Роскомнадзор планирует ввести разные уровни доступа к персональным данным для операторов по обработке такой информации.
Об этом заявил замруководителя ведомства Милош Вагнер. Ранжирование позволит существенно уменьшить число организаций, которые сейчас получают полноценный доступ к личным данным. Такая мера должна предотвратить утечки: сейчас данные только одного согласившегося на их обработку могут оказаться у 20–30 операторов.
Операторы данных — это государственные и муниципальные органы, а также юридические и физические лица, которые могут обрабатывать персональную информацию. В реестре Роскомнадзора сейчас более 950 тыс. таких организаций. Доступ к данным имеют все эти организации, а вот крупных среди них лишь около 100.
— И мы видим совершенно безобразные случаи, когда человек в течении секунды соглашается на обработку данных, хотя, если перейти по ссылке, то там огромный документ на 80 листах. Получается, что он в течении секунды ознакомился с условиями, а также с тем, кому эти данные потом передадут, а они полетят в 20–30 организаций. А дальше подписавшему придется контактировать именно с ними, а не с владельцем сайта, который им их передал.
— Стоит ввести несколько рангов, которые будут зависеть от объема накапливаемых данных, способности автономно решать сложные задачи и в целом стратегического назначения оператора. Например, операторы первого ранга могли бы помогать коллегам поменьше, взяв на себя функции по защите информации и контролю доступа к ней, по проведению аудитов и прочее.
А у операторов низшего ранга будет возможность работать с минимальным количеством данных, они не смогут накапливать их и передавать третьим лицам. Закон об обработке персональных данных появился в 2006 году и уже не соответствует нынешнему цифровому миру. Так, заявил он, необходим механизм, когда пользователь сможет отказаться или прекратить обработку своих данных «в один клик».
— Необходимо прямо в законодательстве предусмотреть право использовать доверенные системы идентификации, которые позволяют оператору не копировать все данные о человеке, а хранить у себя лишь синтетический идентификатор и транзакционные данные. В случае компрометации этих баз привязать записи к конкретному человеку будет гораздо сложнее.
За первые четыре месяца 2024 года было зафиксировано 63 случая публикаций паролей российских пользователей, это около 30 млн записей. Это более чем в два раза больше, чем за аналогичный период 2023 года.
87% пользовательских данных, утекших за первые три месяца 2024 года, относятся к финансовым организациям: банки, микрофинансовые организации, страховые компании.
По данным сервиса разведки утечек данных и мониторинга даркнета DLBI, в 2023 году злоумышленники получили доступ к 240 млн телефонных номеров и 123 млн e-mail-адресов россиян. А за первые три месяца этого года, по данным компании, в Сети уже оказались данные 121 млн телефонных номеров и 38 млн e-mail-адресов.
В I квартале лидером по объему утечек были финансовые организации — они потеряли в общей сложности 96 млн номеров телефонов и 20 млн адресов электронной почты клиентов. Сейчас злоумышленники фокусируются на малом и среднем бизнесе.
В начале этого года они выкладывали информацию преимущественно небольших компаний, количество фактов публикаций баз данных крупных организаций в I квартале уменьшилось в три раза по сравнению с аналогичным периодом прошлого года. А с января по март 2024 года мы зафиксировали рост объема утекших данных среди организаций в сегменте малого и среднего бизнеса — почти в четыре раза выше по сравнению с 2023 годом.
С 2021 года число утекших персональных данных выросло в 2,5–3 раза.
Об этом заявил замруководителя ведомства Милош Вагнер. Ранжирование позволит существенно уменьшить число организаций, которые сейчас получают полноценный доступ к личным данным. Такая мера должна предотвратить утечки: сейчас данные только одного согласившегося на их обработку могут оказаться у 20–30 операторов.
Полноценное согласие
Количество операторов, которые смогут запрашивать полноценное согласие на обработку персональных данных, планируется снизить.Операторы данных — это государственные и муниципальные органы, а также юридические и физические лица, которые могут обрабатывать персональную информацию. В реестре Роскомнадзора сейчас более 950 тыс. таких организаций. Доступ к данным имеют все эти организации, а вот крупных среди них лишь около 100.
— И мы видим совершенно безобразные случаи, когда человек в течении секунды соглашается на обработку данных, хотя, если перейти по ссылке, то там огромный документ на 80 листах. Получается, что он в течении секунды ознакомился с условиями, а также с тем, кому эти данные потом передадут, а они полетят в 20–30 организаций. А дальше подписавшему придется контактировать именно с ними, а не с владельцем сайта, который им их передал.
— Стоит ввести несколько рангов, которые будут зависеть от объема накапливаемых данных, способности автономно решать сложные задачи и в целом стратегического назначения оператора. Например, операторы первого ранга могли бы помогать коллегам поменьше, взяв на себя функции по защите информации и контролю доступа к ней, по проведению аудитов и прочее.
А у операторов низшего ранга будет возможность работать с минимальным количеством данных, они не смогут накапливать их и передавать третьим лицам. Закон об обработке персональных данных появился в 2006 году и уже не соответствует нынешнему цифровому миру. Так, заявил он, необходим механизм, когда пользователь сможет отказаться или прекратить обработку своих данных «в один клик».
— Необходимо прямо в законодательстве предусмотреть право использовать доверенные системы идентификации, которые позволяют оператору не копировать все данные о человеке, а хранить у себя лишь синтетический идентификатор и транзакционные данные. В случае компрометации этих баз привязать записи к конкретному человеку будет гораздо сложнее.
Масштабные утечки
По данным Роскомнадзора, с начала 2024 года в Cеть попало более 510 млн записей россиян, всего было 19 фактов утечек персональных данных. За 2023 году ведомство насчитало 168 утечек персональных данных, в сети оказалось 300 млн записей.За первые четыре месяца 2024 года было зафиксировано 63 случая публикаций паролей российских пользователей, это около 30 млн записей. Это более чем в два раза больше, чем за аналогичный период 2023 года.
87% пользовательских данных, утекших за первые три месяца 2024 года, относятся к финансовым организациям: банки, микрофинансовые организации, страховые компании.
По данным сервиса разведки утечек данных и мониторинга даркнета DLBI, в 2023 году злоумышленники получили доступ к 240 млн телефонных номеров и 123 млн e-mail-адресов россиян. А за первые три месяца этого года, по данным компании, в Сети уже оказались данные 121 млн телефонных номеров и 38 млн e-mail-адресов.
В I квартале лидером по объему утечек были финансовые организации — они потеряли в общей сложности 96 млн номеров телефонов и 20 млн адресов электронной почты клиентов. Сейчас злоумышленники фокусируются на малом и среднем бизнесе.
В начале этого года они выкладывали информацию преимущественно небольших компаний, количество фактов публикаций баз данных крупных организаций в I квартале уменьшилось в три раза по сравнению с аналогичным периодом прошлого года. А с января по март 2024 года мы зафиксировали рост объема утекших данных среди организаций в сегменте малого и среднего бизнеса — почти в четыре раза выше по сравнению с 2023 годом.
С 2021 года число утекших персональных данных выросло в 2,5–3 раза.
