Как быть уверенным, что мои персональные данные и деньги хранятся в надежном месте

Топ-3 онлайн казино за 2020 год:

Как защитить свои личные данные и деньги от мошенников в эпоху цифровизации? Интервью

Недавно в российской банковской сфере произошла, возможно, самая крупная утечка персональных данных: на одном из форумов в интернете продавали базу данных клиентов «Сбербанка» с информацией о 60 млн кредитных карт. Большой резонанс вызвала история и с «Тинькофф-банком», когда у клиента с помощью поддельных документов похитили со счета почти 5,5 млн рублей. Как защитить свои личные данные и деньги от мошенников в эпоху повсеместной цифровизации, насколько надежны банковские системы, какими технологиями пользуются мошенники — в интервью Znak.com рассказал директор по методологии и стандартизации IT-компании Positive Technologies Дмитрий Кузнецов.

«Наиболее уязвимы платежные сервисы для физических лиц»

— Давайте определимся, когда мы говорим об утечке персональных данных, то что имеется в виду?

— На этот вопрос точного ответа не даст никто. Согласно и федеральному закону «О персональных данных», и ратифицированной РФ Европейской конвенции о защите субъектов персональных данных, персональные данные — это «любая информация, относящаяся к определенному или определяемому (поддающемуся определению) физическому лицу». То есть вообще любая информация, относящаяся к конкретному человеку. А дальше начинаются игры толкований и на свет появляются цитаты типа: «А давайте не будем считать серию и номер паспорта персональными данными человека? Они же относятся к паспорту, а не к человеку» или «А давайте не будем считать персональными данными информацию о том, что владелец квартиры по адресу NN не оплачивает коммунальные услуги? Мы же фамилию этого человека не написали, значит это уже не „определенное лицо“».

Чтобы не заниматься софистикой, мы, говоря об утечке, обычно подразумеваем только те персональные данные, злоупотребление которыми может понятным образом причинить вред тем людям, к которым эти данные относятся. С этой точки зрения утечки логинов, паролей, номеров кредитных карт и соответствующих им ПИН — утечки персональных данных.

— Почему становится возможным, что персональные данные клиентов утекают из банковских IT-систем? Несовершенство систем безопасности, недобросовестный персонал или что-то еще?

— Сами по себе данные как цель атакующих — тренд последнего времени. Мы видим, что более половины всех киберпреступлений совершается с целью получения каких-либо данных.

Персональные данные — основной тип украденной информации в атаках на юридические лица, в общей статистике они составляют 29%.

Это неудивительно, ведь в компаниях могут храниться большие базы как персональных, так и учетных данных клиентов. Кроме того, злоумышленники могут быть заинтересованы в учетных данных сотрудников и клиентов компании-жертвы. Частные лица наиболее часто рискуют учетными записями и данными своих банковских карт, они составляют 44% и 34% от всего объема информации, украденной у частных лиц, соответственно.

Если же посмотреть на типы украденной информации в привязке к отраслям, то вот какие данные получились по итогам второго квартала 2020 года. В государственных учреждениях злоумышленники похищали данные, составляющие коммерческую тайну (47% случаев), персональные данные (40%) и учетные данные (7%). В промышленных компаниях — учетные данные (более 80%) и коммерческую тайну. В медицинской сфере лидировали персональные данные (46%) и медицинская информация (36%). В финансовой отрасли — коммерческая тайна (в 34%), данные платежных карт (17%) и базы данных клиентов (16%).

Наши собственные исследования показывают, что данные входят в ТОП-4 наиболее часто продающихся и покупающихся в DarkWeb, куда можно проникнуть только специальным способом, доступным далеко не каждому. Приведу категории данных, которые чаще всего продают и покупают на теневом рынке. Во-первых, это логины и пароли от интернет-сервисов (соцсети, онлайн-банки и прочее). Во-вторых, данные банковских карт. В-третьих, персональные данные частных лиц, в том числе скан-копии документов, подтверждающих личность (паспортов, водительских удостоверений). В-четвертых, финансовая отчетность компаний, скан-копии учредительных документов и другая конфиденциальная документация.

При этом большая часть учетных данных продается по цене до 10 долларов.

