Как в компании InfoWatch, занимающейся вопросами ИБ, за первое полугодие 2017 года 7,78 млрд записей с персональной и платежной информацией пользователей интернациональных сервисов. Это почти в восемь раз больше, чем в первом полугодии 2016 года (1,06 млрд), и вдвое больше, чем за весь 2016 год (3 млрд). Причем за утечки становятся как хакеры, так и сотрудники компаний (умышленно или непреднамеренно).
Например, в утечке ПД пользователей Yahoo несколькими годами ранее оказались . В 2014 году они похитили персональные данные более чем 500 млн юзеров сервиса. Согласно заявлению компании, «утечь» могли имена, адреса и телефоны, а также даты рождения. Позднее выяснилось, что в 2013 имел место другой, более серьезный случай взлома, когда хакеры заполучили информацию более чем 1 млрд пользователей Yahoo, включая пароли и ответы на секретные вопросы.
А в случае с , о котором стало известно пару месяцев назад, «слив» данных произошел по вине сотрудников компании. LocalBlox собирали данные о пользователях сразу нескольких социальных сетей — Facebook, LinkedIn, Twitter и Zillow. Среди этих данных числились: фамилия и имя, ссылки на аккаунты в соцсетях, адрес, дата рождения, почта и телефон, размер зарплаты, интересы и многое другое. Весь этот массив данных о 48 млн человек (его объем составил 1,2 терабайта) компания «оставила» в открытом хранилище Amazon. Его , занимающейся вопросами кибербезопасности.
Нельзя обойти стороной и ситуацию с Equifax, «наихудшей утечкой». В 2017 году номера соц. страхования, кредитных карт и водительских удостоверений, которые хранило кредитное бюро, попали в руки злоумышленников. Всего пострадали 143 млн клиентов.
Известны и случаи, когда к утечкам ПД пользователей оказывались причастны брокеры данных. В 2011 году была маркетинговая компания Epsilon. Тогда в сеть попали e-mail’ы миллионов людей, а их владельцы попали под серию фишинговых и спам-атак. А в 2015 году была взломана Experian. Хакеры «слили» личную информацию 15 млн пользователей.
Чтобы избежать снизить урон от подобных инцидентов в будущем, американские телекоммуникационные компании даже решили прекратить продавать брокерам геоданные клиентов. Подробнее об этом мы писали в одном из наших .
Ужесточение норм — решение или новый виток противоречий
Многие мировые эксперты и политики на том, что прошлые кейсы утечек и краж демонстрируют необходимость ужесточения государственного контроля над процессами хранения, распространения и защиты ПД пользователей. Один из самых известных законов, принятых за последнее время, — это GDPR.
GDPR должен дать гражданам ЕС больше контроля за своими данными, которые запрашивают различные онлайн-сервисы. В частности, пользователи теперь могут запретить социальным сетям распространять персональные данные без своего ведома и требовать предоставления информации о том, как они используются.
В случае нарушения требований, компаниям грозят серьезные штрафы. Они могут достигать . Потому многие сервисы уже изменили свои политики конфиденциальности соответствующим образом и внедрили новые функции. Например, чтобы выполнить требования регламента GDPR, в WhatsApp добавили возможность запроса информации об аккаунте — это настройки, фото профиля, имена групп и др. А в Instagram анонсировали новую опцию загрузки данных. О других изменениях в политиках медийных компаний .
Также регуляторы устанавливают временные рамки, в пределах которых компания о произошедшей «потере» персональных данных. По GDPR это «окно» составляет 72 часа после обнаружения «слива».
В разных странах и даже в разных штатах Америки регуляторы устанавливают сообщений о произошедших инцидентах. Например, во Флориде и Колорадо регулятора необходимо в течение 30 дней с момента обнаружения утечки. При этом по данным исследований, сейчас у американских компаний в среднем уходит на то, чтобы обнаружить потерю конфиденциальной информации. Поэтому, как отмечают в исследовательском агентстве Ponemon, компаниям придется улучшить свои показатели.
Если компания скрывает информацию о произошедшей утечке или взломе, то она рискует получить крупный штраф. В конце апреля 2018 года Комиссия по ценным бумагам и биржам США заявила, что компания Altaba (в прошлом — Yahoo) за замалчивание утечки персональных данных 2014 года. Размер штрафа (за умалчивание масштабов кражи, а не за сам факт её допущения) 35 млн долларов.
В России размеры штрафов за нарушения в сфере обработки ПД меньше. Однако в скором времени регулирование может пойти по стопам Запада. Власти страны компании страховать риски утечки персональных данных. Судьба инициативы должна решиться уже в этом месяце.
Окажутся ли подобные правительственные проекты эффективными в долгосрочной перспективе, и как они повлияют на онлайн-жизнь пользователей, еще предстоит увидеть. Так как в этой сфере все же встречаются законопроекты, с которыми не все так однозначно. Как в случае с недавней , которая была Европарламентом на этой неделе.
Однако есть и менее известные кейсы с утечками ПД, масштаб проблемы которых ничуть не меньше. Разберем несколько примеров и поговорим, какие меры предпринимают регуляторы и IT-компании в попытках предотвратить подобные случаи.
