Защита персональных данных в сети интернет

Остерегайтесь слова «бесплатно»

Как говорится, бесплатный сыр бывает только в мышеловке, и в данной ситуации это крайне актуально. Задайте себе простой вопрос: если приложение или программа являются бесплатными, то в чем же тогда выгода для создателя? Вероятнее всего, выгода заключается в том, что создатели продают вас, а точнее ваши данные. Начинается все с обилия рекламы, расположенной прямо в приложении, и заканчивается тем, что многие из них получают возможность собирать ваши данные, как только вы устанавливаете их на свой компьютер или смартфон

Поэтому внимательнее обращайтесь с «бесплатными» приложениями и программами, так как в итоге вы рискуете поплатиться за неосторожность

Тибетское плато и Пустыня Руб-эль-Хали: 7 самых труднодоступных мест Земли

В «Ходе Королевы» нет ни одного неверного шахматного хода: 7 фактов о сериале

«Мишка косолапый»: какая история стоит за конфетами, которые мы кладем под елку

Резюмируя

  • Если телефон ещё не рутован, прошивка и recovery родные, и через  recovery бэкап сделать нельзя, то придётся использовать:
  • Перед сменой прошивки или опасными экспериментами, чтобы иметь  возможность вернуть телефон в текущее состояние:
    1. сделать Nandroid Backup всех разделов из recovery
    2. если есть вероятность повредить данные на SD card, то дополнительно  сделать
  • После ручного изменения отдельных файлов в :
    1. скопировать изменённые файлы на SD card или через
  • Регулярно и автоматически:
    1. делать и заливать в облако зашифрованные бэкапы всех приложений и их  данных через Titanium Backup, настроив в нём расписания заданий (это  позволит при необходимости восстанавливать отдельные приложения и/или  их данные, причём можно хранить несколько последних бэкапов каждого  приложения)
    2. если нужно регулярно бэкапить какие-то файлы с SD card — настроить это  отдельно через какие-нибудь приложения
  • Периодически вручную:
    1. экспортировать на SD card:
      • настройки XPrivacy
      • Контакты
    2. бэкапить полностью SD card через

Upgrade

  • Обновления для OS:
    • проверяются автоматически
    • устанавливать нужно вручную
    • при необходимости не сложно откатиться на предыдущую версию
    • перед установкой новой версии необходимо предпринять дополнительные  действия, описанные ниже
  • Обновления для приложений установленных из F-Droid:
    • проверяются автоматически
    • устанавливать нужно вручную
    • при необходимости не сложно откатиться на предыдущую версию
  • Обновления для приложений установленных из Play Маркет:
    • Play Маркет предпочитает не только проверять обновления автоматически,  но и (если не отключить) автоматически обновлять приложения. Для  среднего пользователя это скорее плюс, но если вы всерьёз планируете  применить описанное в этой статье — вам скорее всего захочется  автоматические обновления отключить и контролировать что и когда  обновлять вручную.
    • Себя самого Play Маркет обновляет автоматически в любом случае.
    • Поскольку через Play Маркет гугл может в любом момент по своему  желанию незаметно установить или удалить у вас любое приложение, что  является серьёзнейшей проблемой в плане безопасности, рекомендуется  блокировать для Play Маркет доступ к интернету в то время, когда вы им  не пользуетесь.
    • проверяются вручную (из-за заблокированного доступа к интернету)
    • устанавливать можно автоматически или вручную
    • при необходимости откатиться можно только используя бэкапы старой  версии сделанные Titanium Backup (если настроено автоматическое  обновление, то для этого приложения его нужно будет отключить),  поскольку Play Маркет не даёт выбрать какую версию приложения  устанавливать
  • Обновления для приложений, установленных из других источников:
    • проверяются вручную (уникальным для каждого приложения способом)
    • устанавливать надо вручную
    • Обновления для Xposed framework и его модулей (включая XPrivacy) можно  проверять и устанавливать через сам Xposed.