Отмечу, что украденные аккаунты от социальных сетей и других интернет-сервисов продаются партиями от нескольких тысяч до нескольких миллионов записей. Цены за такие комплекты варьируются от десятков до сотен долларов. Учетные данные для доступа к личным кабинетам в онлайн-банках продаются поштучно. Например, при средней цене доступа в 22 доллара счета имеют баланс от нескольких десятков долларов до десятков тысяч. Стоимость данных одной банковской карты с балансом от нескольких сотен до нескольких тысяч долларов на счету в среднем около 9 долларов, а, например, отсканированную копию паспорта в DarkWeb можно приобрести за два доллара в среднем.

— Какие банковские услуги сегодня наиболее уязвимы с точки зрения утечки данных? Карточки, онлайн-банкинг, что-то еще?

— Для начала стоит определиться со значением слова «уязвимы». Если под ним подразумевается то, «каким сервисам угрожает наибольшая опасность», то на первом месте, конечно, окажутся платежные сервисы для физических лиц, это онлайн-банкинг, карточный процессинг и тому подобное. На втором месте — услуги потребительского кредитования, так как утечка персональных данных, в первую очередь — скан-копий паспортов, позволяет злоумышленникам оформлять кредиты по подложным документам. Если же речь идет о том, насколько защищены те или иные услуги, то как раз на защиту именно этих услуг и направлены основные усилия банков.

Рейтинг казино на русском языке:

«Атаки на онлайн-банки не требуют высокой квалификации и подготовки»

— Как вы оцениваете защищенность IT-систем российских банков?

— В финансовых организациях система защиты, как правило, хорошо организована, поэтому главным вектором проникновения в инфраструктуру остается социальная инженерия, использующаяся в 49% атак. Фишинг — вот самый эффективный способ доставки вредоносного программного обеспечения. 90% актуальных на сегодня APT-группировок используют его на этапе проникновения. АРТ — advanced persistent threat. Я поясню, что APT-атака — это тщательно спланированная кибератака, которая направлена на конкретную компанию или целую отрасль. За APT-атакой, как правило, стоят преступные группировки, имеющие значительные финансовые ресурсы и технические возможности.

Наши исследования показывают, что в среднем три четверти банков уязвимы для атак методами социальной инженерии.

В 75% банков сотрудники переходят по ссылкам, указанных в фишинговых письмах, в 25% — вводят свои учетные данные в ложную форму аутентификации. Также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение.

Защита сетевого периметра в банковской сфере значительно выше, чем в других отраслях. В ходе тестирования на проникновение за 2020–2020 годы сетевой периметр организаций преодолевается в 58% случаев. В кредитно-финансовой сфере этот показатель составляет 22% и возрастает до 75% при использовании социальной инженерии.

Во внутренней сети уровень их защищенности мало чем отличается от компаний из других отраслей и достаточно низок. Это позволяет злоумышленникам беспрепятственно перемещаться по сети, получать доступ к критически важным системам, управлению банкоматами и карточному процессингу. Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление ПО (это касается 67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение в 25% случаев удалось получить доступ к управлению банкоматами из внутренней сети банков.

Главная позитивная тенденция в безопасности финансовых приложений в 2020 году — сокращение доли уязвимостей высокого уровня риска в онлайн-банках.

Однако в целом их защищенность остается низкой: кража денежных средств в прошлом году была возможна в 54% онлайн-банков, это несколько выше показателя 2020 года, составившего 50%. В отдельных случаях уязвимости позволяли развивать атаку до проникновения в корпоративную инфраструктуру.

В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей. Мобильные и онлайн-банки — популярные каналы для атаки на клиентов финансовых организаций. Общее повышение уровня защищенности финансовых организаций, а также то, что атаки на онлайн-банки не требуют такой высокой квалификации и подготовки, как атаки на инфраструктуру, может привести к переключению внимания части злоумышленников с финансовых организаций на их клиентов.

Исследования защищенности банкоматов и платежных терминалов показывают, что используемые механизмы безопасности недостаточно эффективны. Выявленные уязвимости и недостатки механизмов защиты позволяют похитить деньги или перехватить данные банковских карт. В 2020 году были зафиксированы преимущественно атаки типа blackbox.

Преступники в будущем могут наметить себе и новые объекты атак, которые пока не привлекают их внимания.

Например, большое число уязвимостей выявляется в торговых платформах, используемых в финансовых организациях.

Атаки на них еще не распространены, но имеют шансы превратиться в новый тренд в ближайшее время и потенциально могут вызвать изменение цен на бирже и привести к потере денег.

— Что грозит гражданину, если его персональные данные попали в руки сторонних лиц?