/ фото
Ситуация с утечками персональных данных
В 2016 году число случаев кражи ПД на 40%, по сравнению с годом ранее. В конце весны 2016-го хакеры 360 млн учетных данных пользователей сервиса MySpace. Та же участь 164 млн адресов электронной почты и паролей социальной сети LinkedIn и 100 млн .
И «объемы» утечек только растут. Как в компании InfoWatch, занимающейся вопросами ИБ, за первое полугодие 2017 года 7,78 млрд записей с персональной и платежной информацией пользователей интернациональных сервисов. Это почти в восемь раз больше, чем в первом полугодии 2016 года (1,06 млрд), и вдвое больше, чем за весь 2016 год (3 млрд). Причем за утечки становятся как хакеры, так и сотрудники компаний (умышленно или непреднамеренно).
Например, в утечке ПД пользователей Yahoo несколькими годами ранее оказались . В 2014 году они похитили персональные данные более чем 500 млн юзеров сервиса. Согласно заявлению компании, «утечь» могли имена, адреса и телефоны, а также даты рождения. Позднее выяснилось, что в 2013 имел место другой, более серьезный случай взлома, когда хакеры заполучили информацию более чем 1 млрд пользователей Yahoo, включая пароли и ответы на секретные вопросы.
А в случае с , о котором стало известно пару месяцев назад, «слив» данных произошел по вине сотрудников компании. LocalBlox собирали данные о пользователях сразу нескольких социальных сетей — Facebook, LinkedIn, Twitter и Zillow. Среди этих данных числились: фамилия и имя, ссылки на аккаунты в соцсетях, адрес, дата рождения, почта и телефон, размер зарплаты, интересы и многое другое. Весь этот массив данных о 48 млн человек (его объем составил 1,2 терабайта) компания «оставила» в открытом хранилище Amazon. Его , занимающейся вопросами кибербезопасности.
Нельзя обойти стороной и ситуацию с Equifax, «наихудшей утечкой». В 2017 году номера соц. страхования, кредитных карт и водительских удостоверений, которые хранило кредитное бюро, попали в руки злоумышленников. Всего пострадали 143 млн клиентов.
Известны и случаи, когда к утечкам ПД пользователей оказывались причастны брокеры данных. В 2011 году была маркетинговая компания Epsilon. Тогда в сеть попали e-mail’ы миллионов людей, а их владельцы попали под серию фишинговых и спам-атак. А в 2015 году была взломана Experian. Хакеры «слили» личную информацию 15 млн пользователей.
Чтобы избежать снизить урон от подобных инцидентов в будущем, американские телекоммуникационные компании даже решили прекратить продавать брокерам геоданные клиентов. Подробнее об этом мы писали в одном из наших .
Ужесточение норм — решение или новый виток противоречий
Многие мировые эксперты и политики на том, что прошлые кейсы утечек и краж демонстрируют необходимость ужесточения государственного контроля над процессами хранения, распространения и защиты ПД пользователей. Один из самых известных законов, принятых за последнее время, — это GDPR.
GDPR должен дать гражданам ЕС больше контроля за своими данными, которые запрашивают различные онлайн-сервисы. В частности, пользователи теперь могут запретить социальным сетям распространять персональные данные без своего ведома и требовать предоставления информации о том, как они используются.
В случае нарушения требований, компаниям грозят серьезные штрафы. Они могут достигать . Потому многие сервисы уже изменили свои политики конфиденциальности соответствующим образом и внедрили новые функции. Например, чтобы выполнить требования регламента GDPR, в WhatsApp добавили возможность запроса информации об аккаунте — это настройки, фото профиля, имена групп и др. А в Instagram анонсировали новую опцию загрузки данных. О других изменениях в политиках медийных компаний .
Также регуляторы устанавливают временные рамки, в пределах которых компания о произошедшей «потере» персональных данных. По GDPR это «окно» составляет 72 часа после обнаружения «слива».
В разных странах и даже в разных штатах Америки регуляторы устанавливают сообщений о произошедших инцидентах. Например, во Флориде и Колорадо регулятора необходимо в течение 30 дней с момента обнаружения утечки. При этом по данным исследований, сейчас у американских компаний в среднем уходит на то, чтобы обнаружить потерю конфиденциальной информации. Поэтому, как отмечают в исследовательском агентстве Ponemon, компаниям придется улучшить свои показатели.
Если компания скрывает информацию о произошедшей утечке или взломе, то она рискует получить крупный штраф. В конце апреля 2018 года Комиссия по ценным бумагам и биржам США заявила, что компания Altaba (в прошлом — Yahoo) за замалчивание утечки персональных данных 2014 года. Размер штрафа (за умалчивание масштабов кражи, а не за сам факт её допущения) 35 млн долларов.
В России размеры штрафов за нарушения в сфере обработки ПД меньше. Однако в скором времени регулирование может пойти по стопам Запада. Власти страны компании страховать риски утечки персональных данных. Судьба инициативы должна решиться уже в этом месяце.
Окажутся ли подобные правительственные проекты эффективными в долгосрочной перспективе, и как они повлияют на онлайн-жизнь пользователей, еще предстоит увидеть. Так как в этой сфере все же встречаются законопроекты, с которыми не все так однозначно. Как в случае с недавней , которая была Европарламентом на этой неделе.
vmware iaas provider