Успевает ли закон за ростом и трансформацией социальных сетей и в полной ли мере он отражает все потребности этой сферы?

Нередко из СМИ можно услышать об утечках данных пользователей из различных баз данных, некоторые из сообщений за 2016 г:

  • В мае 2015 г. электронное издание tjournal.ru сообщило об утечке 6,7 млн паролей пользователей сервиса анонимных мнений «Спрашивай.ру».
  • В июне 2016 г. электронное издание Geektimes опубликовало новость, что ресурс LeakedSource сообщил об утечке в Сеть данных примерно 100 млн аккаунтов социальной сети «ВКонтакте». Эти данные не выложены в свободный доступ, но продаются. На продажу их выставил хакер с ником Peace.
  • Также в июне 2016 г. электронное издание asmo.ru сообщило об утечке паролей Twitter-аккаунтов.

По мнению некоторых экспертов, ряд требований ФЗ-152 ставит интернет-коммерцию вне закона, в том числе социальные сети в части реализации технических средств, используемых для обработки персональных данных пользователей соцсети. Например, обсуждается необходимость иметь согласие субъекта ПДн на обработку персональных данных в таком виде, чтобы это позволяло в любой момент времени подтвердить наличие такого согласия. Стоит отметить, что, на мой взгляд, юридическими методами чаще решаются последствия каких-либо действий. В качестве примера можно привести требование субъекта персональных данных об удалении его персональных данных с Интернет-ресурса или направление заявления об отзыве согласия на обработку персональных данных. Недопустимость этих последствий должна обеспечиваться техническими решениями, направленными на защиту ПДн пользователей. Прогресс остановить нельзя, и вопрос является актуальным и многогранным.

Можно, конечно, говорить о том, что закон не успевает за современными тенденциями, но в таком случае каждый сам вправе определять степень раскрытия информации о себе, и даже при таком сценарии мы всегда будем вынуждены оглядываться на закон, поскольку возможность нашей защиты обеспечивается, исходя из его требований и положений.

Способы сбора данных

Прежде чем рассматривать способы защиты личных данных, нужно понять, как они собираются. Рассмотрим пять основных методов.

1. Файлы cookie

Файлы cookie — это небольшой объем данных, сохраняемый браузером на вашем компьютере при посещении сайтов. Они делятся на два типа: файлы для отдельных сеансов и постоянные файлы. Файлы cookie для сеансов безвредны. Они позволяют нам переходить от одного раздела сайта к другому (например, со страницы продукта на страницу оформления заказа), не выполняя вход заново на каждой странице. Файлы cookie для сеанса действуют только во время текущего посещения и должны автоматически удаляться при выходе из учетной записи на сайте или при закрытии браузера. 

Постоянные файлы cookie могут быть как полезны, так и вредны. Все зависит от того, под каким углом на это посмотреть. Они сохраняются на вашем компьютере и остаются на нем. В основном они используются, чтобы отслеживать вашу историю просмотров. Например, если вы выбирали себе смартфон и искали информацию о них в интернете, то вскоре реклама подобной техники будет преследовать вас на всех сайтах. Иногда она может мешать, но может быть и полезной, если такая реклама вас интересует.

2. Создание отпечатка браузера

Когда вы посещаете сайт, его веб-сервер может передать браузеру фрагмент кода JavaScript, который выполняется браузером локально. Этот код JavaScript может собирать данные о характеристиках браузера и операционной системы (например, User agent, список установленных расширений, тип и название браузера, часовой пояс, разрешение экрана, наличие блокировки рекламы, список доступных шрифтов, данные об отрисовке WebGL, оборудовании компьютера и многом другом). Код JavaScript создает хэш собранных данных (мы называем его «отпечатком браузера») и отправляет его на веб-сервер сайта, где он обычно хранится в базе данных вместе с другой информацией.