— В самом безболезненном для него случае — звонки с предложением услуг различных компаний. Подобный обзвон можно делать только после того, как субъект разрешил с ним связываться, но многие предприятия розничной торговли, в том числе и некоторые известные бренды, это требование закона игнорируют. То, чего действительно стоит опасаться владельцам карт, — так это всплеска активности мошенников, которые попробуют воспользоваться «слитой» информацией и начнут массово обзванивать клиентов, используя похищенную информацию для придания своим звонкам большей правдоподобности. Если жертва не распознает такого рода звонок и сообщит дополнительные конфиденциальные сведения мошенникам, то последние смогут развить атаку и, к примеру, привязать карты к мобильным воллетам (хранилище данных карт — примечание редакции) Apple Pay, что является популярным типом мошенничества, или даже получить доступ к онлайн-банку и непосредственно к счету атакуемого банковского клиента со всеми вытекающими последствиями.

— Как действовать человеку, если он узнал, что его данные похищены?

— Теоретически, вопросами защиты прав субъектов персональных данных занимается Роскомнадзор, и, узнав при утечке данных (чаще всего — когда данные уже кем-то используются), следует обращаться именно в это ведомство. В некоторых случаях имеет смысл оценивать, как именно используются данные и обращаться в профильные ведомства: незаконная реклама находится в компетенции Федеральной антимонопольной службы, навязывание услуг — Роспотребнадзора, банковские махинации — Центробанка.

Если же мы говорим об утечке данных платежных карт, то скомпрометированную карту стоит сразу же заблокировать и перевыпустить.

Обратите внимание на то, чтобы номер новой карты отличался от старой, потому что, в случае простого перевыпуска по истечении срока, карта может иметь тот же самый номер, а это, как вы понимаете, тот же набор входных данных, с которого может начаться атака и который уже скомпрометирован. В зависимости от того, что еще оказалось в руках мошенников, стоит опасаться подозрительных звонков или даже оформления кредитов на свое имя.

В целом я могу дать одну рекомендацию — сохранять повышенную бдительность: не разглашать данные карт, паспортов и прочих документов, даже если кажется, что вам звонят из банка — ни при каких обстоятельствах банковский служащий не будет задавать вам такие вопросы. Иногда стоит перестраховываться, перевыпуская карты.

«В ситуациях кражи личных данных клиент защищен крайне слабо»

— На ваш взгляд, кто больше виноват в сложившейся ситуации? Банковские организации или сами граждане, которые просто еще достаточно наивны по отношению к волне цифровизации?

— Мы все чаще сталкиваемся с ситуациями, когда в нашу жизнь приходят технологии, степень опасности которых потребители не представляют или закрывают на нее глаза. Это наглядно видно на примере беспилотников: на каждой конференции по кибербезопасности демонстрируют, как легко навязать беспилотнику ложные координаты, как можно перехватить управление им или нарушить нормальную работу алгоритмов принятия решений. Но тем не менее общество с восторгом обсуждает ввод в эксплуатацию беспилотных грузовиков и такси. Для того, чтобы осознать потенциальную опасность технологии, нужны специальные знания, которых у потребителя нет, а вот оценить ее удобство он может легко, особенно на фоне массированной рекламы. Это в равной степени относится и к роботизации, и к цифровым финансовым услугам. Так что тут правильнее говорить не о наивности потребителя, а об отсутствии должного контроля за безопасностью новых технологий.

— Какие наиболее распространенные способы получения данных?

— До недавнего времени уверенно лидировали инсайдеры, выносящие из компаний информацию, к которой имеют санкционированный работодателем доступ. Но в последние годы мы все чаще сталкиваемся с APT-атаками на организации, когда хакеры проникают в инфраструктуру извне, закрепляются в ней, получают доступ информационным системам и могут месяцами, а иногда годами накапливать интересующую их информацию. В практике расследований, проводимых командой нашего экспертного центра безопасности, бывали случаи, когда активность той или иной группировки в инфраструктуре организации исчислялась годами.

— В последнее время люди часто сталкиваются с тем, что им звонят и пытаются выманить их данные. Но почему-то мы не слышим, что ответственных за этих розыгрыши с мошенническими целями наказывают. Наше законодательство еще слабо в этом вопросе?

— По сравнению с европейским законодательством российское более щадящее, по крайней мере, в карательной его части.

Там, где за незаконное использование или за утечку персональных данных российский регулятор может наказать виновника, скажем, на 50 тыс. рублей максимум, европейское законодательство предусматривает штраф до 4% годового оборота.

