Новости Операторов персональных данных поделят по уровням доступа

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Роскомнадзор планирует ввести разные уровни доступа к персональным данным для операторов по обработке такой информации.


Об этом заявил замруководителя ведомства Милош Вагнер. Ранжирование позволит существенно уменьшить число организаций, которые сейчас получают полноценный доступ к личным данным. Такая мера должна предотвратить утечки: сейчас данные только одного согласившегося на их обработку могут оказаться у 20–30 операторов.

ANS00880%20copy.jpg

Полноценное согласие

Количество операторов, которые смогут запрашивать полноценное согласие на обработку персональных данных, планируется снизить.
Операторы данных — это государственные и муниципальные органы, а также юридические и физические лица, которые могут обрабатывать персональную информацию. В реестре Роскомнадзора сейчас более 950 тыс. таких организаций. Доступ к данным имеют все эти организации, а вот крупных среди них лишь около 100.

— И мы видим совершенно безобразные случаи, когда человек в течении секунды соглашается на обработку данных, хотя, если перейти по ссылке, то там огромный документ на 80 листах. Получается, что он в течении секунды ознакомился с условиями, а также с тем, кому эти данные потом передадут, а они полетят в 20–30 организаций. А дальше подписавшему придется контактировать именно с ними, а не с владельцем сайта, который им их передал.

Такая ситуация, провоцирует утечку персональных данных. Поэтому Роскомнадзор прорабатывает систему дифференциации операторов персональных данных.

— Стоит ввести несколько рангов, которые будут зависеть от объема накапливаемых данных, способности автономно решать сложные задачи и в целом стратегического назначения оператора. Например, операторы первого ранга могли бы помогать коллегам поменьше, взяв на себя функции по защите информации и контролю доступа к ней, по проведению аудитов и прочее.

А у операторов низшего ранга будет возможность работать с минимальным количеством данных, они не смогут накапливать их и передавать третьим лицам. Закон об обработке персональных данных появился в 2006 году и уже не соответствует нынешнему цифровому миру. Так, заявил он, необходим механизм, когда пользователь сможет отказаться или прекратить обработку своих данных «в один клик».

Нужна разработка детальных инструкций для операторов персональных данных об их хранении.

— Необходимо прямо в законодательстве предусмотреть право использовать доверенные системы идентификации, которые позволяют оператору не копировать все данные о человеке, а хранить у себя лишь синтетический идентификатор и транзакционные данные. В случае компрометации этих баз привязать записи к конкретному человеку будет гораздо сложнее.

Масштабные утечки

По данным Роскомнадзора, с начала 2024 года в Cеть попало более 510 млн записей россиян, всего было 19 фактов утечек персональных данных. За 2023 году ведомство насчитало 168 утечек персональных данных, в сети оказалось 300 млн записей.

За первые четыре месяца 2024 года было зафиксировано 63 случая публикаций паролей российских пользователей, это около 30 млн записей. Это более чем в два раза больше, чем за аналогичный период 2023 года.
87% пользовательских данных, утекших за первые три месяца 2024 года, относятся к финансовым организациям: банки, микрофинансовые организации, страховые компании.

По данным сервиса разведки утечек данных и мониторинга даркнета DLBI, в 2023 году злоумышленники получили доступ к 240 млн телефонных номеров и 123 млн e-mail-адресов россиян. А за первые три месяца этого года, по данным компании, в Сети уже оказались данные 121 млн телефонных номеров и 38 млн e-mail-адресов.

— Эти данные были выставлены на продажу в даркнете, опубликованы в закрытых форумах и телеграм-каналах и даже попали в свободный доступ.

В I квартале лидером по объему утечек были финансовые организации — они потеряли в общей сложности 96 млн номеров телефонов и 20 млн адресов электронной почты клиентов. Сейчас злоумышленники фокусируются на малом и среднем бизнесе.

В начале этого года они выкладывали информацию преимущественно небольших компаний, количество фактов публикаций баз данных крупных организаций в I квартале уменьшилось в три раза по сравнению с аналогичным периодом прошлого года. А с января по март 2024 года мы зафиксировали рост объема утекших данных среди организаций в сегменте малого и среднего бизнеса — почти в четыре раза выше по сравнению с 2023 годом.

С 2021 года число утекших персональных данных выросло в 2,5–3 раза.


 
Сверху Снизу