При условии, что отпечаток уникален для вас или по крайней мере очень небольшой группы пользователей этого сайта, вас можно будет отследить при повторном посещении. Ваши действия также могут отслеживать при переходе между сайтами, использующими один список отпечатков. Так как сайту не нужно создавать и хранить файлы cookie в браузере, отпечатки браузеров также называют cookieless monsters (отсылка к персонажу «Улицы Сезам»). Это означает, что даже если в браузере не разрешено использование файлов cookie, предотвратить отслеживание будет невозможно.

Кроме того, веб-сервер сайта может считывать и анализировать ваш IP-адрес. С помощью VPN-сервиса можно скрыть свой фактический IP-адрес, но это изменит лишь небольшую долю данных, составляющих «отпечаток браузера». Иными словами, ваши действия по-прежнему можно беспрепятственно отслеживать.

3. Вредоносные приложения

Вредоносные (во всяком случае, подозрительные) приложения остаются основным средством для отслеживания персональных данных. Иногда их называют потенциально нежелательными программами (PUP). Эти программы устанавливаются с согласия пользователя, но обычно скрывают часть своих неприятных возможностей. Например, приложение для блокировки всплывающей рекламы может само устанавливать в вашей системе рекламное ПО. Другие приложения могут похищать данные о контактах, отслеживать посещаемые сайты и чаты, даже прослушивать телефонные разговоры.

4. Законный сбор

Есть еще одна категория сайтов, где мы целиком принимаем на себя ответственность за передачу личных сведений, понимая ее необходимость. Отличный пример такой ситуации — подача заявки на трудоустройство. При этом мы добровольно указываем разнообразную личную информацию. Еще один пример — покупка товаров в интернете, когда мы указываем данные банковских карт. То же относится и к бронированию гостиничного номера, особенно если нам приходится раскрывать свои паспортные данные.

5. Кража

Не проходит и недели без новостей об очередной крупной утечке данных. Это стало обычным делом. Ваши персональные данные защищены точно так же, как инфраструктура организации, в которой они хранятся. Тот, кто украл базу данных Управления кадровой службы США в 2015 году, теперь имеет доступ к персональным данным более чем 20 миллионов бывших, текущих и потенциальных сотрудников правительства США. Похититель базы данных гостиничной сети Marriott в 2018 году получил личные сведения сотен миллионов постояльцев, включая данные из нескольких миллионов паспортов.

Виды проверок

Выездные проверки

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

случилась

Требования к защите персональных данных: почему они игнорируются?

Сбор персональных данных в интернете выгоден нескольким сторонам:

— государство фиксирует сведения, которые в дальнейшем помогут раскрыть преступления;

— компании выкупают персональные данные, к которым мы добровольно открываем доступ мобильным приложениям, и предлагают нам таргетированную рекламу;

— хакеры устраивают DDoS-атаки (доведение системы до отказа), чтобы вывести из строя компьютеры;

— кибермошенники «проворачивают» финансовые махинации, получив доступ к электронной почте или другим аккаунтам.

Чтобы продемонстрировать заинтересованность государства в вопросе сбора персональных данных, приведу пример, который случился не так давно в Австралии. В связи со вспышкой COVID-19 правительство обязало всех жителей загрузить на смартфон приложение COVIDSafe, которое мониторило состояние человека. При повышении температуры и других показателей приложение, работающее через Bluetooth, передавало IP-адрес в полицию и госпиталь. Потенциально заболевший должен был сдать тест и, в случае позитивного результата, явиться в больницу. Кроме того, приложение фиксировало IP-адреса всех людей, с которыми больной контактировал в течение 15 минут, и они тоже попадали в группу риска. Несмотря на то, что запуск такого приложения был вынужденной мерой, многие австралийцы возмущались против вторжения в их личное пространство, сообщает Guardian. Теперь на официальном сайте австралийского правительства сказано, что использование COVIDSafe осуществляется на добровольной основе.