Но это отличие выравнивается общей проблемой: чтобы кого-то наказать, его сперва нужно поймать, а это непросто. Так же непросто определить и источник утечки: чаще всего об утечке данных узнают лишь тогда, когда их уже используют мошенники (или продают соответствующие базы в DarkWeb), а в этот момент определить, а главное — доказать, источник утечки практически невозможно.

— Как вы оцениваете юридическую сторону данной проблемы. Насколько клиент защищен в этом вопросе с точки зрения законодательства?

— В ситуациях кражи личных данных клиент защищен крайне слабо. С одной стороны, вины клиента здесь нет. Он не виноват в распространении данных своей карты, и до момента совершения мошеннической операции, скорее всего, даже не будет знать о том, что конкретно его данные пострадали. Но бремя доказательства своей невиновности будет все же лежать на клиенте: ведь банк никак не застрахован от недобросовестности клиента.

«Сбербанк» после утечки данных усилит защиту от собственных сотрудников

Скажем, клиент заказал пиццу и съел ее, а потом решил сообщить банку о том, что операция по покупке пиццы не была санкционирована им лично. То есть он оплатил товар картой, затем подал претензию, отрицая факт оплаты. Если оплата «безПИНовая», доказать факт продажи товара именно этому человеку торговая точка не может, а значит банк-эмитент вправе не перечислять средства.

Поэтому вводятся механизмы защиты, которые «привязывают» платеж к определенному человеку. На сегодня фактически стандартом является или использование микропроцессорных карт с подтверждением оплаты вводом ПИНа при сумме свыше 1000 рублей, или подтверждение онлайн-операций однократным паролем по технологии 3D-Secure. В результате мошенники вынужденно перешли на сценарии, в которых у жертвы выманивается тот самый однократный пароль для онлайн-операции. По правилам платежных систем, такие операции не могут быть оспорены клиентом: однократный пароль признается достаточным подтверждением платежа. В этом случае клиенту остается обращаться в суд с иском к банку, а в судебном споре с банком он находится в заведомо проигрышном положении.

— В каком состоянии по вопросу безопасности данных в банковских системах находится Россия по сравнению с другими странами?

— По сравнению с другими странами, кибербезопасность российского финансового сектора находится в несколько лучшем состоянии. Все описанные проблемы характерны для всех развитых стран, и недостатки в обеспечении информационной безопасности банков России, Европы, США, Юго-Восточной Азии в целом одинаковы. При этом лишь в некоторых странах на уровне государства ведется целенаправленная работа по защите финансовой системы в целом. Государство реагирует на преступления, проводит профилактику преступлений, но не диктует банкам, как именно они должны защищать свой бизнес. Это позволяет банкам перекладывать многие риски на своих клиентов и нести ответственность только в случае совсем уж явных нарушений. Сейчас, в рамках европейского законодательства по защите персональных данных, регуляторы начали выполнять ту же работу, которую ЦБ РФ начал более десяти лет назад: наконец вводятся технические требования, обязательные для банков как для операторов персональных данных.

Ваши персональные данные: как их могут использовать мошенники?

Можно ли оформить кредит по фото паспорта? Кому нельзя доверять свой номер телефона и ФИО? Эксперты ответили на все вопросы и рассказали, как защитить свои данные.

В конце октября произошла очередная утечка данных с Facebook: неизвестные мошенники продавали доступ к личным сообщениям, фотографиям и электронной почте пользователей. Чем опасны такие утечки и что злоумышленники могут сделать с вашими данными?

Для начала давайте поймем, кто в принципе имеет доступ к вашим персональными данными (кроме полиции и прочих государственных органов): контактам, информации паспорта…

  • Сотрудники банка. Разумеется, когда вы открывали счет, вы заполняли анкету (или сотрудник банка заполнял ее за вас). Может быть, открывали депозит или брали кредит в другом банке и уже забыли о нем, но данные все равно остались в базе.
  • Сотрудники почты. По доброй российской традиции при получении посылки или заказного письма нужно было заполнять квиточек. К счастью, эту традицию недавно упразднили.
  • Сотрудники компании-оператора. Сюда мы включили и сотовых операторов, и интернет-провайдеров.
  • Сотрудники страховой компании. Ни один полис без предъявления паспорта вам не оформят.
  • Сотрудники частной клиники. Медицинское обслуживание — дело серьезное, и при заключении договора на оказание услуг тоже нужен паспорт.
  • Работники отдела кадров вашей компании. Им тоже ваши данные положено знать «по долгу службы».
  • Персонал отдела размещения гостиниц. Заселяясь в очередной отель, вы всегда предъявляете документы.

