Ми написали про випадки шахрайства з боку псевдо-роботодавців, які витягають з шукачів їхні паспортні дані, а потім оформлюють по них кредит, а через декілька днів зацікавилися темою персональних даних та безпеки в Інтернеті. Згадали приклад бірж фрілансу та інших сайтів, на яких можна виконувати різні види завдань для окремих замовників – від кур’єрської доставки і миття вікон до розробки дизайн-макету. Сайти такого типу зазвичай потребують верифікації, а верифікація вимагає надання персональних даних. Набір даних, які потрібно надати, часто включає не тільки ФІП, але й адресу, ІНН, і навіть фото паспорта, який сам шукач тримає в руках.
З точки зору покупця послуг, верифікація робить співробітництво надійним. Сайт-посередник, отримавши інформацію, надає виконавцю статус «перевірений» – для споживача послуги це знак, що виконавець – реальна людина, його ім’я, місто проживання, контакти, зовнушність відповідають дійсності.
З точки зору виконавця, мова йде про необхідність надати суто персональні дані, тож виникає питання, хто несе відповідальність за їхнє зберігання та протистояння ситуації, коли ці дані потрапляють до сторонніх рук.
Ми поцікавилися на одній з фріланс-бірж, наскільки надійною є процедура передачі даних, та чи бере на себе біржа відповідальність за зберігання інформації.
Зокрема на цій біржі верифікація можлива через надсилання фото виконавця з власним паспортом, через Приват24 та BankID.
У службі підтримки нам порекомендували ознайомитися з Політикою конфіденційності сайту, що ми і зробили.
Як зазначено в Політиці, якщо персональні дані потрапляють до рук третіх осіб, за наслідки біржа відповідальність не несе. На наше питання, наскільки надійно зберігаються дані, нам також відповіли (див. скріншот).
Оскільки в повній мірі зрозуміти зміст відповіді, не будучи фахівцем, важко, ми звернулися до експерта. Ось що нам розповів з приводу принципів охорони та безпеки конфіденційної інформації Андрій Роговський, експерт у сфері інформаційних технологій, консультант з питань кібер-безпеки, керівник НПО ГО УНКД (неприбуткова організація громадська організація “Український народний контроль за діджиталізацією”).
Андрій зауважив, що кредит, взятий на особу без її відома – далеко не гірший наслідок викрадення персональних даних.
Реальною є ситуація, коли на особу реєструється сайт, за допомогою якого здійснюється протизаконна діяльність – наприклад, продаж зброї терористам. Тоді особа, що стала жертвою шахраїв, буде не просто розбиратися з колекторами та судитися з кредитором, а отримає статус міжнародного злочинця.
Андрій критично відноситься до стандартів цифрової безпеки, які використовуються в Україні, і за нашим проханням ділиться ідеальною схемою, за якої повинні були б працювати сайти, які просять надати персональні дані.
Для збереження даних – в нашому випадку, метою їх використання є верифікація особи – обирається дійсно надійний, перевірений ресурс, який відповідає міжнародним вимогам кібербезпеки. На нього завантажуються дані. Стороні, яка запрошує дані, надається одноразовий пароль доступу до них та посилання. Після завантаження дані видаляються.
При цій схемі дані можуть залишитися на комп’ютері людини, яка запросила відомості. Але уявімо, що комусь ці дані потрібні у «промисловому» масштабі. Скільки часу повинен витратити хакер, щоб дістатися до даних, розміщених на комп’ютерах тисяч людей? Це задовго і задорого.
Взагалі-то забезпечити стовідсоткову безпеку неможливо. Тож завдання експертів з кібербезпеки – зробити так, щоб витрати організації, яка наймає хакера, були непропорційно великими відносно здобутої вигоди. Тоді й ентузіазму в шахраїв поменшає.
Як пересвідчитись, чи використовує сайт, якому я зібралася довірити конфіденційні відомості, просунуті методи захисту даних?
Можливо, я можу задати службі підтримки компетентне питання та зробити висновки?
Андрій каже, що навіть і питати нічого не треба. Є міжнародні норми безпеки, і в кожного сайта є можливість пройти аудит на відповідність цим стандартам. Якщо сайт пройшов такий аудит, на ньому обов’язково є про це інформація. Ми знайшли приклад звіту про результати аудиту на сайті Лабораторії Касперського.
SOC («Service and Organization Controls») – міжнародний стандарт управління ризиками кібербезпеки. Серед інших стандартів – ISO, PCI-DSS, GDPR.
Що робити, коли є потреба надати персональні дані, а ознак пройденого аудиту на сайті нема?
Залишається усвідомити, що, надаючи персональні дані, ми беремо відповідальність на себе. Мабуть, в такому випадку треба вирішити, чи можливі наслідки перевищують вигоди, які ми сподіваємося отримати.