Некоторые методы и меры правовой и технологической защиты от утечки информации



В статье автор рассматривает некоторые проблемы защищенности персональных данных в интернет-пространстве и проблемы правонарушений, связанные с кражей личных и корпоративных данных. Представлены меры правового пресечения противоправных действий по отношению к компаниям, допустившим утечку данных своих клиентов, и по отношению к злоумышленникам, нацеленным на кражу информации для использования в личных целях. Были рассмотрены методы защиты информации и способы противодействия злоумышленникам.

Ключевые слова: данные, вредоносное программное обеспечение, атака, сеть, утечка данных.

Современные информационные технологии в нашей жизни становятся обыденностью. Все компании — от самых малых до крупнейших — пользуются возможностями интернет-пространства, создавая собственные веб-сайты, приложения, публикуя рекламу в сети. Коснулись технологии и рядовых пользователей, которые пользуются подобными услугами компаний. Как правило, для полноценной реализации функционала, сервисы требуют от пользователя ввода персональных данных в качестве регистрационных, используемых для подтверждения личности.

Однако подобное распространение информационных технологий, несмотря на неоспоримые преимущества, также вносят риски. Киберпреступления, совершаемые путем атак на системы, с целью нарушить ее работу или извлечь финансовую выгоду случаются все чаще и чаще, а методы совершения подобных преступлений становятся все разнообразней [1]. Киберпреступниками — людьми, совершающими преступления в поле информационных технологий — разрабатывается все более современное и изощренное вредоносное программное обеспечение, при помощи которого происходит дестабилизация и вывод из строя целых систем, слежка за внутренними действиями компании или пользователей, а также кража данных, например, личных данных пользователей и клиентов компании, секретные данные компаний и других.

Штрафы и наказания за утечку данных со стороны компаний были ничтожно малы. Одним из наиболее ярких примеров является случай компании «Яндекс» и ее дочерней компании «Яндекс. Еда», когда 21 апреля 2022 года компания была оштрафована на 60 тыс. рублей за утечку данных пользователей, а именно: имен, адресов, номеров телефонов и адресов электронных почт. Общее количество пользователей, попавших под атаку, не уточняется, но известно, что данные о пользователях были взяты из более чем 58 тыс. заказов в сервисе компании, что позволяет установить потенциальное максимальное количество пользователей, равное количеству заказов. Максимальное наказание за нарушение статьи ч.1 ст. 13.11 Кодекса об административных правонарушениях «О нарушении законодательства Российской Федерации в области персональных данных» составляет 100 тыс. рублей, что, объективно, не является большой суммой для крупных компаний [2].

4 декабря 2023 года в Госдуме был внесен пакет поправок, предусматривающих ужесточение ответственности за утечки персональных данных. Теперь, если утечка касается от 1 тыс. до 10 тыс. субъектов персональных данных, штраф компаниям составляет от 3 млн. до 5 млн. рублей, за утечку данных от 10 тыс. до 100 тыс. субъектов — от 4 млн. до 10 млн. рублей, а более 100 тыс. — от 10 млн. до 15 млн. рублей. При этом, повторное правонарушение карается штрафом от 0,1 до 3 % выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн. рублей и не более 500 млн. рублей [3].

Наказания существуют и для самих киберпреступников. Уголовный кодекс Российской Федерации (далее «УК РФ») вбирает в себя статьи, регулирующие и устанавливающие наказания для преступников в информационном пространстве. Статьи 272 («Неправомерный доступ к компьютерной информации») [4], 273 («Создание, использование и распространение вредоносных компьютерных программ») [5], 274 («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей») [6] и 274.1 («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации») [7] УК РФ были созданы для правомерного наказания по отношению к киберпреступникам. Наказания по этим статьям варьируются от штрафа в 100 тысяч рублей до лишения свободы сроком до 10-ти лет.

Однако гораздо лучше пресекать проблему заранее, чем бороться с ее последствиями. Сейчас, большая часть компаний имеют в своем распоряжении закрытые корпоративные сети, которые охватывают даже тех сотрудников, которые работают дистанционно. Такая сеть называется интранет — локальная сеть, развернутая внутри организации [8]. Интранет-решение несет идею создания единой, защищенной системы для эффективного выполнения рабочих задач.

Несмотря на сильное развитие сферы информационной безопасности, причиной утечек может стать и простой человеческий фактор. Так, основной причиной утечек данных в компаниях является отсутствие системы корпоративного обучения информационной безопасности, в том числе инструкций по работе с документами и секретными данными. Зачастую, сотрудники обмениваются паролями и конфиденциальной информацией прямо в мессенджерах или попросту ставят слишком простой пароль, который легко подобрать или угадать [9].

Защитить компании, однако, возможно, но это требует комплексного подхода руководства компаний и ответственности сотрудников. Руководство должно разработать четкую политику безопасности, направленную на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников и уменьшение рисков от непреднамеренных ошибочных действий персонала. Затем, руководству необходимо провести обучение сотрудников данной политике безопасности и, впоследствии, проводить тестирования на знания правил безопасности в информационном пространстве и отслеживание соблюдения политики безопасности. Сотрудникам необходимо ответственно подойти к ее соблюдению.