Как видите, огромное количество людей может получить доступ даже к вашим паспортным данным — тем более, если у них есть какие-то корыстные планы. Что уж говорить о банальных адресах электронной почту и телефонных номерах!

За какими данными действительно охотятся?

Для начала надо понять, а о каких вообще данных идет речь? «Само по себе понятие персональных данных достаточно обширное», — напоминает руководитель направления DLP Центра информационной безопасности компании «Инфосистемы Джет» Артем Погребняк, — «Например, базы данных с тысячами почтовых адресов стоят всего несколько долларов и в большинстве случаев мало кому интересны».

Гораздо более ценны ФИО и номера телефонов — номера часто запрашивают на сайтах для авторизации, но некоторые пользователи не раздумывая вводят и свои реальные фамилии с именами. Тот же «комплект» может быть скопирован, например, из адресной книги компании.

«Утечка базы данных сотрудников с телефонами и электронными адресами может быть использована для проникновения в информационные системы компании или же дальнейшего персонального мошенничества, так как позволяет обратиться к человеку персонифицировано, войти с ним в контакт, заставить открыть заражённую ссылку или же получить другую ценную информацию», — предупреждает Артем.

Можно ли взять кредит по данным чужого паспорта?

Тут надо понимать, что рассылая вам СМС или даже совершая звонок на ваш номер спамеры практически не несут никакой ответственности. Максимум, что им грозит — это штраф (подробнее — в нашей статье «Как наказать спамеров, звонящих с рекламой?»). А вот те, кто попытается совершить какую-то банковскую операцию, уже попадают под действие статьи «Мошенничество» УК РФ, предусматривающей лишение свободы на срок до 2 лет. Поэтому абы кто, получивший ваши данные, ввязываться в серьезные истории не будет.

«Оформить кредит в отделении банка или приобрести SIM-карту по чужим данным паспорта довольно сложно», — уверен IT-директор Негосударственного Пенсионного Фонда «Согласие» Иван Захаров, — «Это связано с тем, что и банки, и операторы активно противодействуют мошенничеству».

Как говорится, сложно, но при желании можно. Правда, в одиночку такое дело не провернуть — фактически у мошенника должны быть налажены определенные связи. Вот что говорит по этому поводу Алексей Парфентьев, ведущий аналитик «СёрчИнформ»:

«Паспортные данные, действительно, могут быть использованы для оформления микрозаймов и сим-карт на другого человека. Более того, копии и скан-копии используют для оформления и переоформления фирм — все это подтверждается практикой. Так как для таких действий нужен сам обладатель паспорта с оригиналом документа, мошенники привлекают доверенного нотариуса или сотрудника банка, салона сотовой связи».

Ваши фото тоже могут быть использованы против вас

Иногда мы сами охотно делимся своими конфиденциальными данными — осталось их только взять и использовать. Уж сколько было случаев, когда счастливчики, летящие в отпуск, выкладывали в соцсеть свои посадочные талоны, а потом сильно жалели об этом.

Ничего удивительного: зная вашу фамилию и номер билета можно попасть в вашу же учетную запись. И, например, аннулировать регистрацию или полет — ну так, из вредности. Гораздо хуже, если авиакомпания при вводе этих данных дает полный доступ к аккаунту, где указаны номера телефонов, адрес электронной почты, номера паспорта и бонусной карты.

Как защитить свои данные от использования?

Прежде всего, воспитать в себе культуру безопасного обращения с сайтами и организациями. Для начала старайтесь следовать этим трем простым советам.

  • Регистрируясь в онлайн-магазине, вовсе не обязательно делиться своими реальными именем и фамилией — их проверять никто не будет.
  • Постарайтесь также не держать в открытом доступе (например, в облачном хранилище) сканы и ксерокопии личных документов.
  • Установите пароль или другой способ идентификации на своем смартфоне. Незащищенный смартфон — это просто кладезь полезной для преступников информации.

«Мы слишком легкомысленно относимся к данным, предъявляя их в любом месте по требованию», — считает юрист «Адвокатского кабинета Куценко Т.А». Мировое же сообщество стремится к тому, чтобы максимально чётко проинформировать людей о том, для чего от них собирают данные, описывать, кто и как будет их использовать, ограничивать их обработку целями, заявленными при сборе. Например, такие положения предусматривает вступивший в силу в мае 2020 г. в Евросоюзе регламент защиты данных (General Data Protection Regulation, GDPR)».