Еще один пример, как цифровые персональные данные способны «рассекретить» любую личность, связан с использованием дронов. Intelligencer заявляет, что в январе нынешнего года в Китае официально запустили дроны, которые летали над городами и фиксировали IP-адреса тех людей, которые пренебрегали необходимостью носить маски. Как утверждает Reuters, в июне этот опыт повторили в Калифорнии, причем в этом случае дополнительно отслеживали, соблюдают ли люди дистанцию.

Конечно, такое вмешательство в личное пространство оправдано, но в то же время не каждый хочет, чтобы любое действие отслеживалось. Чтобы никому не сообщать свой IP-адрес, можно его «сменить», воспользовавшись VPN, и тогда будет невозможно определить личность конкретного человека.

Что касается таргетированной рекламы, мы сами отчасти повинны в утечках персональных данных. Когда мы загружаем на смартфон приложения, нам предлагается поставить галочку в поле «Согласен на передачу персональных данных третьим лицам». Дальше приложение просит доступ к контактам, фото, видео, геолокации. Допустим, в случае с такси Uber доступ к локации все-таки придется дать, но вряд ли стоит открывать этому приложению свои контакты. А, например, фоторедактору придется открыть доступ к мультимедиа, но лучше проигнорировать просьбу мониторинга геолокации.

Сомневаетесь, так ли это важно? Два года назад The American Press опубликовали расследование, в котором сообщалось, что Google ведет несанкционированную слежку за передвижением пользователей. В результате Google предстояло судебное разбирательство

А Quartz выявили, что пользователи Android находятся под пристальным вниманием – платформа отслеживает локации, которые мы посещаем, даже если сервисы определения геолокации выключены

Кстати, если вы хотите проверить, кому вы передаете персональные данные, откройте Настройки, выберите Безопасность и Конфиденциальность – и дальше решайте, каким приложениям стоит открывать доступ к локации, а каким не нужно.

Но вернемся к передаче персональных данных третьим лицам. Если информация «утекает» к маркетологам различных компаний, на основании собранных сведений становится проще формировать предложение. Это перерастает в проблему в том случае, если хакеры взламывают базу данных компании – тогда все персональные данные попадают в руки мошенников. Причем зачастую мы даже не догадываемся об этом! Проверить, взламывали ли вашу почту в результате утечки информации, можно на сайте HaveIBeenPwned.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

Оптимизируйте свои пароли

Лучший способ избежать этого это – использовать разные пароли. Не создавать учетные записи с одинаковыми логинами и паролями для разных социальных сетей, почты, мобильного банка или личного кабинета в платежной системе. При подобной беспечности Вы очень легко потеряете свои сбережения. Избегайте использования даты своего рождения, своего имени или фамилии, название города и других легко угадываемых комбинаций.

Для того, чтобы не запутаться, Вы можете использовать специальные программы – менеджеры паролей. Они способны сохранить для Вас сотни уникальных паролей и надёжно укрыть их от посторонних глаз.

Проблемы защиты персональных данных

Исследования выявили, что многие пользователи предоставляют доступ к большему объему сведений, чем им изначально хотелось бы. И речь не только о случаях, когда, заполняя анкету на получение бонусной карты торговой сети, предлагается указать значительное количество информации. Например, я никогда не указываю в таких анкетах адрес места жительства, потому как уверен, что для понимания географии своих покупателей магазину достаточно знать город проживания, ну или в крайнем случае район. Сообщая о себе лишние подробности, человек становится уязвимее. Располагая достаточной информацией о человеке, злоумышленники могут выдать себя за вас.

Что нужно злоумышленникам?

Понятно, зачем взламывают аккаунты медийных личностей: сведения об их личной жизни можно продать за большие деньги. Но зачем взламывать профиль рядового человека? Поверьте, на то есть масса причин.

