Без права на ошибку
ФИО, ИНН, СНИЛС, электронная почта, номер телефона, адрес, сведения об образовании, месте работы, фотография – миллионы людей каждую секунду оставляют свои персональные данные на разных сайтах. И чтобы порталы правильно собирали и сохраняли информацию о пользователях, Роскомнадзор регулярно проводит проверки.
«Например, в начале 2024 года Управление по Калининградской области подвело итоги проверок сайтов за прошлый период. Было проанализировано 157 интернет-сайтов, на 118 выявлены признаки нарушений», — комментирует Евгений Царев, управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ.
Эксперт рассказал «Сфере» о том, какие ошибки администраторы сайтов допускали наиболее часто:
- отсутствие на портале документов, определяющих политику в отношении обработки персональных данных;
- политика оператора в отношении обработки персональных данных не соответствует требованиям закона № 152-ФЗ. В частности, не определены категории и перечень обрабатываемых персональных данных, способы, сроки обработки и хранения, а также порядок уничтожения и иные необходимые параметры;
- на сайте осуществляется сбор персональных данных посредством электронных форм и использования метрических программ (Яндекса.Метрика, Google Analytics) без получения согласия на обработку.
«Опыт работы с операторами позволяет нам выделить также и иные ошибки, например, касающиеся некорректного оформления согласия на обработку персональных данных (предоставления данных третьим лицам без указания кому именно, какие данные и для чего передаются; предпоставленная галочка и т.д.) и «нецелевой» сбор информации», - добавляет Евгений Царев.
На всякий случай
Вадим Матвиенко, руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса», рассказал «Сфере», что объём и характеристики собираемых персональных данных должны соответствовать целям оператора (то есть владельца сайта) и принципам их обработки (ст.5. ФЗ 152).
«Предположим, вы планируете делать массовую рассылку на почту и через смс-сообщения. В таком случае запрос ФИО (если это не индивидуальные предложения) или паспортных данных не соответствует целям и является нарушением закона», - говорит он.
Эксперта дополняет Евгений Царев. Случаи, когда объем собираемых компаниями персональных данных не соответствует цели сбора, учащаются.
«И здесь примечательны изменения в закон «О защите прав потребителей», которые были внесены в 2022 году как раз для борьбы со сбором персональных данных «на всякий случай». Закон запрещает понуждать потребителей к предоставлению персональных данных под угрозой отказа в предоставлении услуги. Ответственность за нарушение ст. 16 закона «О защите прав потребителей» предусмотрена ч. 7 ст. 14.8 КоАП РФ и влечет наложение штрафа на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей».
Директор департамента безопасности МФК «Лайм-Займ» Дмитрий Бойко указывает на наличие так называемой «серой» области. Речь про данные, которые однозначно не являются идентифицирующими конкретное лицо.
«Здесь единого мнения в разъяснениях регулирующих органов и судебной практике нет. Я про номер телефона или адрес электронной почты. С одной стороны, это информация о техническом устройстве лица, с которого совершаются какие-то действия. С другой стороны, номер телефона можно считать идентификатором лица по принципу его уникальности», - поясняет специалист.
Как собирать данные правильно?
Об этом подробно «Сфере» рассказал Антон Морозов, руководитель по развитию направления ИБ ООО «МАКСОФТ»:
— Создайте политику обработки персональных данных и разместите её на отдельной странице сайта. В документе должно быть прописано, какие данные и для чего вы собираете, а также, как вы планируете их использовать. Укажите ссылку на сайт, к которому она применяется, ФИО или название организации, которая получает согласие посетителя портала, а также цели обработки персональных данных. Если вы собираете cookie, это также нужно прописать в политике как отдельную цель.
— Добавьте ссылку на политику обработки персональных данных в футер сайта. Политика должна быть доступна на каждой странице, где собираются данные пользователей. Под каждой формой сбора данных разместите предупреждающий текст и бокс для галочки, которая подтверждает согласие на обработку.
— Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Причем по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.