Как не дать себя обмануть:

Ничего личного: как защитить свои персональные данные от излишнего любопытства банков

Сохранение и защита персональных данных — скорее забота клиента, чем банка.

Клиенты все чаще подозревают банки в некорректной работе с персональными данными. Где границы дозволенного законом и как на них указать финансовым организациям?

В 2020 году россияне подали свыше 10 тыс. жалоб на банки по причине некорректной работы с персональными данными, следует из статистики Роскомнадзора. По данным ведомства, последние пару лет количество таких обращений снижается, но кредитные организации по-прежнему остаются в топ-листе «нарушителей». В отчете за прошлый год нет информации о доле поданных банковскими клиентами жалоб, которые были признаны обоснованными. В 2020-м по итогам проверок нарушения подтвердились в 35% случаев.

Банки.ру изучил отзывы на форуме и в «Народном рейтинге» и выявил пять распространенных поводов для недовольства клиентов.

Атака рекламой

«Достали уже! Никакой управы на них нет! Постоянно звонят и предлагают свои кредитные карты и кредиты!! Сколько можно уже?! Когда уже все это закончится!» — возмущался один из пользователей «Народного рейтинга». Он, как и многие клиенты банков, готов получать услуги, но без лишнего рекламного сопровождения.

«Угораздило меня полгода назад открыть в Восточном Банке депозит на небольшую сумму. С тех пор на мой телефон регулярно идут холодные звонки с различными предложениями финансовых услуг от банка. При этом я ставлю контакт в черный список, но в следующий раз мне звонят с другого номера. Присылаете СМС, шлете спам в почту, ну этого хватит. Зачем человеку мешать работать?» — писала еще одна недовольная клиентка.

Согласно законодательству, кредитные организации считаются в России операторами персональных данных, то есть той информации, которая необходима для однозначной идентификации клиента. К персональным данным относятся фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное, социальное или имущественное положение, образование, профессия, уровень дохода, перечисляет партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. Сюда же попадает биометрическая информация, банковская и кредитная история, если верить условиям обработки персональных данных на сайтах финансовых организаций. И это только очевидная часть обрабатываемых персональных данных, подчеркивает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Подобные сведения необходимы не только для проверки личности, но и для оценки платежеспособности клиента, замечает зампред правления банка «Ренессанс Кредит» Сергей Королев. Банки, как и любые операторы персональных данных, могут работать с личной информацией клиента только с его согласия, которое он дает, как правило, при первом обращении в кредитную организацию. «Согласие должно быть конкретным, информированным и сознательным», — подчеркивает руководитель практики интеллектуального и информационного права юридической группы «Яковлев и партнеры» Анна Никитова.

Кредитные организации включают в подобные документы весь перечень действий, которые они хотели бы совершать с информацией о клиенте. Речь может идти в том числе о передаче данных партнерам, использовании их для рекламной рассылки или для анализа.

«Все, под чем подпишется клиент, тем и распоряжаются. Передают внутри своей группы компаний, в маркетинг, коллекторам — в зависимости от того, какой список компаний присутствует в соглашении на обработку персональных данных», — отмечает руководитель практики «ИТ-безопасность» «КСК Групп» Алексей Работягов.

Если бланк согласия не предусматривает точных формулировок, стоит выяснить пределы этого согласия, рекомендует Никитова. По словам специалистов, человек может одобрить одни операции и запретить другие. Например, клиент может отказаться от получения рекламной рассылки, говорит Королев из «Ренессанс Кредита». Наличие такой опции также подтвердили в Сбербанке. Еще порядка 15 крупных кредитных организаций, в которые обратился корреспондент Банки.ру, не дали ответа на этот вопрос.

Отказаться только от рекламной рассылки получается не всегда и не сразу. Чаще приходится сначала согласиться со всем, а потом отзывать согласие на использование персональных данных для рекламных целей, поясняет Работягов. Юрист Дмитрий Шевченко сомневается, что такие отказы дадут эффект: «Направление банком СМС-сообщения не может нарушить прав клиента применительно к положениям закона о персональных данных. Более того, в направляемых сообщениях обычно не указываются персональные данные либо другая информация, по которой возможно идентифицировать конкретного клиента банка».

Прости-прощай

Если клиент хочет расстаться с кредитной организацией, это не означает автоматического удаления персональных данных. В теории они хранятся и используются, пока действует договор сторон. А в реальности многие игроки не спешат избавляться от ценной информации.