Современное вредоносное программное обеспечение вбирает в себя технологии, позволяющие злоумышленникам получать доступ к устройствам, учетным записям и данным пользователей. Однако, на сегодняшний день множество компаний по разработке программного обеспечения, направленного на защиту данных пользователей, представляют миру новые продукты, в которых используют все более современные и надежные методы защиты. Такое программное обеспечение называется антивирус. Для обеспечения защищенности и своевременной нейтрализации вредоносного программного обеспечения требуется установить антивирус на используемое устройство.

Хотя антивирусы и дают высокий уровень защиты, они порой не способны своевременно вычислить вредоносное программное обеспечение, потому, пользователям не стоит забывать об основных правилах безопасности в сети, которые помогут защитить свои данные.

Для обеспечения защищенности от потенциальных киберпреступлений, пользователям необходимо избирательно относится к публикуемой информации в социальных сетях, не допуская появления в открытом доступе персональных данных, таких как адрес проживания, паспортных данных, данных банковских карт и других. Также, необходимо ограничивать круг лиц, которым доступна страница пользователя и содержащаяся на ней информация, допуская до них только доверенных лиц, как родственников, близких друзей и других [10].

Во избежание кражи данных требуется избегать общедоступных «облачных» хранилищ данных, доступ к которым легко может получить злоумышленник [10].

Пользователям нельзя допускать разглашения личной информации третьим лицам в переписке, по телефону, лично и иными другими способами. Даже самая незначительная, на первый взгляд, информация может стать причиной несанкционированного доступа к данным пользователя. Например, оглашенная кличка питомца может быть ответом на секретный вопрос при смене пароля или получении доступа к учетной записи на различных сервисах [10].

Для общения в переписке на личные темы с доверенными лицами, пользователям рекомендуется использовать сервисы, диалоги пользователей в которых защищены сквозным шифрованием, при котором переписка шифруется, а ключи расшифровки доступны только собеседникам [10].

Нередко причиной получения доступа к личным учетным записям и данным, на них содержащихся, является простой пароль, который легко угадывается или подбирается. Во избежание подобных инцидентов, требуется ставить длинные и сложно-угадываемые пароли, содержащие непоследовательные символы [10].

Таким образом, в наши дни разрабатывается множество методов противодействия злоумышленникам в интернет-пространстве, выводятся различные методики и последовательности действий, мешающие злоумышленникам получить доступ к данным компаний и пользователей, а государство повышает меры наказания за случившиеся утечки данных и недостаточность созданной информационной защиты.

Литература:

1. Что такое кибербезопасность? — Текст: электронный // Kaspersky: [сайт]. — URL: https://www.kaspersky.ru/resource-center/definitions/what-is-cyber-security (дата обращения: 14.02.2024).
2. Суд оштрафовал «Яндекс.Еду» на 60 000 рублей из-за утечки данных клиентов. — Текст: электронный // Forbes: [сайт]. — URL: https://www.forbes.ru/forbeslife/463273-sud-ostrafoval-andeks-edu-na-60–000-rublej-iz-za-utecki-dannyh-klientov (дата обращения: 14.02.2024).
3. В Госдуму внесли законопроект об ужесточении наказания за утечки данных. — Текст: электронный // РБК: [сайт]. — URL: https://www.rbc.ru/technology_and_media/04/12/2023/656b79229a7947016853c8ff (дата обращения: 14.02.2024).
4. УК РФ Статья 272. Неправомерный доступ к компьютерной информации. — Текст: электронный // Консультант: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_10699/5c337673c261a026c476d578035ce68a0ae86da0/?ysclid=lsmmuiuzyb722774029 (дата обращения: 15.02.2024).
5. УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ. — Текст: электронный // Консультант: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_10699/a4d58c1af8677d94b4fc8987c71b131f10476a76/ (дата обращения: 15.02.2024).
6. УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. — Текст: электронный // Консультант: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_10699/b5a4306016ca24a588367791e004fe4b14b0b6c9/?ysclid=lsmnu0eisi740710457 (дата обращения: 15.02.2024).
7. УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации. — Текст: электронный // Консультант: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_10699/34672bc8c82c4b6f4b7c8cd4e77a9f414fed6cb1/?ysclid=lsvf7uk7h781474272 (дата обращения: 21.02.2024).
8. Зачем компании интранет-портал? — Текст: электронный // SBlogs: [сайт]. — URL: https://www.sostav.ru/blogs/253600/33537?ysclid=lsmliszbtu657002498 (дата обращения: 15.02.2024).
9. Утечка данных: как случается и что с ними делать. — Текст: электронный // Cyber Media: [сайт]. — URL: https://securitymedia.org/info/utechka-dannykh-kto-vinovat-i-chto-delat.html (дата обращения: 14.02.2024).
10. 10 советов по защите личных данных в Интернете. — Текст: электронный // Kaspersky: [сайт]. — URL: https://www.kaspersky.ru/blog/privacy-ten-tips-2018/20898/ (дата обращения: 14.02.2024).