Что является главной причиной утечки персональных данных сдо ржд
СК нашел виновного в утечке персональных данных из РЖД
Сотрудникам Следственного комитета (СК) при содействии управления «К» МВД и службы безопасности «Российских железных дорог» (РЖД) удалось выявить человека, виновного в утечке в интернет персональных данных нескольких сотен тысяч сотрудников компании.
В сообщении СК говорится, что обвинение в незаконном получении и разглашении коммерческой тайны (ч. 1 ст. 183 УК РФ) и неправомерном доступе к охраняемой информации (ч. 1 ст. 272 УК РФ) предъявлено жителю Краснодарского края 1993 года рождения.
По данным следствия, в июне 2019 года обвиняемый сумел получить доступ к внутренним ресурсам компьютерной сети РЖД, незаконно использовав учетные записи двух сотрудников компании. После этого он скопировал персональные данные нескольких сотен тысяч сотрудников РЖД, в том числе руководителей компании, и выложил их в интернет.
«Молодой человек признал вину в совершении указанной кибератаки на внутренние ресурсы ОАО «РЖД». В настоящее время следствием продолжается сбор доказательственной базы, расследование уголовного дела продолжается», — говорится в сообщении СК.
В пресс-службе РЖД РБК сообщили, что компания оказывала содействие в расследовании.
«В компании усилен контроль за соблюдением защиты информационных систем, прорабатываются дополнительные технические и организационные мероприятия по повышению уровня информационной безопасности», — сообщил собеседник агентства.
В августе на одном из сайтов были опубликованы имена, номера телефонов, должности, фотографии в форме и номера СНИЛС 703 тыс. сотрудников РЖД. Компания тогда заверила, что персональные данные пассажиров похищены не были, и начала служебную проверку. Позднее СК сообщил, что злоумышленники получили доступ к данным «в результате несанкционированного проникновения в информационные служебные ресурсы» РЖД.
В середине ноября один из пассажиров высокоскоростного поезда «Сапсан» сообщил, что сумел взломать его информационно-развлекательную систему и получить доступ к базе данных, в которой была информация по всем пассажирам «текущего и прошлых рейсов».
Что является главной причиной утечки персональных данных сдо ржд
Скачать умную клавиатуру Очень рекомендуем скачать умную клавиатуру с автоисправлением от Яндекса на свой телефон
С этой клавиатурой вы сможете в 3 раза быстрее вводить текст в поле поиска
Поделится с коллегами:
Ответ на вопрос находится ниже.
| Ваша справедливая оценка ответа на этот вопрос | ||||
|---|---|---|---|---|
| Что является главной причиной утечки персональных данных? СДО |
|---|
| ► Ошибки в функционировании информационной системы |
| ► Невыполнение должностных инструкций либо пренебрежение элементарными средствами защиты информации |
| ► Нелицензионное программное обеспечение, используемое в компании |
| ► Неправильное хранение персональных данных |
Наш онлайн-проект «ПроКонспект» является Вашим индивидуальным интернет-помощником.
По оформлению сайта, рекламе и багам обращайтесь к администратору в группе ВКонтакте
Администрация сайта ПроКонспект.рф
Метрика.Яндекс
Все права защищены.
Эксперт рассказал о причинах утечки персональных данных
Персональные данные жителей России, в том числе паспортные, периодически оказываются в руках мошенников. В какие моменты это чаще всего происходит, рассказал координатор Центра безопасного интернета Урван Парфентьев.
Он отметил, что к персональным данным относится обширный спектр сведений о человеке. Но злоумышленников в первую очередь интересует та информация, которая открывает доступ к деньгам. Для получения сведений о банковских счетах мошенники обычно используют социальную инженерию, а паспортные данные граждан оказываются в распоряжении аферистов из-за ошибки, которую совершают некоторые компании. Как правило, злоумышленники получают доступ к данным, которые вовремя не удаляются.