«Столкнулся с такой проблемой: не могу отозвать из ряда банков свои персональные данные! Прихожу в офис Россельхозбанка, озвучиваю свое пожелание, а на меня таким взглядом смотрят и говорят, что они про такое не слышали! Я, конечно, настоял на заявлении, но ответа не получил по истечении уже четырех месяцев!» — делился негативным опытом на форуме Банки.ру пользователь под ником savelich74.

Просьба удалить персональные данные должна подаваться в письменной форме — сразу в отделении или по почте. При этом банк должен уведомить клиента, что требование выполнено, объясняет Никитова. Закон определяет 11 случаев, когда банк может обрабатывать персональные данные без согласия клиента, подчеркивает Дмитрий Кузнецов. Например, если информация необходима для защиты законных интересов банка.

Даже при отзыве согласия банк будет хранить данные в связи с требованиями исковой давности и финансового контроля, замечает Работягов. «Персональные данные хранятся в течение сроков, установленных действующим законодательством, например, при отсутствии действующего договора — в течение пяти лет с даты прекращения договора», — подтвердили в Райффайзенбанке. В Сбербанке озвучили тот же срок хранения личной информации клиента, сославшись на требования 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». — Прим. ред.).

Получается, что право на отзыв своих персональных данных у клиента есть, а вот шансов на положительный результат — гораздо меньше.

Предложение от незнакомца

Рекламные и продуктовые предложения поступают клиентам от банков и организаций, с которыми те никогда не связывались.

«Прекратите названивать с различных номеров с вашими предложениями! Согласие на обработку данных в вашем банке я не давала!» — жаловалась пользователь «Народного рейтинга» на Тинькофф Банк.

Зачастую подобное взаимодействие с клиентом дает обратный эффект. Вместо интереса к продукту банк провоцирует раздражение.

«Сегодня на почту приходит предложение оформить кредит. Никаких контактов с банком у меня не было. С чего бы банк стал предлагать мне кредиты? В общем, крупный банк занимается рассылкой спама. Всех бесят спамерские рассылки с любыми предложениями. Теперь я ни за что не обращусь в этот банк для получения банковских услуг», — писала несостоявшаяся клиентка Хоум Кредит Банка.

Закон не запрещает банкам получать персональные данные граждан из общедоступных источников. Аналогичный пункт есть в большинстве документов, которые описывают политику кредитных организаций в отношении персональных данных. Вопрос в том, что считать общедоступным источником.

Например, в 2020 году Сбербанк сообщал о намерении проверять заемщиков по «цифровому следу» — открытым данным из соцсетей. Неясно, широко ли это применяется на практике госбанком и другими игроками, но некоторые участники рынка обращают внимание на то, что такой подход несет определенные риски.

Национальное бюро кредитных историй пробовало собирать открытую информацию в соцсетях, но в итоге столкнулось с судебным иском, рассказал на Scoring Case Forum директор по маркетингу НБКИ Алексей Волков. «Дело даже не в вопросе, чьи это данные, а в вопросе самого субъекта и его согласия. Суд решил, что данные в соцсетях не являются открытыми, кто бы что ни считал. Исходя из понимания, что для нас как для бюро, для структуры сверхпубличной, продолжение этой практики является токсичным, мы этот проект свернули», — пояснил эксперт.

Использование открытых данных для «холодных звонков» — это тоже нарушение закона, утверждают собеседники Банки.ру. «Организация должна получить ваше согласие еще до того, как сотрудник кол-центра наберет ваш телефонный номер», — поясняет Кузнецов. Другой вопрос, как пресечь эту активность банка.

«Можно оставить требование о прекращении обработки по телефонному номеру, а также получить информацию о юридическом адресе, на который вы впоследствии направите письменное заявление об удалении ваших персональных данных. А также предупредить об ответственности за нарушение законодательства (КоАП РФ, статья 13.11) и обозначить намерение направить жалобу в Роскомнадзор», — советует Никитова. Все так, но банки изворачиваются, замечает Работягов: «Говорят, что по телефону такой информации не дадим, приходите, пишите официально. Клиенты «забивают», а банк тихонько удаляет их из обзвонной базы».

По словам Кузнецова, обзвоны, как правило, делают не банки, а сторонние организации, поэтому привлечь к ответственности такой кол-центр крайне сложно.