— Создайте регламент ответов на запросы посетителей сайта. Пользователи могут запрашивать у владельцев, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.
— При необходимости подайте уведомление о трансграничной передаче персональных данных. Трансграничная передача персональных данных — это передача информации на территорию иностранного государства: органу власти, иностранному физическому или юридическому лицу.
Еще о несколько важными нюансами поделился Дмитрий Бойко. Так, необходимо вести мониторинг на предмет утечек из базы персональных данных.
«В случае обнаружения необходимо уведомить Роскомнадзор в течение 24 часов (первичное уведомление о произошедшем инциденте) и в течение 72 часов с момента обнаружения (дополнительное уведомление о результатах внутреннего расследования выявленного инцидента)», - поясняет он.
Не стоит забывать и о том, что пользователь может отозвать свое согласие на обработку.
«Поэтому на сайте должна быть информация о порядке отзыва и обеспечена техническая возможность реализации этого действия», - говорит Мария Горденко, заместитель генерального директора по информационным технологиям, старший преподаватель НИУ ВШЭ
По ее словам, владелец сайта может назначить лицо, ответственное за обработку персональных данных.
«Этот специалист должен иметь полномочия для контроля за процессом. Если пользователь отозвал согласие на обработку персональных данных или истек его срок (например, согласие было дано на 5 лет), то оператор должен обеспечить надлежащее удаление персональных данных по достижении целей обработки. Несоблюдение требований может привести к ответственности в виде штрафов, а также к запрету Роскомнадзора на обработку персональных данных, что может остановить деятельность сайта», — поясняет Мария Горденко.
Борьба с мошенничеством
Чтобы защитить пользователей от возможной утечки их биометрических данных, в Минцифры создали проект приказа. В нем прописано, что министерство сможет проверять организации, которые используют идентификацию людей по ним. Если выяснится, что компания недостаточно защищает информацию, ей могут запретить работать с биометрией. Эксперты видят в этой инициативе положительные стороны.
Так, Вадим Матвиенко считает, что биометрические данные являются критичными и мониторинг за их сбором и обработкой обязательно нужен.
«Инициатива Минцифры нацелена на повышение требований к аккредитованным операторам персональных данных, имеющим право работать с ЕБС. В частности, она направлена на проверку специалистов, отвечающих за информационную безопасность у оператора. Фактическое наличие квалифицированных специалистов ИБ у операторов, а не «на бумаге», снизит количество «сливов» из компании, так как сотрудники ИБ будут лично заинтересованы в безопасности данных. Соответственно, меньше «сливов», меньше возможностей у мошенников», - считает Матвиенко.
Мария Горденко, заместитель генерального директора по информационным технологиям, старший преподаватель НИУ ВШЭ, видит иной положительный результат от нововведения.
«Нужны законодательно установленные требования и четкое регулирование сбора, хранения и использование биометрические данных с гарантиями защиты прав граждан. Должны быть определены права и обязанности операторов, меры ответственности за нарушения. Кроме того, пользователи должны давать явное согласие на использование их биометрии, а компании - информировать о целях сбора, перечне, сроках хранения, способах обработки и условиях передачи третьим лицам», - говорит она.
Эксперт добавляет, что необходим строгий контроль за соблюдением требований в области защиты персональных данных, в том числе, регулярные проверки организаций, которые используют биометрическую идентификацию. Нарушения законодательства в этой сфере должны караться серьезными штрафами.
«Если эти условия будут выполнены, то инициатива Минцифры проверять организации, собирающие биометрические данные, действительно может снизить количество мошенничеств в сети за счет повышения уровня идентификации пользователей. Во-первых, люди станут больше доверять сбору информации, а, во-вторых, на данный момент биометрия — один из самых надежных методов идентификации», — резюмирует Мария Горденко.
Риск подделки и фальсификации данных последнее время неуклонно растет, считает Антон Морозов, руководитель по развитию направления ИБ ООО «МАКСОФТ».
«Биометрические данные приобрели несколько другую ценность. На это в частности повлияло развитие утилитарных технологий их применения, например различные банковские операции по биометрии лица, которые теперь можно делать удаленно. Также появились различные нейросети, способные генерировать дипфейки», — говорит Антон Морозов.
Подход Минцифры, уверен эксперт, может действительно способствовать снижению числа мошенничеств в сети. Во-первых, это позволит выявить и устранить потенциальные уязвимости в системах безопасности, используемых компаниями. Во-вторых, повышенный контроль и мониторинг заставят организации уделять больше внимания защите и соблюдать высокие стандарты безопасности. Однако он отмечает, что для достижения максимального эффекта необходимо также проведение регулярного аудита и обновление систем защиты в соответствии с новыми угрозами.
«Только комплексный подход, включающий как технические, так и организационные меры, сможет значительно снизить риски мошенничества и обеспечить надежную защиту биометрических данных пользователей», — утверждает Антон Морозов.
С ним согласна Анастасия Шаронова, Директор «Закон 3-ВИ». При этом она добавляет, что подтверждение личности через биометрические данные подделать сложнее, чем обычные пароли.
«Тем не менее, такие меры должны соблюдать все законы о защите данных и не нарушать права пользователей», — добавляет она.
А Евгений Новоселов, старший инженер направления автоматизации ИБ «Уральского центра систем безопасности», подчеркивает, что активный мониторинг и контроль поспособствуют укреплению доверия пользователей к организациям, которые занимаются сбором данных.
Кадровый вопрос
Согласно проекту приказа, компания, которая занимается сбором персональных данных, теперь должна будет предоставлять в Минцифры информацию о сотрудниках, осуществляющих деятельность по аутентификации на основе биометрических данных.
«Новым индикатором риска является отсутствие специалистов по информационной безопасности, непосредственно осуществляющих деятельность по аутентификации на основе биометрических персональных данных в аккредитованной организации», — говорит Дмитрий Бойко.
Он считает, что наличие отдельных специалистов по информационной безопасности — это всегда плюс, а учитывая критичность биометрических персональных данных, инициатива положительно повлияет на обеспечение безопасности.
«Однако у организаций могут возникнуть сложности в поисках квалифицированных людей, так как рынок труда еще не готов предложить нужное количество таких профессионалов», — считает Бойко.
Никита Моисеенко, специалист отдела внедрения Staffcop («Атом безопасность» входит в ГК СКБ Контур), говорит еще об одном последствии нововведений:
«Косвенно инициатива может помочь найти IT-компании, которые используют «серые» схемы и «мёртвые души» для прохождения аккредитации в Минцифры. Например, повторяющиеся имена специалистов по инфобезопасности. Если сотрудники, указанные в заявке одной компании, ранее были заявлены другой организацией, это повод провести проверку», — считает Моисеенко.
Евгений Царев также отмечает, что нововведение Минцифры могут помочь с «отсеиванием» компаний, которые не способны обеспечить требования законодательства, предъявляемые к аккредитованным биометрическим системам.
«Такой подход поможет проводить точечные проверки, при выявлении установленных «маркеров», а не всех аккредитованных компаний подряд. Как покажет себя подобный риск-ориентированный подход в нише аккредитации компаний, использующих аутентификацию пользователей при помощи биометрических данных из ЕБС, и насколько он позволит снизить количество мошенничества со сбором биометрии в сети – покажет время», — считает эксперт.
Вывод
Алексей Каминский, директор по развитию бизнеса Magic Factory Animation, резюмирует вышесказанное и выделяет сразу несколько положительных моментов инициативы Минцифры.
«Регулярные проверки обеспечат соблюдение организациями стандартов безопасности при обработке биометрических данных и повысят уверенность пользователей. Кроме того, технологии биометрической идентификации труднее подделать, что снижает риск несанкционированного доступа к личной информации. Еще один плюс в том, что введение строгих мер ответственности для организаций, нарушающих правила, станет дополнительным стимулом для соблюдения норм».