«В большинстве случаев утечки персональных данных возникают в связи с тем, что они продолжают храниться после того, как цель их сбора и обработки была достигнута. То есть у компании уже нет необходимости хранить персональные данные, но их продолжают хранить, что привлекает внимание злоумышленников», – приводит слова Парфентьева радио Sputnik.
Он добавил, что в преступном мире всегда имеется спрос на паспортные данные. По мнению эксперта, чтобы защитить людей от утечек, необходимо внести некоторые изменения в правила предоставления услуг. Он пояснил, что сейчас человек не может получить услугу, если предоставит личные сведения компаниям.
«В этом плане необходимо некоторое изменение государственного регулирования предоставления персональных данных», – заявил Парфентьев.
Ранее россиян предупредили о кражах цифровой личности. Под угрозой оказываются почти все россияне трудоспособного возраста, которые имеют деньги на счетах.
Персональные данные: как их защищать и чем опасны утечки
Вспомним несколько недавних происшествий, связанных с массовыми утечками ПДн.
В апреле 2019 стало известно о том, что некоторые электронные торговые площадки выкладывают в открытый доступ персональные данные участников закупок. Скомпрометировано более двух миллионов записей, в том числе номера СНИЛС, паспортов и сведений о трудоустройстве.
В апреле Следственный комитет сообщил о начале проверки информации об обнаружении в открытом доступе в интернете базы данных пациентов скорой помощи нескольких подмосковных городов (Мытищи, Дмитров, Долгопрудный, Королев и Балашиха). В открытом доступе оказались имена, адреса, телефоны и сведения о состоянии здоровья обратившихся к врачам.
Месяцем позже стало известно, что в результате утечек из государственных информационных систем в открытом доступе находятся записи реестра субсидий федерального бюджета Минфина, реестра отчётов некоммерческих организаций Минюста, реестра обращений граждан на портале Роструда «Электронный Инспектор», информационной системы «Правовые акты ФАС России», портала торгов по госимуществу ФАС, портала управления многоквартирными домами Москвы, московского портала закупок и портала государственного и муниципального заказа федерального казначейства.
Также в СМИ появилась информация о том, что одна из крупных российских платформ для продажи билетов на развлекательные мероприятия хранит десятки тысяч уже проданных электронных билетов в открытом доступе. Любой человек может получить доступ к персональным данным пользователей платформы, в том числе к паролям клиентов.
Систематически в масштабных утечках персональной информации обвиняются социальные сети, в частности Facebook.
Что такое персональные данные
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Так указано в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», этот федеральный закон регулирует обработку персональных данных.
Также согласно 152-ФЗ, оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
К персональным данным могут быть отнесены фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Главное условие — по этим данным должно быть возможно однозначно определить, к какому конкретно человеку она относится.
Например, информация вида «Иванов Иван Иванович» сама по себе не позволяет определить, к кому она относится. Но информация вида «Иванов Иван Иванович, родившийся 01.01.1901 в г. Керчь» уже дает возможность однозначно идентифицировать человека.
Вместе с тем если сочетание фамилии, имени и отчества является настолько редким, что явно указывает только на одного человека, такая информация уже будет считаться персональными данными.
Чем опасны утечки персональных данных
Утечка персональных данных может произойти по объективным причинам, например из-за технического сбоя, или по субъективным, к которым относятся небрежность сотрудников, хакерские атаки или корыстные цели персонала.
В любом случае, если паспортные или другие персональные данные в результате окажутся в руках злоумышленников, они могут использоваться в преступных целях.
Используя ПДн, можно получить доступ к средствам на банковских картах жертвы, а также взять кредиты в нескольких банках на имя пострадавшего. В дальнейшем взыскивать долг по ним коллекторы будут именно с того лица, на которое оформлен заём, до тех пор, пока лицо не добьется своего признания жертвой мошенничества.
Получив доступ к персональным данным, можно совершать и другие юридические действия: незаконные манипуляции с чужой недвижимостью, перевод долгов, открытие так называемых фирм-однодневок.
Как защитить персональные данные
Операторы персональных данных должны принимать меры для их защиты. Конкретного списка нет, каждый оператор самостоятельно решает, какие именно меры и в каком объеме он будет применять.
Часть мероприятий прописана в законе №152-ФЗ «О персональных данных»: в организации необходимо утвердить политику в отношении обработки персональных данных, назначить ответственного за организацию обработки персональных данных, утвердить перечень работников, имеющих доступ к персональным данным, и заключить с ними соглашение о неразглашении этих данных.
Однако просто подписать приказы и соглашения недостаточно. В зависимости от категории персональных данных и способа их обработки (в электронном виде или на бумажном носителе) потребуется также обеспечить их физическую безопасность. Например, хранить документы в сейфе, ограничить доступ к помещению посторонних лиц, вместо мусорной корзины использовать измельчитель документов и так далее.
Чтобы надлежащим образом организовать защиту электронных персональных данных, потребуется изучить ряд нормативных актов, в том числе:
Сейчас нарушение российского законодательства о персональных данных обходится дешевле, чем его исполнение. Расходы на приобретение технических средств защиты информации и их обслуживание могут оказаться в десятки раз дороже, чем уплата штрафа. В лучшем случае российские компании размещают на официальном сайте политику обработки персональных данных. Но даже этот локальный акт может оказаться декларативным, поскольку механизмы, необходимые для реальной защиты и контроля за обработкой персональных данных, например разграничение прав доступа или режим хранения, зачастую попросту отсутствуют.
Что делать, если вы узнали об утечке своих данных
Во-первых, необходимо обратиться в суд за возмещением морального вреда.
Так, житель Владивостока смог взыскать 10 тысяч рублей с ПФР за то, что его сотрудники разместили на стенде в качестве образца заявление о выдаче дубликата страхового свидетельства, заполненное на имя этого гражданина с указанием его персональных данных: ФИО, даты рождения, адреса, паспортных данных и СНИЛС (определение Приморского краевого суда от 14.07.2014 по делу № 33-5960).
В другом случае житель Башкирии обнаружил, что юрист, представляющий его интересы в деле о смерти сестры, в составе рекламы своих услуг в интернете разместил персональные данные умершей: фамилию, инициалы и дату смерти. Поскольку согласие на это брат не давал, суд взыскал в его пользу 7 тысяч рублей (апелляционное определение Верховного суда Республики Башкортостан от 18.05.2017 по делу № 33-10180/2017).
Собственница квартиры в Выборге задолжала за коммунальные услуги. Управляющая компания наняла фирму для взыскания долга. За то, что персональные данные собственницы были переданы фирме без её согласия, управляющая компания заплатила пострадавшей 5 тысяч рублей (апелляционное определение Ленинградского областного суда от 21.02.2018 № 33-337/2018 по делу № 2-2350/2017).
Заёмщик из Чувашии получил 3 тысячи рублей за то, что банк отправил письмо, адресованное ему и содержащее сведения о его кредитной карте, не по адресу, указанному в заявлении на получение кредитной карты, а по месту работы, где оно было вскрыто как служебное письмо (апелляционное определение Верховного суда Чувашской Республики по делу № 33-1265/2017).
Москвичка смогла доказать, что её персональными данными воспользовались мошенники и оформили на её имя договор, задолженность по которому с неё начала взыскивать микрофинансовая компания. В результате эта компания вынуждена была выплатить 5 тысяч рублей в качестве компенсации морального вреда за неправомерную обработку персональных данных (апелляционное определение Московского городского суда от 12.12.2018 по делу № 33-54443/2018).
Однако суды не единодушны в решениях по таким делам. Например, житель Санкт-Петербурга, на которого мошенники оформили кредит, ничего не смог получить от банка, незаконно требовавшего с него кредитный долг через коллекторов (апелляционное определение Санкт-Петербургского городского суда от 04.07.2018 № 33-13352/2018 по делу № 2-4806/2017).
Если нравственные страдания истцам по таким делам в большинстве случаев удается компенсировать, то доказать, что утечка персональных данных повлекла вред здоровью (физические страдания), значительно сложнее.
Так, жительница Санкт-Петербурга утверждала, что её самочувствие ухудшилось и ей пришлось обращаться к дерматологу и неврологу из-за судебных тяжб с банком, который пытался взыскать с неё задолженность по кредиту, оформленному на её имя мошенниками. По делу была назначена судебная экспертиза, согласно заключению которой имеющиеся у истицы заболевания в виде акне и невралгии седалищного нерва не были признаны следствием действий банка по взысканию несуществующего долга. В итоге суд взыскал с банка 10 тысяч рублей за нравственные страдания, причинённые неправомерной обработкой персональных данных (апелляционное определение Санкт-Петербургского городского суда от 16.08.2018 № 33-17089/2018 по делу № 2-293/2018).
Во-вторых, помимо морального вреда, в суде можно потребовать возмещения убытков, причинённых утечкой персональных данных. Чтобы добиться компенсации материального ущерба, потребуется доказать наличие этих убытков.
В-третьих, потребовать удалить сведения из публичного доступа. Для этого можно обратиться в суд, но чтобы более оперативно устранить утечку, сначала лучше обратиться напрямую к нарушителю.
Что грозит нарушителю
Публикация паспортных или иных персональных данных лица без его согласия нарушает законодательство в области персональных данных.
Размеры штрафов за неисполнение требований в области персональных данных указаны в КоАП в ст. 13.11. Максимальный из них — 75 тысяч рублей.
Однако сейчас нарушителей наказывают не за утечку данных, а за невыполнение формальных требований. Чтобы устранить этот пробел, в 2018 году Минкомсвязь разработала соответствующие дополнения в закон «О персональных данных» и Кодекс об административных правонарушениях.
Как упорядочивают оборот данных
Минкомсвязь разместила для общественного обсуждения два законопроекта, ужесточающих ответственность в сфере персональных данных.
Законопроекты запрещают компаниям и частным лицам создавать общедоступные базы с персональными данными, собранными из государственных и муниципальных информационных систем. Нарушение этого запрета повлечёт предупреждение или штраф в размере:
Также согласно законопроектам, операторам, которые поручают обработку персональных данных другому лицу, придется контролировать своего подрядчика и отвечать за его действия. Как именно вести такой контроль, решит сам оператор. За невыполнение обязанности по контролю оператору вынесут предупреждение или штраф:
Подрядчика ждет более суровое наказание:
Оба законопроекта по состоянию на конец мая 2019 года еще не внесены в Госдуму.
Почему утечки продолжаются
Предложенные нормы призваны стимулировать операторов персональных данных отвечать за действия подрядчиков, чтобы те не нарушали законодательство. Но эти меры могут не сработать, поскольку штрафы незначительны: чтобы законопроекты принесли результат, уплата штрафа должна обходиться дороже, чем внедрение системы защиты информации.
Такого подхода придерживались в Евросоюзе при разработке Общего регламента по защите данных (GDPR), который вступил в силу в мае 2018 года. Его исполнение обязательно для всех организаций, в том числе российских, при обработке персональной информации граждан, находящихся на территории ЕС.
В первую очередь GDPR касается компаний, которые имеют представительства в странах ЕС. Кроме того, озаботиться соответствием требованиям GDPR также должны российские компании, сайты которых переведены на язык хотя бы одной страны — члена Евросоюза или принимают через сайт платежи в валюте стран ЕС.
Максимальный штраф за нарушения положений GDPR составляет 20 миллионов евро или 4% от оборота компании (в зависимости от того, какая сумма больше).
Кроме того, серьезным стимулом для операторов ЕС обеспечивать безопасность персональных данных не на бумаге, а на деле, является обязанность уведомлять надзорный орган об утечке персональных данных.
При установлении наказания за утечку персональных данных в России целесообразно было бы учитывать подход, разработанный в ЕС, который включает в себя оценку множества параметров: набор данных, объём утечки, применяемые организацией защитные меры, последствия и так далее.
- Что является главной причиной утечки персональных данных ответ сдо
- Что является главной проблемой слова о полку игореве