За того парня

Посторонним может оказаться не только банк, но и клиент. Нередко людям поступают сообщения, которые их вообще не касаются. Например, банк звонит по поводу чужого долга. «Названивают каждый день. Какой-то человек оставил в качестве контактного мой номер телефона. Ищут должника, выпытывают мою личную информацию, разговаривают так, как будто это я им должна, грубо, требовательно. Почему при взятии кредита вы не обзваниваете оставленные вам дополнительные номера телефонов. Я запрещаю вам беспокоить меня, человека, который не знает никаких ваших должников», — жаловалась пользователь «Народного рейтинга» на банк «Восточный».

Кредитные организации могут попросить заемщика оставить контакты третьих лиц для связи. У экспертов нет единого мнения, считается ли это нарушением закона «О персональных данных». «Банк может попросить предоставить телефоны родственников для связи с самим клиентом, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться. Отдельного согласия от них не требуется: либо клиент сам уведомляет третьих лиц о дальнейшей обработке их персональных данных банком, либо их уведомляет непосредственно банк», — поясняет зампред «Ренессанс Кредита». В Райффайзенбанке противоречия также не увидели: «Набор таких данных, как имя и телефон, не позволяет определить конкретное физлицо».

«Такой подход не совпадает с основной идеей закона, но банки изворачиваются. Иногда платят штрафы, но в целом принимают риски», — резюмирует Работягов. В таких случаях юристы рекомендуют клиентам обращаться в банк и писать заявление на отзыв персональных данных. Основанием, в частности, может служить то, что вы не являетесь стороной договора.

Утечка без доказательств

Реклама — меньшая из бед, которые могут произойти. Клиентов банков больше волнуют ситуации, когда есть признаки утечки персональных данных из банка.

«Уже несколько лет храню вклады в Московском Кредитном Банке, вклады достаточно крупные. И каждый раз, стоит мне пополнить вклад, как через день начинают поступать звонки от всяких коммерческих организаций с предложениями вложить мои деньги на более выгодных условиях, ситуация тянется не первый год. Посоветуйте, пожалуйста, что делать?! Получается, что сотрудники продают или передают бесплатно информацию о моих счетах, мой адрес и т. д.!» — писала пользователь форума Банки.ру под ником KateV.

Аналогичные подозрения возникают у клиентов, когда от имени банка им начинают звонить мошенники. «Когда звонят конкретно клиенту банка, владея персональными данными, звонят высокопрофессиональные подготовленные мошенники, как в моем случае, звонили с номеров горячей линии банка (на другой номер я бы не повелась). Многие пишут, что работники банка слили инфу (в некоторых банках мне сказали, что за деньги купить можно все)», — отмечала форумчанка под ником 777kolibri_2020.

Российское законодательство предусматривает ответственность оператора за утечку персональных данных или некорректную работу с ними. Это может быть административный штраф до 75 тыс. рублей за каждое нарушение, говорит Дмитрий Шевченко. В 2020 году Роскомнадзор выписал таких штрафов на 3,9 млрд рублей. «Если разглашение персональных данных привело к гражданско-правовым последствиям, к примеру, причинен моральный вред, либо разглашение привело к убыткам субъекта персональных данных, то может быть предъявлен иск о возмещении убытков и компенсации морального вреда», — отмечает Никитова.

Однако утечку личной информации еще нужно доказать, подчеркивают собеседники Банки.ру. «Это практически нереально, так как не доказать, что есть ущерб. Вот утекут данные и деньги, тогда другой вопрос», — констатирует Работягов. «Чтобы привлечь оператора, допустившего утечку, к ответственности, придется доказывать, что он или нарушил требования по обеспечению безопасности, или слил данные сознательно», — заключает Кузнецов из Positive Technologies.

Мнения экспертов подтверждает статистика. По данным Право.ru , в прошлом году российские суды рассмотрели всего 160 исков клиентов к банкам, которые касались нарушения закона «О персональных данных». Лишь 16% обращений были удовлетворены полностью или частично. В 2020-м этот показатель был на уровне 15,5%, хотя самих споров суды рассмотрели в пять раз больше. В последние годы россияне стали с большим трепетом относиться к теме персональных данных, говорит Никитова. Кроме того, ужесточилась ответственность бизнеса за нарушения закона. Это влияет на судебную практику, хотя с цифрами не поспоришь: россияне редко идут в суд для защиты своих персональных данных и еще реже выигрывают в спорах.

Список казино с самыми большими бонусами:
Понравилась статья? Поделиться с друзьями:
Рейтинг казино, выплачивающих деньги 100%
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: