Среди угроз несанкционированного использования Big Data наиболее опасны утечки персональных данных. Когда сведения о личностях сотен тысяч людей по всему миру в очередной раз «утекли» в открытый доступ, компании снова задумываются о защите информации. В этой статье мы расскажем о наиболее крупных утечках персональных данных за последние несколько лет, а также о том, как законы различных стран пытаются предупредить нелегитимное использование Big Data и насколько хорошо у них это получается (спойлер: пока не очень).
Большие данные – большие потери
Среди наиболее известных утечек информации за последние несколько лет стоит отметить следующие:
- в мае 2019 года персональные данные 900 тысяч клиентов 3-х крупных российских банков («ОТП Банк», «Альфа-банк» и «Хоум кредит») оказались в открытом доступе: ФИО, телефоны, паспортные данные и сведения о месте работы, а также информация об остатках на счетах [1];
- в апреле 2019 года в открытом доступе была обнаружена база данных MongoDB, не требующая аутентификации с информацией московских станций скорой медицинской помощи, включающая личные данные сотрудников и пациентов (дата/время вызова бригады, ФИО членов бригады, госномер и статус автомобиля бригады, адрес вызова, ФИО, дата рождения, пол и описание состояния пациента, ФИО и контактный телефон человека, вызвавшего скорую помощь) [2];
- в марте 2019 года персональные данные клиентов отечественного сервиса медицинских онлайн-консультаций Doc+ оказались в открытом доступе: по IP-адресу были доступны актуальные логи пользователей с запросами и ответами сервиса, включая ключи авторизации и личные данные (ФИО, дата рождения, ИНН, адреса прописки и фактического места проживания, телефоны, должности, электронная почта, местоположение клиентов, информация об их устройствах и IP-адресах, а также сведения о болезнях и посещениях врача) [3];
- в сентябре 2018 года в результате кибератаки на Facebook произошла утечка данных 30 миллионов пользователей [1];
- в ноябре 2018 года стало известно об утечке персональных данных 500 миллионов клиентов сети отелей Marriott: в открытый доступ попали номера паспортов, даты рождения, адреса электронной почты, почтовые адреса, даты заселения и выезда, а в некоторых случаях и даже данные банковских карт [4];
- за 2018 год от утечек данных пострадали ЦРУ, ФБР, министерства обороны США, Великобритании, Международный олимпийский комитет, Народный банк Китая, пользователей сервисов BitTorrent, GitHub, Skype, Tinder, WhatsApp, YouTube [1];
- осенью 2017 года в свободном доступе оказались досье на более чем 5,6 миллионов клиентов страховых компаний, которые включали не только персональные сведения, но также информацию об автомобилях застрахованных лиц, историю сделок и копии документов [1];
- в 2017 году одним из самых обсуждаемых инцидентов в сфере безопасности стала утечка данных актеров популярного сериала «Игра престолов»: в открытом доступе оказались номера телефонов, домашние адреса и электронная почта артистов [1];
- в 2016 году утекли персональные данные пользователей сервиса Uber: имена, адреса и телефоны 50 миллионов клиентов и 7 миллионов водителей по всему миру оказались похищены злоумышленниками. За это власти Великобритании и Голландии оштрафовали европейский Uber на $1.2 миллиона [5].
Как законы борются с утечками Big Data
По наблюдениям сотрудников Аналитического центра InfoWatch, сегодня во многих странах наблюдается ужесточение административного регулирования безопасности данных: повышение штрафов, выдвижение новых требований [6]. В частности, введение генерального регламента по защите персональных данных (General Data Protection Regulation, GDPR) с мая 2018 года ужесточает ответственность за нарушение правил их обработки: штрафы за несоблюдение требований этого европейского постановления могут достигать 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. При этом GDPR имеет экстерриториальное действие и применяется ко всем предприятиям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от их местонахождения. Поэтому филиалы российских организаций на территории ЕС, а также отечественные компании, оказывающие услуги гражданам ЕС, должны соответствовать требованиям GDPR [7].
На этом фоне регуляторная политика России выглядит достаточно мягкой: пострадавшие от утечек персональных данных могут рассчитывать на компенсацию причиненного вреда по результатам судебного разбирательства от 4 до 50 тысяч рублей (ст. 13.11 КОАП «Нарушение законодательства РФ в области персональных данных») [6]. Несмотря на наличие законов о защите персональных данных (закон № 152-ФЗ «О персональных данных» от 27.07.2006), а также банковской, государственной, коммерческой тайне и статей уголовного кодекса об их нарушении (ст. 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну», ст. 137 УК РФ «Нарушение неприкосновенности частной жизни») государственное регулирование в области защиты Big Data до сих пор несовершенно [8]. Даже ужесточение штрафов (от 30 тысяч до 18 миллионов рублей [9]) за нарушение федерального закона, который предписывает хранение персональных данных россиян на территории страны (ФЗ № 242-ФЗ от 21 июля 2014 г.), не гарантирует защиты информации от утечек. Ведь, помимо регламентирующих документов наказующего характера, необходимы подробные организационные и технические регламенты, соблюдение которых позволит гарантировать безопасность больших данных. Эти вопросы мы рассмотрим в нашей следующей статье про уязвимости хадуп.
А как самостоятельно обеспечить безопасность кластера Hadoop, узнайте в нашем учебном центре – практические курсы обучения пользователей, инженеров, администраторов и аналитиков Big Data в Москве: DSEC: Безопасность озера данных Hadoop
Источники
- https://tass.ru/obschestvo/5709052
- https://habr.com/ru/post/447290/
- https://www.the-village.ru/village/city/news-city/344493-utechka-doc
- https://habr.com/ru/company/devicelockdlp/blog/431682/
- https://habr.com/ru/company/devicelockdlp/blog/431256/
- https://www.cio.ru/news/280519-InfoWatch-tsennost-personalnyh-dannyh-rastet
- https://habr.com/ru/company/digitalrightscenter/blog/344064/
- https://www.it-world.ru/it-news/security/117831.html
- https://www.rbc.ru/politics/13/06/2019/5d024e229a79473f7afc3cf1