Злоумышленников интересует следующая информация:

  • доступы к вашим кредитным картам;
  • пароли от социальных сетей – чтобы рассылать спам или использовать мошеннические способы обогащения;
  • доступы к вашей личной контактной информации, чтобы перепродавать её создателям баз для рассылок и рекламы;
  • пароли от ваших аккаунтов в играх – чтобы перепродавать их третьим лицам или потребовать денег с вас же за возврат аккаунта;
  • доступы к вашему профилю на мобильных устройствах – чтобы собирать вашу личную информацию и продавать её третьим лицам или же потребовать деньги за возврат украденного профиля у вас же.

В этих и многих других ситуациях поможет продуманная защита персональных данных в Интернете.

Что такое приватность в Сети и почему она так важна?

Вмешательство в вашу личную жизнь в интернете несет реальную опасность. Злоумышленники могут взломать вашу электронную почту, украсть вашу личность, распространить информацию о состоянии вашего здоровья без вашего ведома или передать ваши банковские данные третьим лицам.

Риски намного серьезнее, чем думает большинство людей. Дело в том, что происходит с личной информацией после получения доступа к ней. Использование больших данных предполагает, что вашу историю поиска могут проанализировать и сделать на ее основе нежелательные для вас выводы. Допустим, девушка заказывает добавки с фолиевой кислотой и увлажняющий крем без отдушек. Маркетологи на основе ее покупок или истории поиска могут сделать вывод, что она ждет ребенка, и выслать на ее почтовый ящик рекламные материалы для беременных.

Если девушка живет с родителями или еще не рассказала о беременности партнеру, она вряд ли оценит такое внимание

Держитесь подальше от сети

Наилучший способ избежать нарушения конфиденциальности на работе, учитывая вышесказанное, – просто не использовать компьютер своего работодателя ни для чего другого, кроме работы в компании. Это сделать довольно просто, хотя и не всегда практично.

Очевидное решение – приносить с обой отдельное устройство для работы и личного общения. У большинства из нас всегда есть свои смартфоны, и отправка электронных писем и телефонных звонков по сотовой сети 4G, хотя и не всегда приватна, по крайней мере позволяет вам обойти ваш рабочий компьютер и сеть.

На некоторых рабочих местах также имеется бесплатный доступ к Wi-Fi, как для посетителей, так и для удобства сотрудников. Обязательно проверьте политику в отношении этого бесплатного доступа, так как он также может контролироваться, как указано выше. Чтобы быть в безопасности, используйте защищенное подключение для передачи данных с вашего телефона.

Что такое черный рынок баз данных?

Совокупность торговых площадок и пиратских форумов, на которых осуществляется торговля данными – это и есть чёрный рынок.Наибольшая часть баз, которые находятся в продаже, была получена нелегальным путём, в основном это:

  • инсайдеры – 78%,
  • целенаправленное распространение баз со стороны операторов персональных данных – 13% 
  • внешний взлом баз данных – 1%. 

Но есть и информация, которая сама по себе доступна в открытых источниках – такие данные структурируются с помощью программ парсинга и продаются за деньги. В большинстве случаев в таких базах данных содержатся персональные данные, следовательно, нарушается ФЗ-152 «О персональных данных», а при использовании данных зачастую нарушается 38-ФЗ «О рекламе».

Скачайте все, что о вас знает Google

В связи с недавним скандалом с Facebook многие скачивают все свои данные в этой социальной сети

Обратите внимание и на Google. Воспользуйтесь функцией «Сохранения данных» и скачайте информацию о себе из всех продуктов Google, которыми вы пользовались (например, Gmail, Maps и Drive)

Вы получите несколько больших файлов, в которых содержатся данные обо всех ваших действиях — от истории просмотров на YouTube до ваших поисковых запросов и местоположения. Когда вы увидите, сколько информации о вас хранится в облаке, вам захочется ее удалить.

Начните с Google Maps, чтобы никто не узнал, где и в какое время вы были. Историю перемещений можно отключить в настройках. Для этого авторизуйтесь в Google, зайдите в Google Maps и выберите в меню пункт «Хронология». В нижней части экрана есть специальные настройки.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий