Защита по-новому

Финансовый ущерб от утечек конфиденциальных сведений из корпоративных баз данных по всему миру в прошлом году по данным инновационной компании Infowatch превысил $200 млн. Крупнейшее мошенничество с медицинскими данными в США, например, оценивается в $35 млн. Как пишут российские СМИ, выходцы из стран СНГ учредили более 100 подставных клиник и рассылали от имени  реальных врачей счета за выполнение якобы оказанных услуг. Следствие не исключает, что мошенники подкупали персонал реальных медучреждений для того, чтобы получить доступ к  базам данных врачебного персонала и пациентов. Установлено, к примеру, что около 3 тыс. человек, которые якобы проходили лечение в учрежденных мошенниками больницах, в разное время являлись пациентами одной и той же клиники в Миддлтоне, штат Нью-Йорк. Второе по величине мошенничество с базами данных, по оценкам Infowatch, зарегистрировано в Китае. Украденные данные пользователей смарт-карт Octopus принесли мошенникам доход в $34 млн. (44 млн. гонконгских долларов). В Гонконге таких карт было выпущено более 20 млн. штук, и более половины из них используются ежедневно для оплаты проезда в общественном транспорте, покупок в магазинах. Также чип карты позволяет использовать Octopus в качестве ключа для доступа в офисные и жилые здания. Таким образом, все персональные данные владельцев карт стали общедоступны. 

Крупнейшие соцсети, такие как Facebook и MySpace, тоже становятся лакомым куском для мошенников, ведь в них сосредоточено огромное количество персональной информации: номера телефонов, адресов, мест работы, личные фотографии. Бреши систем безопасности, позволяющие воровать данные пользователей в неограниченном количестве, хакерские атаки, а также неправомерные действия владельцев ресурсов по предоставлению коммерческим компаниям данных пользователей — все это говорит о необходимости проработки интегрированных методов защиты информации владельцами таких баз данных.

Локальный размах

В Украине корпоративных скандалов, связанных с утечкой персональной информации из баз данных компаний, не так много, как в мировом масштабе. Но наличие проблемы с защитой индивидуальной информации каждый может прочувствовать на себе. Например, один из сотрудников издательства «Экономика», будучи клиентом обанкротившейся страховой компании «Страховые традиции», пару лет назад стал «объектом интереса» сразу нескольких страховщиков, которые перекупили базы пострадавшего игрока рынка. А в последние несколько месяцев сотрудников «Экономики» с периодичностью по нескольку раз в день атакуют рассылки, на которые они не подписывались. По большей части SMS-спам радостно оповещает абонентов «Киевстара» о новых и дешевых службах такси. На вопрос «Инвестгазеты», каким образом данные сотрудников становятся доступны для несанкционированного директ-маркетинга,  в «Киевстаре» заверили, что базой ни с кем не делятся, а данные об абонентах якобы попадают в третьи руки чаще всего по вине самих абонентов, которые участвуют в различных рекламных акциях. Либо же абоненты становятся жертвами недобросовестных рекламодателей. 

С начала этого года конфиденциальность информации в корпоративных хранилищах находится под покровительством Закона «О защите персональных данных», который диктует целый ряд норм относительно хранения и использования информации. Как видим на практике, сам закон фактически не работает, побуждая компании разве что к обязательной регистрации баз. Да и те пока зарегистрированы в мизерном количестве. Как отмечают юристы, такое печальное положение дел в определенной мере связано с чрезмерной загруженностью Государственной службы защиты персональных данных. Кроме того, считают они, не все знают о законе и о грядущих санкциях при его нарушении. А ведь с 1 января 2012  года вступает в силу норма, существенно усиливающая ответственность за нарушение законодательства о защите персональных данных, отмечает советник ЮФ «Саенко Харенко» Светлана Хеда. В частности предусматриваются крупные штрафы (до 17 тыс. грн.) и ограничение свободы виновных лиц сроком до 5 лет. «Наверняка нас ждет немало судебных дел в случае невыполнения требований закона. Это обусловлено тем, что в данный момент отсутствует достаточное количество разъяснений по его применению», — говорит Александр Паламарчук, юрист юридической фирмы «Лавринович и Партнеры».

Продолжение статьи читайте в печатной версии "Инвестгазеты"