Поликлиники, интернет-магазины, сотовые операторы должны будут обезличить персональные данные своих пользователей. Таким образом эту информацию защитят от неправомерного использования мошенниками. Вполне возможно, что не за горами уменьшение вала спама на электронную почту или рекламных смс-сообщений на телефон, если человек имел неосторожность указать их в какой-нибудь "левой" анкете.
Сегодня "Российская газета" публикует приказ Роскомнадзора о требованиях и методах по обезличиванию персональных данных, обрабатываемых в информационных системах. Что же означает этот термин? "Обезличивание персональных данных позволяет без сложного шифрования убрать риск их неправомерного использования — даже если данные в открытом виде попадутся мошеннику или случайно будут переданы по обычным каналам, определить, на кого конкретно совершать атаку, будет сложнее", — объясняет риск-менеджер Ангелина Крашенинникова.
Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных в России, установил требования и методы, по которым такая информация должна быть обезличена. Это, кстати, по Закону "О персональных данных" надо делать обязательно, чтобы невозможно было установить личность гражданина, информацию о его месте жительства, интересах, покупках и здоровье. Как показывает зарубежный опыт, обезличивание — один из наиболее эффективных способов не причинить вред конкретному гражданину в случае утечки его персональных данных из информационных систем, в первую очередь создаваемых и используемых для предоставления госуслуг и в рамках федеральных целевых программ, отмечают в Роскомнадзоре.
В ближайшее время на сайте Роскомнадзора (www.rkn.gov.ru, роскомнадзор.рф) будут размещены разъяснения по применению утвержденных методов и требований по обезличиванию персональных данных. Разъяснения также направят операторам персональных данных государственных и муниципальных органов. А в 2014 году Служба намерена завершить работы по автоматизации процессов мониторинга нарушений, связанных с персональными данными. Наблюдение будет вестись отдельно в каждой из сфер распространения персональных данных: в Сети, в СМИ, в рекламе, в ЖКХ. По сути, это будет набор критериев, который сможет из большой массы информационных носителей вылавливать потенциальных нарушителей.
Роскомнадзор вместе с законодателями и другими госведомствами в последнее время создали довольно серьезный инструмент для контроля и борьбы с нарушениями закона о персональных данных. Введены новые составы преступлений, теперь их перечень покрывает практически все возможные нарушения в этой сфере. Но это не единственная сторона деятельности службы, отметили в Роскомнадзоре. Служба пытается применять также и "пряники". Как раз обезличивание является одной из мер стимулирования законопослушного поведения операторов. Оно сильно упрощает им жизнь. При этом еще и успокаивает граждан, которые получают больше гарантий в сохранности своих данных. Есть еще одна "негласная пряничная мера" — в случае, когда на организацию не поступает жалоб о нарушении прав субъектов персональных данных, Служба ставит ее в конец очереди на включение в план проверки. Есть и другие идеи по стимулированию ответственного и саморегулируемого поведения операторов персональных данных, но они требуют обсуждения. Хотелось бы на эту тему получить больше предложений, отметили в Роскомнадзоре. Все-таки операторам виднее, что их будет стимулировать "держать под замком" персональные данные.
Чаще всего данные утекают из-за социальной инженерии, халатности или пренебрежения безопасностью, продолжает риск-менеджер Банка 24.ru Ангелина Крашенинникова. Бывает, что персональную информацию сливают в широкий доступ инсайдеры — люди, имеющие непосредственный доступ к данным. "В последнее время с ростом покупок онлайн утечка персональных данных становится одной из главных проблем не только в России, но и во всем мире, — говорит Неманья Никитович, управляющий директор группы Optima Infosecurity (Группа Optima). — Типичный пример — покупка билета через Интернет, когда пользователь должен указать полную информацию о себе. Последнее особенно интересует мошенников, поскольку в этом случае в Сеть попадает большое количество персональных данных. А самым распространенным способом обмана становится фишинг. Фишинговые письма легко замаскировать под поздравления. Снабжают открытку вредоносным кодом — и дело сделано. Аналогичным образом шпионские программы попадают и на телефоны клиентов банков. Здесь в ход идут фальшивые СМС-поздравления. Не так давно была поймана группа мошенников, рассылавших сообщения от имени ЦБ РФ".